Arp攻擊探究及防范措施

摘 要 伴隨著Internet的發(fā)展，病毒傳播速度越來(lái)越快，破壞程度也越來(lái)越驚人，目前ARP病毒攻擊技術(shù)已經(jīng)越來(lái)越多地被采用，成為病毒發(fā)展的一個(gè)新趨勢(shì)。本人所在的單位時(shí)常會(huì)出現(xiàn)網(wǎng)絡(luò)頻繁中斷現(xiàn)象。檢測(cè)發(fā)現(xiàn)，主要是因?yàn)锳RP病毒攻擊所致。于是自己根據(jù)遇到的情況，對(duì)ARP病毒攻擊進(jìn)行了初步的研究，并提出了相應(yīng)的防范措施。

關(guān)鍵詞 APR 攻擊 防范措施

一、ARP協(xié)議及工作原理

1. ARP協(xié)議

ARP協(xié)議是地址解析協(xié)議(Address Resolution Protocol)的縮寫(xiě)，在局域網(wǎng)中以幀的方式進(jìn)行傳輸數(shù)據(jù)，并且根據(jù)幀中目標(biāo)主機(jī)的MAC地址來(lái)進(jìn)行尋址。例如，主機(jī)A要和主機(jī)B進(jìn)行直通信，但由于兩臺(tái)主機(jī)使用的地址是一種邏輯的地址，而相互通信的道路卻是一個(gè)真實(shí)的物理網(wǎng)路。主機(jī)在發(fā)送報(bào)文前將目的主機(jī)的IP地址轉(zhuǎn)換成目的主機(jī)MAC地址的協(xié)議，稱之為ARP協(xié)議。

2.ARP協(xié)議工作原理

由于主機(jī)的IP地址與MAC地址是一一對(duì)應(yīng)的關(guān)系，處于同一網(wǎng)段中的A和B兩臺(tái)主機(jī)進(jìn)行通信，主機(jī)A要向主機(jī)B發(fā)送信息。首先主機(jī)A查看自己的ARP緩存表，是否包含有目標(biāo)主機(jī)B對(duì)應(yīng)的IP地址。如果有，那么對(duì)應(yīng)的MAC地址也就找到了，則主機(jī)A直接把目標(biāo)MAC地址寫(xiě)入幀里面發(fā)送就可以了。若是主機(jī)A在其ARP緩存表中未找到主機(jī)B的MAC地址，然后在同一網(wǎng)段里發(fā)送一個(gè)ARP請(qǐng)求報(bào)文的廣播，網(wǎng)段中的其他主機(jī)都不會(huì)響應(yīng)主機(jī)A的ARP廣播請(qǐng)求，只有被請(qǐng)求的主機(jī)B會(huì)對(duì)該請(qǐng)求作出回應(yīng)。這樣主機(jī)A就知道了主機(jī)B的MAC地址，進(jìn)而向B發(fā)送信息。

還有一種情況就是主機(jī)A和主機(jī)B不在同一網(wǎng)段內(nèi)通信，主機(jī)A就會(huì)在自己的網(wǎng)段內(nèi)先向網(wǎng)關(guān)發(fā)出ARP請(qǐng)求。網(wǎng)關(guān)將自己的MAC地址回應(yīng)給主機(jī)A，主機(jī)A將報(bào)文封裝后再發(fā)給網(wǎng)關(guān)。

二、 ARP病毒的欺騙原理和過(guò)程

ARP病毒欺騙就是通過(guò)信息通信環(huán)境下，對(duì)通信的數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)并進(jìn)行截獲。假設(shè)三臺(tái)電腦在同一個(gè)局域網(wǎng)內(nèi)，連接方式為交換機(jī)(Switch)連接，分別是攻擊方A主機(jī)；發(fā)送數(shù)據(jù)方B主機(jī); 接收數(shù)據(jù)方C主機(jī)。比如B主機(jī)要給C主機(jī)發(fā)送數(shù)據(jù)，首先B主機(jī)會(huì)向他們所在的網(wǎng)段發(fā)出一個(gè)廣播詢問(wèn)，C主機(jī)收到請(qǐng)求后回應(yīng)自己的正確MAC地址?？膳c此同時(shí)，A主機(jī)通過(guò)監(jiān)聽(tīng)然后對(duì)C的數(shù)據(jù)進(jìn)行截獲，再把C主機(jī)的IP地址和它本身的MAC地址返回給B。B主機(jī)就會(huì)誤認(rèn)為所收到的“請(qǐng)求地址”為C的正確地址，這樣A主機(jī)把應(yīng)答數(shù)據(jù)不停地發(fā)送過(guò)去，致使B主機(jī)對(duì)自己的ARP緩存表記錄進(jìn)行重新更新，表中新增的記錄也就成了C主機(jī)的IP地址與A主機(jī)的MAC地址對(duì)應(yīng)了。

三、ARP攻擊網(wǎng)絡(luò)故障現(xiàn)象及故障查找方法

1.故障現(xiàn)象

單位局域網(wǎng)內(nèi)的用戶上網(wǎng)時(shí)而網(wǎng)速極慢，時(shí)而正常。有的時(shí)候情況更糟糕——局域網(wǎng)內(nèi)用戶集體上不了網(wǎng)，網(wǎng)絡(luò)處于癱瘓狀態(tài)。

2.故障查找

ARP病毒的攻擊，尤其是對(duì)企業(yè)辦公的影響特別的大，所以本人在互聯(lián)網(wǎng)上也查找了許多相關(guān)問(wèn)題的解決方法，從中學(xué)到了很多并賦予實(shí)踐，而且效果很明顯。

當(dāng)局域網(wǎng)中有幾臺(tái)電腦出現(xiàn)了ARP病毒攻擊的現(xiàn)象后。先在能正常上網(wǎng)的的計(jì)算機(jī)上打開(kāi)運(yùn)行，輸入CMD，然后輸入arp -a命令，ARP緩存表的記錄就顯示出來(lái)了，在表中找到相應(yīng)的網(wǎng)關(guān)IP地址和對(duì)應(yīng)的MAC地址。再到發(fā)生故障的電腦上運(yùn)行arp -a命令，看查到網(wǎng)關(guān)的記錄是否與之前的記錄相同，如果在正常情況下肯定是一致的，若出現(xiàn)MAC地址不一致的情況，那說(shuō)明很不幸，ARP病毒攻擊了這臺(tái)電腦。

四、防范措施

1.用戶端

（1）使用相應(yīng)的殺毒軟件及防火墻嗎，安裝系統(tǒng)補(bǔ)丁

安裝ARP殺毒專用軟件，以及ARP防火墻，例如彩虹防火墻。隨時(shí)更新系統(tǒng)補(bǔ)丁，避免病毒的侵害。

（2）IP地址和MAC地址的靜態(tài)綁定

用戶制作一個(gè)bat文件，文件的內(nèi)容就是對(duì)內(nèi)網(wǎng)中的網(wǎng)關(guān)和主機(jī)的IP地址和MAC地址進(jìn)行綁定，之后把做好的bat文件放到系統(tǒng)開(kāi)始的啟動(dòng)項(xiàng)的目錄下，當(dāng)系統(tǒng)重啟后，就可以自動(dòng)運(yùn)行文件，生成網(wǎng)內(nèi)主機(jī)IP地址和MAC地址綁定的映射表。

2 網(wǎng)管端

（1）使用抓包軟件

ARP病毒攻擊時(shí)的癥狀就是網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，這里推薦一款抓包軟件Sniffer，通過(guò)它可以檢測(cè)出很多異常的ARP包。

（2）在企業(yè)網(wǎng)內(nèi)部可以統(tǒng)一的安裝企業(yè)版的ARP防火墻軟件。

（3）在交換機(jī)上綁定IP地址和MAC地址

網(wǎng)管員可以同時(shí)在核心交換機(jī)和二層交換機(jī)上將局域網(wǎng)內(nèi)的電腦的IP地址和MAC地址進(jìn)行綁定。利用雙重安全綁定方式可以很大的程度上預(yù)防受感染的用戶利用ARP欺騙、盜取合法用戶的信息，從而降低了ARP攻擊網(wǎng)絡(luò)的影響。

（4）劃分VLAN端口進(jìn)行隔離

按照需要，在網(wǎng)絡(luò)中心，可以在核心交換機(jī)上把各部門(mén)進(jìn)行網(wǎng)絡(luò)規(guī)劃，劃分到不同的Vlan中去，當(dāng)某個(gè)用戶或某幾個(gè)用戶感染了ARP病毒，并進(jìn)行惡意攻擊別人時(shí)，由于網(wǎng)絡(luò)劃分了Vlan，惡意攻擊的情況只會(huì)出現(xiàn)在一個(gè)或幾個(gè)Vlan當(dāng)中，不會(huì)影響整個(gè)網(wǎng)絡(luò)，這樣就降低了整個(gè)網(wǎng)絡(luò)癱瘓的可能性。然后，將感染ARP病毒的用戶進(jìn)行隔離，待清除病毒后再允許連接至局域網(wǎng)。

（5）采取802.1X服務(wù)認(rèn)證

802.1X認(rèn)證可以將某臺(tái)受ARP病毒感染的主機(jī)，通過(guò)認(rèn)證的方式，檢測(cè)出不具備認(rèn)證條件，將其從網(wǎng)絡(luò)中隔離出去。

五、結(jié)論

ARP病毒攻擊目前是局域網(wǎng)內(nèi)最常見(jiàn)的一種病毒攻擊方式，而且也是最令網(wǎng)管頭疼的一種方式。它的攻擊技術(shù)含量低，隨便一個(gè)人都可以通過(guò)攻擊軟件來(lái)完成ARP欺騙攻擊。同時(shí)防范ARP欺騙也沒(méi)有什么特別好的辦法，也只能通過(guò)即時(shí)發(fā)現(xiàn)癥狀即時(shí)解決。無(wú)論怎樣防范，首要的就是找出病毒攻擊的原理。只有這樣才能找到非常有效的解決方案。

參考文獻(xiàn):

[1]張?jiān)?計(jì)算機(jī)網(wǎng)絡(luò)[M].清華大學(xué)出版社.2004.

[2]邱雪松，ARP病毒原理與防御[M].柳鋼科技出版社.2006.

[3]王奇.以太網(wǎng)中ARP欺騙原理與解決辦法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007，(2)