ARP攻擊及其防范措施

摘 要：在網(wǎng)絡日益復雜化、多樣化的今天，網(wǎng)絡安全問題已經(jīng)成為影響網(wǎng)絡發(fā)展重要因素之一。在局域網(wǎng)內(nèi)部，利用TCP/IP協(xié)議的漏洞進行攻擊是用戶常遇見的網(wǎng)絡故障，本文將詳細介紹ARP的工作原理，ARP攻擊手段及幾種防范措施。

關(guān)鍵詞：ARP攻擊；地址欺騙；安全防范

中圖分類號：TP393.08

ARP攻擊是針對以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)。攻擊者通過截取或是篡改局域網(wǎng)上的數(shù)據(jù)封包，使得網(wǎng)絡上特定計算機或所有計算機無法正常連接。

ARP協(xié)議的工作原理是：當主機A要向本局域網(wǎng)上的某主機B發(fā)送IP數(shù)據(jù)包時，若發(fā)現(xiàn)在其ARP高速緩存中查不到主機B的IP地址，此時主機A自動運行ARP，按以下步驟找出主機B的硬件地址：

（1）ARP進程在本局域網(wǎng)上廣播發(fā)送一個ARP請求分組，向本局域網(wǎng)內(nèi)所有主機詢問主機B的硬件地址。

（2）在本局域網(wǎng)上的所有主機上運行的ARP進程都收到此ARP請求分組。

（3）主機B在ARP請求分組中見到自己的IP地址，就向主機A發(fā)送ARP響應分組，并寫入自己的硬件地址。其余所有主機則忽略這個ARP請求分組。

（4）主機A收到主機B的ARP響應分組后，就在其ARP高速緩存中寫入主機B的IP地址到硬件地址的映射。值得注意的是，雖然ARP請求分組是廣播發(fā)送的，但ARP響應分組是普通單播。

何為ARP攻擊？就是通過偽造IP地址和MAC地址，在網(wǎng)絡中產(chǎn)生大量的無用數(shù)據(jù)包使得網(wǎng)絡擁阻。攻擊者不斷發(fā)出偽造的ARP響應分組以期望改變目標主機ARP高速緩存中的IP地址到MAC地址的映射，造成網(wǎng)絡中斷或中間人攻擊，使得在同一局域網(wǎng)內(nèi)，有人可以正常上網(wǎng)，有人卻無法訪問任何頁面。

ARP欺騙有二種，分別為：對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙、對路由器ARP映射表的欺騙。

對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙的原理是：建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而無法通過正常的路由器上網(wǎng)。ARP欺騙攻擊可能會造成大量機器無法正常進行網(wǎng)絡連接。

對路由器ARP映射表的欺騙是：截獲網(wǎng)關(guān)數(shù)據(jù)。攻擊者發(fā)送偽造的ARP響應分組給路由器，內(nèi)含一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷發(fā)送，使得真實的地址信息無法通過更新保存到路由器中，結(jié)果路由器只能將所有數(shù)據(jù)發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。

1 對于ARP攻擊，我們可采取以下方法進行防范

1.1 捆綁IP地址和MAC地址

此方法可避免IP地址盜用。若是通過代理服務器上網(wǎng)，可在代理服務器端把靜態(tài)IP地址與上網(wǎng)計算機網(wǎng)卡的MAC地址進行捆綁。若是通過交換機連接，可將交換機端口與計算機的IP地址、網(wǎng)卡的MAC地址綁定。

1.2 修改物理地址

將真實的物理地址隱藏，也就是修改上網(wǎng)機的MAC地址，欺騙過ARP欺騙，從而躲過ARP攻擊。

1.3 使用ARP服務器

通過ARP服務器查找自己的ARP轉(zhuǎn)換表來響應其他機器的ARP廣播，并且要確保這臺ARP服務器不被攻擊。

1.4 交換機端口設置

端口保護：ARP欺騙需要交換機的兩個端口直接通訊，將端口設為保護端口即可簡單方便地隔離用戶之間信息互通，不必占用VLAN資源。

數(shù)據(jù)過濾：如需對報文做更進一步的控制用戶可以采用ACL（訪問控制列表）。ACL利用IP地址、TCP/UDP端口等對進出交換機的報文進行過濾，可以預設條件，對報文做出允許轉(zhuǎn)發(fā)或阻塞的決定。

1.5 利用硬件屏蔽主機

設置路由，確保IP地址能到達合法的路徑（靜態(tài)配置路由ARP條目），使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。

1.6 禁止網(wǎng)絡接口做ARP解析

在相對系統(tǒng)中禁止某個網(wǎng)絡接口做ARP解析（對抗ARP欺騙攻擊），可以做靜態(tài)ARP協(xié)議設置。

1.7 定期檢查ARP緩存

利用響應的IP包中獲得的RARP請求，檢查ARP響應的真實性。定期檢查主機上的ARP緩存，使用防火墻連續(xù)監(jiān)控網(wǎng)絡。但是在使用SNMP的情況下，ARP欺騙有可能導致陷阱包丟失。

2 ARP防火墻對于ARP攻擊的防范

2.1 防火墻針對ARP欺騙的對策

在系統(tǒng)內(nèi)核層做策略，攔截可能發(fā)生的外來虛假數(shù)據(jù)或本機對外的ARP攻擊數(shù)據(jù)包，在保障本機不受ARP攻擊的同時，減少如感染惡意程序后對外的攻擊機會，保證網(wǎng)絡暢通。

（1）攔截IP沖突：在系統(tǒng)內(nèi)核層做策略，攔截IP沖突數(shù)據(jù)包。

（2）Dos攻擊抑制：在系統(tǒng)內(nèi)核層做策略，攔截對外的攻擊數(shù)據(jù)包，定位惡意發(fā)動DoS攻擊的程序。

（3）安全模式：除網(wǎng)關(guān)外，不響應其它機器發(fā)送的ARPRequest數(shù)據(jù)包，達到隱身效果。

（4）ARP數(shù)據(jù)分析：對本機接收到的所有ARP數(shù)據(jù)包進行分析，找出潛在的攻擊者或中毒的機器。

（5）監(jiān)測ARP緩存：自動監(jiān)測本機ARP緩存表，若發(fā)現(xiàn)網(wǎng)關(guān)物理地址被惡意程序篡改，及時報警并自動修復。

（6）主動防御：主動與網(wǎng)關(guān)保持通訊，通告網(wǎng)關(guān)正確的MAC地址。

（7）追蹤攻擊者：發(fā)現(xiàn)攻擊行為后，自動快速鎖定攻擊者IP地址。

（8）ARP病毒專殺：發(fā)現(xiàn)本機的對外攻擊行為，自動定位查殺本機感染的惡意程序、病毒程序。

2.2 在局域網(wǎng)針對ARP欺騙的策略

（1）檢查本機的“ARP欺騙”木馬染毒進程

（2）檢查網(wǎng)內(nèi)感染“ARP欺騙”木馬染毒的計算機

（3）設置ARP表避免“ARP欺騙”木馬影響的方法

（4）靜態(tài)ARP綁定網(wǎng)關(guān)

2.3 入侵檢測技術(shù)

（1）入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時的判斷、記錄和報警。

（2）一個有效的入侵檢測系統(tǒng)應限制誤報出現(xiàn)的次數(shù)，但同時又能有效截擊。誤報是指被入侵檢測系統(tǒng)測報警的是正常及合法使用受保護網(wǎng)絡和計算機的訪問。誤報是入侵檢測系統(tǒng)最頭疼的問題，攻擊者可以而且往往是利用包的結(jié)構(gòu)偽造無威脅的“正?！奔倬瘓螅T導沒有警覺性的管理員人把入侵檢測系統(tǒng)關(guān)掉。

（3）沒有一個應用系統(tǒng)不會發(fā)生錯誤，入侵檢測發(fā)生誤報的四個主要原因是：缺乏共享數(shù)據(jù)的機制、缺乏集中協(xié)調(diào)的機制、缺乏揣摩數(shù)據(jù)在一段時間內(nèi)變化的能力、缺乏有效的跟蹤分析。

（4）根據(jù)入侵檢測的信息來源不同，可以將入侵檢測系統(tǒng)分為兩類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)。

（5）入侵檢測的方法：1）目前入侵檢測方法有三種分類依據(jù)：根據(jù)物理位置進行分類、根據(jù)建模方法進行分類、根據(jù)時間分析進行分類。2）常用的方法有兩種：靜態(tài)配置分析、異常性檢測方法。

參考文獻：

[1]朱齊勇，范旗，李朋.種關(guān)于ARP攻擊的防范措施[J].中國商界（下半月），2010，10.

[2]鄧光明.利用H3C的3600交換機尋找計算機ARP病毒[J].大眾科技，2011，07.

[3]王磊，淺析ARP協(xié)議安全漏洞及對策[J].農(nóng)業(yè)網(wǎng)絡信息，2008，09.

[4]朱光迅，鄧秀華.ARP欺騙原理及防護技術(shù)方案[J].韶關(guān)學院學報，2007，06.

[5]張振，楊闈元.局域網(wǎng)ARP攻擊分析及應對策略[J].黑龍江科技信息，2010，17.

作者單位：湖南司法警官職業(yè)學院，長沙 410013