ＡＲＰ協(xié)議分析及ＡＲＰ欺騙類病毒的防御

[摘 要] 目前利用TCP/IP協(xié)議安全漏洞進(jìn)行欺騙攻擊的事件經(jīng)常發(fā)生，攻擊者利用ARP欺騙進(jìn)行拒絕服務(wù)攻擊(DoS)或中間人攻擊，造成網(wǎng)絡(luò)通信中斷或數(shù)據(jù)被截取和竄改，嚴(yán)重影響網(wǎng)絡(luò)的安全。本文通過ARP協(xié)議原理分析揭示ARP協(xié)議欺騙，并對ARP病毒攻擊提出一套有效可行的防犯措施和解決辦法。

[關(guān)鍵詞] ARP協(xié)議 ARP欺騙 ARP病毒

一、引言

ARP欺騙具有隱蔽性、隨機(jī)性的特點，在Internet上隨處可下載的ARP欺騙工具使ARP欺騙更加普遍。目前利用ARP欺騙的木馬病毒在局域網(wǎng)中廣泛傳播，給網(wǎng)絡(luò)安全運行帶來巨大隱患，是局域網(wǎng)安全的首要威脅。有時會出現(xiàn)網(wǎng)絡(luò)設(shè)備完好，運轉(zhuǎn)正常的情況下，局域網(wǎng)內(nèi)用戶上網(wǎng)速度緩慢甚至完全阻塞的情況，這種現(xiàn)象往往是由于局域網(wǎng)內(nèi)遭到ARP攻擊引起的，一些帶有ARP欺騙功能的木馬病毒，利用ARP協(xié)議的缺陷，像大規(guī)模爆發(fā)的流行性感冒一樣，造成網(wǎng)絡(luò)時斷時續(xù)，無法正常上網(wǎng)。同時清理和防范都比較困難，給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。

二、ARP協(xié)議概述

ARP協(xié)議全稱為Address Resolution Protocol，即地址解析協(xié)議，是TCP/IP協(xié)議棧中的基礎(chǔ)協(xié)議之一，它工作于OSI模型的第二層，在本層和硬件接口間進(jìn)行聯(lián)系， 同時為上層(網(wǎng)絡(luò)層) 提供服務(wù)。是將IP地址與網(wǎng)絡(luò)物理地址一一對應(yīng)的協(xié)議，負(fù)責(zé)IP地址和網(wǎng)卡實際地址(MAC)之間的轉(zhuǎn)換。也就是將網(wǎng)絡(luò)層地址解析為數(shù)據(jù)鏈路層的MAC地址。在以太網(wǎng)中，一個網(wǎng)絡(luò)設(shè)備要和另一個網(wǎng)絡(luò)設(shè)備進(jìn)行直接的通信，除了知道目標(biāo)設(shè)備的IP地址外，還要知道目標(biāo)設(shè)備的MAC地址。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通訊的順利進(jìn)行。當(dāng)一個網(wǎng)絡(luò)設(shè)備需要和另一個網(wǎng)絡(luò)設(shè)備通信時，它首先把目標(biāo)設(shè)備的IP地址與自己子網(wǎng)掩碼進(jìn)行“與”操作，以判斷目標(biāo)設(shè)備與自己是否位于同一網(wǎng)段內(nèi)，如果目標(biāo)設(shè)備與源設(shè)備在同一網(wǎng)段內(nèi)，則源設(shè)備以第二層廣播的形式(目標(biāo)MAC地址全為1)發(fā)送ARP請求報文，在ARP請求報文中包含了源設(shè)備與目標(biāo)設(shè)備的IP地址。如果目標(biāo)設(shè)備與源設(shè)備不在同一網(wǎng)段，則源設(shè)備首先把IP分組發(fā)向自己的缺省網(wǎng)關(guān)，由缺省網(wǎng)關(guān)對該分組進(jìn)行轉(zhuǎn)發(fā)。

三、ARP協(xié)議的缺陷

1.主機(jī)ARP列表是基于高速緩存動態(tài)更新的。由于正常的主機(jī)間的MAC地址刷新都是有時限的，這樣惡意用戶如果在下次交換之前成功地修改了被欺騙機(jī)器上的地址緩存，就可以進(jìn)行假冒或拒絕服務(wù)攻擊。

2.可以隨意發(fā)送ARP應(yīng)答分組。由于ARP協(xié)議是無狀態(tài)的，任何主機(jī)即使在沒有請求的時候也可以做出應(yīng)答。因此任何時候發(fā)送ARP應(yīng)答。只要應(yīng)答分組是有效的，接收到ARP應(yīng)答分組的主機(jī)就無條件地根據(jù)應(yīng)答分組的內(nèi)容刷新本機(jī)高速緩存。

四、ARP的主要攻擊類型

ARP期騙是指利用ARP協(xié)議的漏洞，通過向目標(biāo)設(shè)備主機(jī)發(fā)送虛假的ARP報文，達(dá)到監(jiān)聽或者截獲目標(biāo)主機(jī)數(shù)據(jù)的攻擊手段。主要攻擊類型:冒充主機(jī)欺騙網(wǎng)關(guān)(對路由器ARP表的欺騙)、冒充網(wǎng)關(guān)欺騙主機(jī)(對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙)。

1.冒充主機(jī)欺騙網(wǎng)關(guān)

攻擊主機(jī)C發(fā)出一個報文，其中源MAC地址為MAC C，源IP地址為IP A。這樣任何發(fā)往主機(jī)A的報文都會被發(fā)往攻擊主機(jī)C。網(wǎng)關(guān)無法與真實主機(jī)A直接通信。假如攻擊主機(jī)不斷地利用自己的真實MAC地址和其他主機(jī)的IP地址作為源地址發(fā)送ARP包，則網(wǎng)關(guān)無法與網(wǎng)段內(nèi)的任何主機(jī)(攻擊主機(jī)C除外)，進(jìn)行直接通信。然而，這種情況下，交換機(jī)是不會產(chǎn)生任何報警日志的，原因在于，多個IP地址對應(yīng)一個MAC地址在交換機(jī)看來是正常的，不會影響其通過IP所對應(yīng)的MAC來交付報文。

如果攻擊者將網(wǎng)關(guān)ARP緩存中的MAC地址全部改為根本就不存在的地址，那么網(wǎng)關(guān)向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀會丟失，使得上層應(yīng)用忙于處理這種異常而無法響應(yīng)外來請求，也就導(dǎo)致網(wǎng)關(guān)產(chǎn)生拒絕服務(wù)(不能響應(yīng)外界請求，不能對外提供服務(wù))。

2.冒充網(wǎng)關(guān)欺騙主機(jī)

(1)在主動攻擊中，攻擊者C主動向A發(fā)送ARP 應(yīng)答數(shù)據(jù)包，告訴A，B(網(wǎng)關(guān))的IP地址所對應(yīng)的MAC地址是CC-CC-CC-CC-CC-CC，從而使得A修改自己的ARP列表，把B的IP地址對應(yīng)的MAC地址修改為攻擊者C的MAC地址。

(2)同時，攻擊者C 也主動向B發(fā)送ARP應(yīng)答數(shù)據(jù)包，告訴B，A的IP地址所對應(yīng)的MAC 地址是CC-CC-CC-CC-CC-CC，從而使得B修改自己的ARP列表，把A的IP地址對應(yīng)的MAC地址修改為攻擊者C的MAC 地址。

(3)從而使得A←→B 之間的通信形式變成A←→C←→B，實現(xiàn)了中間人攻擊。

在被動攻擊中，攻擊者C只在A或者B發(fā)送ARP請求數(shù)據(jù)包時，延時一段時間發(fā)送應(yīng)答數(shù)據(jù)包，使得自己的應(yīng)答包在正確的應(yīng)答包之后到達(dá)，防止自己修改的相應(yīng)主機(jī)的ARP 列表被正確的應(yīng)答包再次修改。

那么主機(jī)A發(fā)往網(wǎng)關(guān)B的報文都會被發(fā)往攻擊主機(jī)C，造成主機(jī)A突然斷網(wǎng)。如果攻擊主機(jī)向網(wǎng)關(guān)B轉(zhuǎn)發(fā)了來自主機(jī)A的報文，那么主機(jī)A能通過攻擊主機(jī)C繼續(xù)上網(wǎng)，但其上網(wǎng)質(zhì)量完全取決于攻擊主機(jī)C，通常表現(xiàn)為時斷時續(xù)。

例如，網(wǎng)絡(luò)上有3臺主機(jī)，有如下的信息:

主機(jī)名 IP地址 硬件地址

A 202.206.208.1AA:AA

B 202.206.208.2 BB:BB

C 202.206.208.3 CC:CC

這三臺主機(jī)中，C是一臺被入侵者控制了的主機(jī)，而A信任B，入侵者的目的就是要偽裝成B獲得A的信任，以便獲得一些無法直接獲得的信息等。

四、 ARP欺騙防范和解決方案

1.手動防御

防御ARP欺騙的簡單方法是網(wǎng)絡(luò)管理員分別在主機(jī)和路由器上靜態(tài)綁定地址映射。這種方法非常有效，但僅適用于小規(guī)模的局域網(wǎng)，而且這種方法不適用于DHCP自動分配地址的情況，也不能適應(yīng)網(wǎng)絡(luò)的動態(tài)變化。對于大型動態(tài)IP的網(wǎng)絡(luò)，建立DHCP服務(wù)器(建議建在網(wǎng)關(guān)上)。所有客戶機(jī)的IP地址及其相應(yīng)主機(jī)信息，只能由網(wǎng)關(guān)這里取得，網(wǎng)關(guān)開通DHCP服務(wù)，保持網(wǎng)內(nèi)的機(jī)器IP/MAC一一對應(yīng)的關(guān)系。在由DHCP服務(wù)器構(gòu)成的動態(tài)分配主機(jī)IP的環(huán)境中，主機(jī)申請IP時的MAC地址和IP地址是一一配對的，也是唯一的，上述的攻擊主機(jī)C也不能例外，不可能利用一個MAC地址申請到多個IP地址，更不可能申請到網(wǎng)關(guān)地址。同時，網(wǎng)關(guān)機(jī)器關(guān)閉ARP動態(tài)刷新的過程，使用靜態(tài)路由，這樣的話，即使犯罪嫌疑人使用ARP欺騙攻擊網(wǎng)關(guān)的話，這樣對網(wǎng)關(guān)也是沒有用的，確保主機(jī)安全，即可防御冒充主機(jī)欺騙網(wǎng)關(guān)的ARP欺騙。

另一方面通過arp-s命令，在PC上綁定網(wǎng)關(guān)的MAC和IP地址，這樣可以防御冒充網(wǎng)關(guān)欺騙主機(jī)的ARP欺騙。

另一種有效的手動防御方法是在局域網(wǎng)中增加VLAN的數(shù)目，減少VLAN中的主機(jī)數(shù)量。局域網(wǎng)管理員可以根據(jù)本單位的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)劃分若干個VLAN，這樣既能夠在發(fā)生ARP攻擊時減少所影響的網(wǎng)絡(luò)范圍，又能夠在發(fā)生ARP攻擊時便于定位出現(xiàn)的網(wǎng)段和具體的主機(jī)。缺點同樣是增加了網(wǎng)絡(luò)維護(hù)的復(fù)雜度，也無法自動適應(yīng)網(wǎng)絡(luò)的動態(tài)變化。

2.使用ARP服務(wù)器

在局域網(wǎng)內(nèi)部的設(shè)置一臺機(jī)器作為ASP服務(wù)器，專門保存并且維護(hù)網(wǎng)絡(luò)內(nèi)的所有主機(jī)的IP地址與MAC地址映射記錄，使其他計算機(jī)的ARP配置只接受來自ARP服務(wù)器的ARP響應(yīng)。當(dāng)有ARP請求時該服務(wù)器通過查閱自己緩存的靜態(tài)記錄并以被查詢主機(jī)的名義響應(yīng)ARP局域網(wǎng)內(nèi)部的請求，從而防止了ARP欺騙攻擊的發(fā)生。但是這個方法也有不足，首先要保證ARP服務(wù)器不被攻擊，確保ARP服務(wù)器的安全;其次要保證主機(jī)只接受指定ARP服務(wù)器的ARP響應(yīng)報文。如何做到這一點，目前還是比較困難的。

3.ARP欺騙的解決措施

以上只是對ARP欺騙的防御手段，但對于局域網(wǎng)中已經(jīng)有機(jī)器中了ARP欺騙木馬，偽造網(wǎng)關(guān)，則可采用以下方法解決。

判斷攻擊機(jī)的IP地址

某計算機(jī)所處網(wǎng)段的路由IP地址為xx.xx.xx.1，本機(jī)地址為xx.xx.xx.8，在計算機(jī)上DOS命令行中運行arp-a后輸出如下:

C:\\Documents and Settings\\Administrator>arp-a

Interface:xx.xx.xx.8---0x10003

Internet Address Physical AddressType

xx.xx.xx.100-01-02-03-04-05dynamic

其中，00-01-02-03-04-05就是路由器xx.xx.xx.1對應(yīng)的MAC地址，類型為動態(tài)，因此可被改變。正常情況下，xx.xx.xx.1和00-01-02-03-04-05始終對應(yīng)。被攻擊后，重復(fù)使用該命令查看，就會發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC，而且攻擊機(jī)器的MAC地址和真正的網(wǎng)關(guān)MAC地址會出現(xiàn)交替現(xiàn)象，如

C:\\Documents and Settings\\Administrator>arp-a

Interface:xx.xx.xx.8---0x10003

Internet Address Physical AddressType

xx.xx.xx.100-01-02-03-04-05dynamic

xx.xx.xx.600-01-02-03-04-05dynamic

由此可判斷xx.xx.xx.6的計算機(jī)就是攻擊機(jī)，接下來就要判斷攻擊機(jī)的MAC地址并對連接該主機(jī)端口進(jìn)行定位，定位操作主要通過SNMP協(xié)議完成。最后關(guān)閉交換機(jī)上受病毒感染的端口并對通過端口查出的相應(yīng)用戶進(jìn)行徹底查殺。當(dāng)然也可以直接下載ARP欺騙檢測工具，如ARP Checker可以有效的定位到發(fā)起ARP欺騙的主機(jī)。

五、結(jié)論

通過以上幾種方法來解決ARP病毒對于局域網(wǎng)的欺騙攻擊是比較有效果的。但是由于ARP病毒版本在不斷更新升級中，所以仍會給局域網(wǎng)用戶帶來新的沖擊與危害。因此有必要提前做好局域網(wǎng)ARP病毒的防范工作，使得ARP病毒的危害減少到最小程度。當(dāng)然，在網(wǎng)絡(luò)安全領(lǐng)域，沒有任何一種技術(shù)手段可以解決所有的問題，對于各種類型的網(wǎng)絡(luò)攻擊，經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài)，對網(wǎng)絡(luò)活動進(jìn)行分析、監(jiān)控、采取積極、主動的防御行動是保證網(wǎng)絡(luò)安全和暢通的重要方法。網(wǎng)絡(luò)管理員應(yīng)當(dāng)密切檢查網(wǎng)絡(luò)，不斷提高自身的技術(shù)水平，確保網(wǎng)絡(luò)安全的正常運行。

參考文獻(xiàn):

[1]張勝偉:基于DAI的ARP欺騙深度防御[J].計算機(jī)安全， 2009，(01)

[2]李 新:ARP欺騙防御技術(shù)的研究[J].商場現(xiàn)代化，2008(36)

[3]陳天洲 陳 純 谷小妮等:計算機(jī)安全策略[M].浙江大學(xué)學(xué)報，2004年