不再談ＡＲＰ色變ＡＲＰ攻擊原理與防御

今年在網(wǎng)絡(luò)安全領(lǐng)域中，ARP應(yīng)該是出現(xiàn)頻率最高的名詞之一了，各種ARP病毒、ARP木馬、ARP網(wǎng)絡(luò)管理工具層出不窮。無論是校園局域網(wǎng)還是單位內(nèi)部網(wǎng)都深受其害，但ARP到底是什么呢?

ARP協(xié)議

在局域網(wǎng)中，雖然我們習(xí)慣用IP地址來標(biāo)識計(jì)算機(jī)，但在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中，真正起到地址作用的是“MAC地址”。MAC(Media Access Control)地址又稱物理地址，它通常由網(wǎng)卡生產(chǎn)廠家燒入網(wǎng)卡的EPROM(一種閃存芯片)，一般情況下它是全球唯一的。

一個(gè)主機(jī)要和另一個(gè)主機(jī)直接通信，必須知道目標(biāo)主機(jī)的MAC地址。ARP協(xié)議“Address Resolution Protocol(地址解析協(xié)議)”的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。

每臺安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，我們可以通過在DOS命令提示符下，輸入：arp-a來獲得本機(jī)的ARP緩存表。

如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)就會在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)IP的主機(jī)接收到這個(gè)幀時(shí)，會向主機(jī)做出相應(yīng)的回應(yīng)。這樣，主機(jī)就知道了目標(biāo)主機(jī)的MAC地址，就可以向目標(biāo)主機(jī)發(fā)送信息了。

ARP攻擊原理

ARP攻擊的最主要手段就是用偽造源MAC地址發(fā)送ARP響應(yīng)包，對ARP高速緩存機(jī)制的攻擊。攻擊者持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。因此，B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存(A可不知道被偽造了)。當(dāng)攻擊源大量向局域網(wǎng)中發(fā)送虛假的ARP信息后，就會造成局域網(wǎng)中的機(jī)器ARP緩存的崩潰。以筆者所在的網(wǎng)絡(luò)為例，通過抓包工具捕獲數(shù)據(jù)包的結(jié)果來看，可以明顯看到一個(gè)ARP攻擊者的攻擊情況。

ARP攻擊的目的和現(xiàn)象

當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP的欺騙木馬程序時(shí)，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)，現(xiàn)在則轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)。

這樣做的目的有很多，比如用戶已經(jīng)登錄了網(wǎng)游服務(wù)器，病毒主機(jī)就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄網(wǎng)游服務(wù)器，病毒主機(jī)就可以趁機(jī)盜號。所以當(dāng)你遇到下面幾個(gè)情況的時(shí)候，一定要注意可能是你的網(wǎng)絡(luò)中出現(xiàn)了ARP木馬。

1)上網(wǎng)速度突然變得異常的緩慢

2)經(jīng)常斷線。

3)訪問所有的網(wǎng)站，殺毒軟件都會彈出窗口說頁面有病毒。

當(dāng)懷疑局域網(wǎng)中存在ARP攻擊時(shí)，可以打開DOS命令提示符，輸入“arp-d”，清空ARP列表。如果能夠恢復(fù)網(wǎng)絡(luò)訪問，則基本可以確定局域網(wǎng)中存在ARP攻擊，或者有電腦染上了ARP病毒。接下來可以反復(fù)查看ARP列表，也就是反復(fù)使用“arp-a”命令(其間不要進(jìn)行網(wǎng)絡(luò)通信)，如果發(fā)現(xiàn)除了網(wǎng)關(guān)以外的某個(gè)IP會自動(dòng)出現(xiàn)在列表中，而這個(gè)IP又沒有和本機(jī)進(jìn)行實(shí)質(zhì)的數(shù)據(jù)通信，則基本可以確定攻擊源，接下來需要斷開該計(jì)算機(jī)的網(wǎng)絡(luò)連接并徹底殺毒。

應(yīng)對ARP欺騙攻擊

面對兇猛的ARP攻擊，以上提到的方法只能應(yīng)急，該如何進(jìn)行全面防范呢?利用Anti ARP Sniff，可以保護(hù)你的網(wǎng)卡和網(wǎng)關(guān)的通訊不被第三方監(jiān)聽，讓ARP攻擊對你的愛機(jī)無技可施。Anti ARP Sniff可以100％防御所有利用ARP技術(shù)的惡意程序，發(fā)現(xiàn)異常并自動(dòng)重寫ARP數(shù)據(jù)，它還具備追蹤ARP攻擊者的功能，能夠追蹤對方的IP地址，這樣我們就能找出ARP攻擊的“始作俑者”。

在Anti ARP Sniff主窗口的“網(wǎng)關(guān)地址”欄中輸入網(wǎng)關(guān)地址，點(diǎn)擊“獲取MAC”按鈕，獲得網(wǎng)關(guān)的MAC地址，之后點(diǎn)擊“自動(dòng)保護(hù)”按鈕，即可開啟ARP攻擊保護(hù)功能，當(dāng)局域網(wǎng)中有人試圖對本機(jī)進(jìn)行攻擊時(shí)，Anti ARP Sniff~口可出現(xiàn)ARP欺騙提示信息，在“欺騙數(shù)據(jù)詳細(xì)記錄”列表中顯示ARP欺騙攻擊事件信息。從中選中合適的ARP攻擊事件，點(diǎn)擊“追捕攻擊者”按鈕。即可得到攻擊者的IP和MAC地址信息了，據(jù)此可以輕松找出局域網(wǎng)中的“破壞分子”。對于飽受ARP攻擊之苦的用戶，Anti ARP Sniff能讓你輕松擺脫煩惱。

通過參數(shù)設(shè)置，可以提高ARP防火墻的安全性能。點(diǎn)“工具”菜單下的“配置”，可以把“主動(dòng)防御”設(shè)置為“始終防御”，“防御選項(xiàng)”的“ARP防御”可以設(shè)置為“安全模式”，這樣安全性就會更高。