首先,我们了解下什么是arp,arp“address resolution protocol”(地址解析协议),局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的mac地址的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保证通信的顺利进行。
arp协议的工作原理:在每台安装有tcp/ip协议的电脑里都有一个arp缓存表,表里的ip地址与mac地址是一一对应的,如表所示。
我们以主机a(192.168.1.5)向主机b(192.168.1.1)发送数据为例。当发送数据时,主机a会在自己的arp缓存表中寻找是否有目标ip地址。如果找到了,也就知道了目标mac地址,直接把目标mac地址写入帧里面发送就可以了;如果在arp缓存表中没有找到相对应的ip地址,主机a就会在网络上发送一个广播,目标mac地址是“ff.ff.ff.ff.ff.ff”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的mac地址是什么?”网络上其它主机并不响应arp询问,只有主机b接收到这个帧时,才向主机a做出这样的回应:“192.168.1.1的mac地址是00-aa-00-62-c6-09”。这样,主机a就知道了主机b的mac地址,它就可以向主机b发送信息了。同时它还更新了自己的arp缓存表。
再者,我们先简单介绍一下什么是arp病毒攻击,这种病毒是对内网的pc进行攻击,使内网pc机的arp表混乱,在局域网中,通过arp协议来完成ip地址转换为第二层物理地址(即mac地址)的。arp协议对网络安全具有重要的意义。通过伪造ip地址和mac地址实现arp欺骗,能够在网络中产生大量的arp通信量使网络阻塞。进行arp复位向和嗅探攻击。用伪造源mac地址发送arp响应包,对arp高速缓存机制的攻击。这些情况主要出现在网吧用户,造成网吧部分机器或全部机器暂时掉线或者不可以上网,在重新启动后可以解决,但保持不了多久有会出现这样的问题,网吧管理员对每台机器使用arp–a命令来检查arp表的时候发现路由器的ip和mac被修改,这就是arp病毒攻击的典型症状。
这种病毒的程序如pwsteal.lemir或其变种,属于木马程序/蠕虫类病毒,windows 95/98/me/nt/2000/xp/2003将受到影响,病毒攻击的方式对影响网络连接畅通来看有两种,对路由器的arp表的欺骗和对内网pc网关的欺骗,前者是先截获网关数据,再将一系列的错误的内网mac信息不停的发送给路由器,造成路由器发出的也是错误的mac地址,造成正常pc无法收到信息。后者arp攻击是伪造网关。它先建立一个假网关,让被它欺骗的pc向假网关发数据,而不是通过正常的路由器途径上网。在pc看来,就是上不了网了,“网络掉线了”。
就这两种情况而言,如果对arp病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以我们选择路由器的话最好看看路由器是否带有防制arp病毒攻击的功能,qno产品正好提供了这样的功能,相比其它产品操作简单易学。