ARP攻擊現(xiàn)狀分析及一種應(yīng)對ARP攻擊的方法

史雋彬， 秦 科

(電子科技大學(xué)信息與軟件工程學(xué)院，四川 成都 610054)

0 引言

隨著互聯(lián)網(wǎng)的發(fā)展與普及，網(wǎng)絡(luò)安全成為了一個不得不重視的問題。局域網(wǎng)的ARP攻擊就是一種來自內(nèi)網(wǎng)的安全隱患，輕則可造成網(wǎng)絡(luò)擁堵，干擾內(nèi)網(wǎng)的正常通信;重則可造成數(shù)據(jù)被監(jiān)聽和記錄或者局域網(wǎng)的崩潰，帶來巨大的經(jīng)濟損失。因此，應(yīng)對局域網(wǎng)ARP攻擊是保障網(wǎng)絡(luò)安全必不可少的環(huán)節(jié)。

1 ARP協(xié)議概述

ARP協(xié)議[1]即地址解析協(xié)議，用于實現(xiàn)IP地址到網(wǎng)絡(luò)接口硬件地址的映射。每一臺主機都有一個ARP緩存表(見表1)，表中記錄了局域網(wǎng)內(nèi)的所有主機的IP地址與MAC地址的對應(yīng)關(guān)系。[2]在以太網(wǎng)中，當(dāng)一臺主機想與另一臺主機通信時，需要獲取該主機的MAC地址，之后通信就依靠兩者緩存表中的MAC地址，直到這個＜IP，MAC＞地址映射超時，才重新發(fā)起ARP解析請求。[3]ARP協(xié)議的主要功能即通過該表，解析IP地址來獲取對應(yīng)主機的MAC地址。

表1 ARP緩存表

ARP緩存表更新效率很高，但是存在一個致命漏洞，即沒有身份認證機制。因為ARP是一個無狀態(tài)的協(xié)議，所以對于大多數(shù)操作系統(tǒng)，如果收到一個ARP應(yīng)答，它們不管自己是否在此之前曾經(jīng)發(fā)出ARP請求，都會更新自己的ARP緩存。[4]這也是進行ARP攻擊的漏洞基礎(chǔ)。

2 ARP攻擊類型綜述

2.1 ARP 欺騙攻擊

2.1.1 中間人攻擊

攻擊者C可以通過對ARP廣播包的分析，得知網(wǎng)內(nèi)正在通信的A與B的IP和MAC。C向A發(fā)送一個ARP應(yīng)答包，將存放在A緩存表里B的MAC刷新為自己的MAC，同時向B發(fā)送一個ARP應(yīng)答包，將存放在B緩存表里A的MAC也刷新為自己的MAC，然后開啟數(shù)據(jù)包自動轉(zhuǎn)發(fā)，就可以對A與B的通信內(nèi)容進行監(jiān)聽，而A與B卻對此無法察覺。

2.1.2 對路由器欺騙攻擊

攻擊者通過向路由器發(fā)送ARP應(yīng)答包，用錯誤的MAC地址來不斷刷新路由器的ARP緩存表，路由器就會根據(jù)這個錯誤的緩存表來完成IP-MAC的映射，無法將數(shù)據(jù)包正常發(fā)送到網(wǎng)內(nèi)的主機，導(dǎo)致內(nèi)網(wǎng)機器無法通過路由進行正常通信。

2.1.3 偽造網(wǎng)關(guān)以及對用戶的欺騙攻擊

攻擊者向被攻擊目標(biāo)發(fā)送錯誤的ARP應(yīng)答包，該應(yīng)答包會刷新被攻擊目標(biāo)的ARP緩存表，使得被攻擊者的網(wǎng)關(guān)或待通信主機的MAC指向一個錯誤的或者不存在的地址，被攻擊者就無法與網(wǎng)關(guān)或待通信主機正常建立通信。[5]

2.2 IP地址沖突攻擊

某主機在局域網(wǎng)檢測自身IP地址是否被使用，是通過以下方法進行的:用本機IP作為目的IP地址，發(fā)送ARP請求包，如果收到應(yīng)答，則提示該IP在網(wǎng)絡(luò)已經(jīng)存在，即IP地址沖突。攻擊者只需要擬造一個MAC地址，并使用被攻擊者的IP地址制作一個ARP應(yīng)答包發(fā)送回請求端，即可造成對方IP地址沖突。

2.3 ARP報文洪泛攻擊

每臺主機都有一個ARP緩存表，洪泛攻擊即通過向網(wǎng)絡(luò)發(fā)送大量的無用ARP報文，通過這些報文來讓目標(biāo)主機ARP緩存表表滿并溢出，使目標(biāo)主機無法正常使用ARP緩存表，待通信IP地址就無法解析為對應(yīng)MAC地址，來達到干擾目標(biāo)主機通信的目的，同時洪泛攻擊帶來的大量無用ARP報文，需要消耗目標(biāo)主機很多的硬件資源來進行處理。

3 ARP攻擊的應(yīng)對方案和存在的局限性

3.1 網(wǎng)絡(luò)分段

在路由器或交換機上用VLAN對當(dāng)前局域網(wǎng)進行合理分段操作，這樣既可以方便網(wǎng)絡(luò)的管理，便于故障的排查，也可以有效減少局域網(wǎng)ARP攻擊的作用范圍。但網(wǎng)絡(luò)分段并不能徹底解決局域網(wǎng)ARP攻擊的問題。分段只能將局域網(wǎng)ARP攻擊的影響范圍從整個局域網(wǎng)縮減到攻擊者所在網(wǎng)段，并且能更容易尋找到攻擊源，解決網(wǎng)絡(luò)故障，但是它并不能從根本上解決局域網(wǎng)ARP攻擊。尤其是同時遭遇到多個攻擊源的ARP攻擊時，網(wǎng)絡(luò)分段對ARP攻擊影響范圍的阻隔作用就微乎其微了。

3.2 設(shè)置靜態(tài)ARP緩存表

在局域網(wǎng)的數(shù)據(jù)層中，A主機若要與B通信，則會根據(jù)自己的ARP緩存表，把B的IP地址對應(yīng)的MAC地址找到，然后根據(jù)這個MAC地址發(fā)送數(shù)據(jù)包，與B建立連接。若將這個ARP緩存表設(shè)置成靜態(tài)的，則攻擊方利用ARP緩存表的刷新原理，向A主機發(fā)出錯誤的ARP應(yīng)答包用以篡改A的ARP緩存表時，A會拋棄該應(yīng)答包并保留原緩存表不變，也就不會受到攻擊方進行的ARP欺騙攻擊了。

設(shè)置靜態(tài)ARP緩存表可以有效避免局域網(wǎng)ARP攻擊，但是局限性也十分明顯，首先每次重新啟動都必須重新設(shè)置靜態(tài)緩存，十分麻煩。其次，這一方案完全不適用于大型局域網(wǎng)或者主機流動性大的局域網(wǎng)。因為，這些網(wǎng)絡(luò)每天都有大量的新機器進入網(wǎng)絡(luò)，都需要重新給它們分配IP資源。如果對于這些機器，都一一進行雙向的手動設(shè)置靜態(tài)ARP緩存表，將帶來巨大的人工成本。

3.3 使用一些應(yīng)答包篩選功能的ARP防火墻

一些防火墻在收到大量ARP應(yīng)答包的時候，可以將那些沒有ARP請求對應(yīng)的應(yīng)答包直接舍棄掉，并且防火墻可以同時進行IP地址與MAC地址的靜態(tài)綁定，這樣可以更完善地防御局域網(wǎng)的ARP攻擊。

這類防火墻的使用，的確能夠很大程度上改善局域網(wǎng)的ARP攻擊問題，可以解決靜態(tài)緩存表的自動綁定，并且可以對ARP報文洪泛攻擊的錯誤應(yīng)答包進行識別和篩選。但是，它和靜態(tài)ARP緩存表具有一個相同的問題，就是不適合大型網(wǎng)絡(luò)。同樣的，該類防火墻并不能解決新進入網(wǎng)絡(luò)的計算機的IP分配問題，在大型網(wǎng)絡(luò)中仍然不適用。

4 一種應(yīng)對局域網(wǎng)ARP攻擊的解決方案

根據(jù)現(xiàn)有解決方案存在的局限性，不難看出，它們都不適合大型局域網(wǎng)和計算機流動性較大的局域網(wǎng)。若要解決設(shè)置靜態(tài)ARP緩存后，網(wǎng)絡(luò)再次新進計算機的IP分配以及IP-MAC綁定，就要用到DHCP[6]。

4.1 IP 分配

在新進入網(wǎng)絡(luò)的主機發(fā)出DISCOVER以后，DHCP服務(wù)器會根據(jù)主機的請求，將未被租用的IP地址分配給該新進主機。在檢測到DHCP服務(wù)器發(fā)出OFFER，IP地址分配成功以后，即進行IP-MAC的路由和主機端雙向綁定。

4.2 空閑IP地址資源釋放

按上述步驟IP分配完成后，該IP地址即被租用。但由于靜態(tài)ARP緩存設(shè)置，會導(dǎo)致該IP地址無論是否使用而一直被租用，無法得到釋放，最終導(dǎo)致IP地址資源枯竭。所以，在通信中，當(dāng)主機遇到網(wǎng)絡(luò)無響應(yīng)情況，則對ARP緩存表進行刷新。路由器在對該主機無響應(yīng)的情況下，主動解除該IP與MAC的綁定關(guān)系，刷新ARP緩存表，釋放該無效IP地址。

4.3 關(guān)于DHCP欺騙攻擊

開啟DHCP-Snooping功能可以很好地應(yīng)對DHCP欺騙攻擊。DHCP-Snooping會建立和維護DHCPSnooping緩存表，并根據(jù)該表對DHCP報文進行監(jiān)聽，若發(fā)現(xiàn)不可信任的DHCP報文則將其濾除，以此來預(yù)防DHCP欺騙攻擊。

4.4 對于ARP報文洪泛及DHCP洪泛的預(yù)防

對于ARP報文洪泛攻擊，可通過ARP防火墻的篩選功能，將沒有ARP請求與之對應(yīng)的ARP應(yīng)答包直接舍棄掉。對于DHCP洪泛攻擊，在短時間內(nèi)收到來自同一MAC地址的大量請求IP的DISCOVER時，對該MAC地址進行一段時間的限制訪問，即可避免DHCP洪泛影響DHCP-Snooping和造成網(wǎng)絡(luò)崩潰的問題。

5 仿真實驗與結(jié)果分析

用多臺機器及多個VMware虛擬機構(gòu)建局域網(wǎng)。開啟DHCP對網(wǎng)內(nèi)主機分配IP，然后進行ARP攻擊測試。攻擊前通信測試結(jié)果如圖1。

圖1 進行ARP攻擊前的通信測試結(jié)果

ARP欺騙數(shù)據(jù)包的代碼構(gòu)造:

ARP_Header ARPH;//發(fā)送的ARP包結(jié)構(gòu)

//先初始化三層ARP的MAC

ARPH.DMac3.byte1=0;ARPH.DMac3.byte2=0;ARPH.DMac3.byte3=0;

ARPH.DMac3.byte4=0;ARPH.DMac3.byte5=0;ARPH.DMac3.byte6=0;//目標(biāo) MAC

ARPH.SMac3.byte1=0x00;ARPH.SMac3.byte2=0xE0;ARPH.SMac3.byte3=0x11;

ARPH.SMac3.byte4=0x01;ARPH.SMac3.byte5=0xD0;ARPH.SMac3.byte6=0x05;//源 MAC

//ARPH.FrameHeader.SMac.byte1=ARPH.SMac3.byte1;ARPH.FrameHeader.SMac.byte2=ARPH.SMac3.byte2;ARPH.FrameHeader.SMac.byte3=ARPH.SMac3.byte3;

//ARPH.FrameHeader.SMac.byte4=ARPH.SMac3.byte4;ARPH.FrameHeader.SMac.byte5=ARPH.SMac3.byte5;ARPH.FrameHeader.SMac.byte6=ARPH.SMac3.byte6;//源 MAC

ARPH.FrameHeader.SMac.byte1=0x00;ARPH.FrameHeader.SMac.byte2=0xE0;ARPH.FrameHeader.SMac.byte3=0x11;

ARPH.FrameHeader.SMac.byte4=0x01;ARPH.FrameHeader.SMac.byte5=0xD0;ARPH.FrameHeader.SMac.byte6=0x05;//源MAC

ARPH.FrameHeader.DMac.byte1=0xFF;ARPH.FrameHeader.DMac.byte2=0xFF;ARPH.FrameHeader.DMac.byte3=0xFF;

ARPH.FrameHeader.DMac.byte4=0xFF;ARPH.FrameHeader.DMac.byte5=0xFF;ARPH.FrameHeader.DMac.byte6=0xFF;//目標(biāo)MAC

ARPH.FrameHeader.PType=htons(0x0806);//協(xié)議類型為 ARP

ARPH.HardWare=htons(0x0001);//10M Ethernet

ARPH.PType3=htons(0x0800);//協(xié)議類型為IP

ARPH.HLeng=6;//硬件地址長度

ARPH.PLeng=4;//IP地址長度

ARPH.Oper=htons(0x0001);//請求操作

ARPH.Daddr.byte1=172;ARPH.Daddr.byte2=18;ARPH.Daddr.byte3=19;ARPH.Daddr.byte4=110;//目標(biāo) IP

ARPH.Saddr.byte1=172;ARPH.Saddr.byte2=18;ARPH.Saddr.byte3=19;ARPH.Saddr.byte4=103;//源 IP

int i;

for(i=0;i＜18;i++)

{ARPH.padding[i]=0;}

return ARPH;

欺騙攻擊后，進行通信測試結(jié)果如圖2，ARP緩存表內(nèi)容如圖3。

圖2 攻擊后的通信測試結(jié)果

圖3 被攻擊者的ARP緩存表

根據(jù)4所述，將所有設(shè)備重啟，清空ARP緩存表，進行防御設(shè)置和防火墻開啟以后，重新用DHCP分配IP，然后進行ARP攻擊測試。

防御后通信結(jié)果如圖4，此時ARP緩存表內(nèi)容如圖5。

由此可見，該方案對于有效預(yù)防局域網(wǎng)ARP攻擊有一定效果。

圖4 防御后的通信測試結(jié)果

圖5 防御后的ARP緩存表

6 結(jié)束語

通過對于現(xiàn)有ARP攻擊類型以及防御方案的分析，針對現(xiàn)有解決方案存在的局限性，提出了解決應(yīng)對局域網(wǎng)ARP攻擊時，靜態(tài)緩存表和新進主機IP分配同時生效的方案。通過在局域網(wǎng)內(nèi)的數(shù)臺計算機用多個VMware虛擬機構(gòu)建虛擬大型局域網(wǎng)進行攻擊測試，發(fā)現(xiàn)不論對于原有主機，還是新入網(wǎng)的主機，該方案都能有效防御各種點對點的ARP攻擊，這對于大中型局域網(wǎng)的管理存在較大的便利性，也能較好保證局域網(wǎng)的網(wǎng)絡(luò)安全。事實上，對于不同類型的防御方案，總是有其缺陷的存在。應(yīng)對不同類型的攻擊，還要采取不同的方案。若要徹底杜絕ARP攻擊，則必須解決地址解析協(xié)議本身沒有身份驗證性質(zhì)的問題。

[1]David C Plummer.RFC826，An Ethernet Address Resolution Protocol[S].1982.

[2]唐玄，劉娟.局域網(wǎng)ARP攻擊原理與防范[J].電腦知識與技術(shù)，2008，4(33):1320.

[3]秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術(shù)綜述[J].計算機應(yīng)用研究，2009，26(1):30-33.

[4]任俠，呂述望.ARP協(xié)議欺騙原理分析與抵御方法[J].計算機工程，2003，29(9):127-128.

[5]吳許俊.校園網(wǎng)ARP攻擊與防御技術(shù)[J].科技信息，2009(19):45-46.

[6]黃彩鳳.DHCP基本原理及配置[J].鐵道通信信號，2009，45(7):44-46.