万方数据基于ARP协议的校园网欺骗研究吴其林1ne曹丛柱2关键词：A聊协议；^聊欺骗；校园网；地址解析；WinPcap址。因此，除了需要知道IP地址，还需要知道MAc地址。(1．安徽工业大学网络与信息管理中心，安徽马鞍山245002；2．安徽工业大学教务处，安徽马鞍山243002)摘要：本文通过对ARP协议工作原理的介绍，具体分析了校园网^RP欺骗的模式，讨论了基于软件和硬件设备的一些应对策略，最后提出了基于交换机的镜像端口，通过WinPcap发现ARP欺骗的具体方案。WUWinPcapnetwork；DNS；WinPcap随着网络信息技术的发展，网络安全问题也正面临着严峻的挑战。近年来，ARP欺骗已经成为最常见的欺骗模式之一。它通过向目标主机发送虚假ARP报文，达到欺骗目标主机的目的，以此截获目标主机的通信数据，更甚者，能使目标主机的网络通信受剑严莺干扰和破坏。它已经对校园网络的正常运行产生了严重的影响，因此对ARP工作机制的研究是很有必要的。从P协议及其工作原理ARP协议简介Protocol(地址解析协议)的英文缩写，隶属于OSI体系结构中的数据链路层。我们知道，计算机通过IP地址可相通信，而以太网是通过物理地址来实现数据包传输，因此ARP协议需要为两者之间建立地址解析服务，它实现了将网络层的IP地址到数据链路层的MAC地址的映射。ARP数据包格式叫ARP数据包由9个字段构成，但它的长度是由其解析的地址类型所决定。硬件类型字段指明了物理地址的类犁，对于以太网，该字段为I。协议类型字段指明了上层协议地址的类型，对于IP协议，该字段为0x0800。操作字段则指明了ARP数据包的类型：其中ARP请求包的类型为l；Al{P响应包的类型是2。主机在发送ARP请求数据包时，会将自己的物理地址和IP地址填写在发送者的硬件地址和协议地址字段中。收到ARP请求数据包时，会将发送者的硬件地址和协议地址提取出来放入ARP缓存中。而在对ARP数据包进行响应时，会将自己的硬件地址和协议地址放入目标硬件地址和目标协议地址字段中，并将目标硬件地址和目标协议地址与发送者硬件地址和发送者协议地址互换，再将操作字段设为2。具体格式如图1所示。ARP工作原理由于在以太网通信时，网络交换设备只能识别MAC地ARP协议的功能就是在知道目的主机的IP地址后，查询出它收稿日期：2009—03—14修回日期：2009—04—25作者简介：吴其林I1981一J，男。安徽马鞍山籍，实验师。主要研究方向为网络安全及数据库。ResearchofCampusNetworkSpoofingbasedARPQi．1inl，CA0Cong．zhu2(1．NetworkCenter，AnhuiUniversityofTechnology，MaanshanAnhui243002；2．OfficeofAcademicAffairs，AnhuiTechnology，Maanshan243002)Abstraet：ThisarticleintroducestheprincipalsProtocol；analyzesmodelsandthendiscussesseveralsoftware．basedhardware．basedstrategies．Finallyitsolutionthroughswitchmirroring．words：ARPprotocol；APRspoofing；Campusl1．1ARP⋯是Address1．2I协议地址长I操作1．3囝1ARP数据包格式圈2ProtocolinproposesspecifictoportKeyResolution硬件拳型l协议类型硬件ttLtlj：长发选者杓理地址发逢者协泌地址目标硬件地址目标协议地址Oilaon37万方数据加密的安全砌议。其中著名的有s叶即晦’和T_ARP伽。争中国西部科技2009年5月(上旬)第08卷第13期总第174期ldevs—ex(PCAP-SRtIF-STRING，NULL所对麻的MAC地址。每一台支持TcP／IP协议的计算机都有一个ARP缓存表，它记录了IP地址和MAC地址的映射关系，以及该记录的最后更新时间。ARP缓存表的存在大大减少了地址解析服务所需要的网络通信。(1)同网段ARP工作原理。当同网段的两台主机需要通信时，源主机首先会查询自己的AP#缓存，看是否存在目的主机的IP地址与MAC地址的对应关系。若无，则向本网段广播一个ARP请求包，查询目的主机的MAC地址。ARPJ‘播包中包含了源主机的IP地址和MAC地址，以及目的主机的IP地址等字段，局域网内的每一台主机都会收到此广播包。当非目的主机收到此请求包时，会将自己的IP地址与包中的目的IP地址作对比，发现不同时，就不作响应。目的主机收到