局域網(wǎng)環(huán)境下直接和間接ARP風暴攻擊的探討

李少峰 周天宏

（1.鄖陽師范高等?？茖W校 湖北 442000；2.武漢商學院 湖北 430079）

0 引言

分布式拒絕服務(wù)（DDoS）攻擊是配置多個DOS代理，一起發(fā)送攻擊流量到一個受害者的計算機。[1]DDoS攻擊是一種故意的行為，它是消耗計算機系統(tǒng)的帶寬、系統(tǒng)資源和處理時間，從而降低計算機的服務(wù)質(zhì)量和可用性。因此，用戶無法充分訪問一個或多個Web服務(wù)。由于DDoS攻擊像洪水一般的數(shù)據(jù)包攻擊，那么計算機資源枯竭的程度取決于流量類型，攻擊流量的體積及計算機的處理能力。根據(jù)（CERT / CC）中心的調(diào)研報告，分布式拒絕服務(wù)（DDoS）增加了針對Windows終端用戶和服務(wù)器攻擊。Windows終端用戶相比專業(yè)人員和網(wǎng)絡(luò)管理員通常缺少安全意識、防范意識。而且，大量Windows用戶的互聯(lián)網(wǎng)服務(wù)提供商相對容易確定，因此攻擊者或入侵者利用Windows最終用戶的服務(wù)器和計算機系統(tǒng)，選擇網(wǎng)絡(luò)攻擊目標。

1 ARP攻擊的類型

在局域網(wǎng)中，一些計算機受到拒絕服務(wù)（DoS）攻擊后也會發(fā)送大量的ARP請求，占用其他計算機的資源。拒絕服務(wù)攻擊在快速掃描時，可以造成蠕蟲等紅色代碼形成ARP風暴，網(wǎng)絡(luò)中受到DDOS攻擊的計算機和服務(wù)器會出現(xiàn)大量的ARP風暴。受到ARP風暴攻擊的計算機，可能會收到大量來自同一局域網(wǎng)中其他計算機攻擊的ARP請求，這會占用受ARP風暴攻擊的網(wǎng)絡(luò)帶寬和處理信息的能力。蠕蟲紅色代碼的快速掃描活動可能導(dǎo)致拒絕服務(wù)服務(wù)器攻擊，蠕蟲紅色代碼只要有一個補丁沒有完成，就可以很容易地擴展到這個系統(tǒng)。對于在網(wǎng)絡(luò)上感染蠕蟲的計算機，其IP地址會一遍又一遍遭到攻擊，這會導(dǎo)致網(wǎng)絡(luò)中大量的流量流失，影響服務(wù)器的性能。我們探討ARP攻擊，發(fā)現(xiàn) ARP請求不斷的向受害者的計算機發(fā)起攻擊的同時，在同一個局域網(wǎng)段的受害者計算機也會形成ARP流量攻擊其他計算機。

2 處理ARP數(shù)據(jù)包請求

2.1 ARP數(shù)據(jù)包請求

在局域網(wǎng)中的網(wǎng)關(guān)或主機，使用ARP請求廣播消息的IP地址必需和硬件綁定，ARP報文中包含的IP地址，主機的硬件地址需要解析。所有的網(wǎng)絡(luò)上的計算機接受ARP報文只需要通過發(fā)送一個回復(fù)，包涵計算機所需要的硬件地址。

2.2 ARP數(shù)據(jù)包格式

ARP是實用于各種網(wǎng)絡(luò)技術(shù)，ARP數(shù)據(jù)包的格式取決于正在使用的網(wǎng)絡(luò)類型。用于以太網(wǎng)的ARP數(shù)據(jù)包的格式如圖1所示。使用8字節(jié)的ARP報文格式，解決IP協(xié)議的以太網(wǎng)硬件地址。ARP報文格式包含發(fā)送端和接收端的硬件地址和IP地址如圖1。制作一個ARP請求時，發(fā)送方將目標IP地址，硬件地址設(shè)置為空（這是由目標計算機填充）。

表1 ARP數(shù)據(jù)包格式

在ARP請求廣播的報文中，發(fā)送方提供自己更新的硬件和IP地址，以及發(fā)送方未來通信的ARP緩存表。[2]在以太網(wǎng)中，ARP數(shù)據(jù)包的格式是2字節(jié)的硬件類型，網(wǎng)絡(luò)類型。2字節(jié)的協(xié)議類型字段指定 IP 地址等高層協(xié)議的使用。在任意網(wǎng)絡(luò)中使用ARP協(xié)議的情況下，每一個字節(jié)指定了硬件地址和協(xié)議地址的長度。2字節(jié)的操作字段指定了四種可能性，即1為ARP請求，2表示ARP應(yīng)答，3 RARP請求和4為RARP應(yīng)答。[3]

3 兩種不同類型ARP

局域網(wǎng)上的計算機將從網(wǎng)絡(luò)接收兩種不同類型的 ARP請求包。ARP請求包的第一類可稱為直接ARP請求流量，其中ARP請求數(shù)據(jù)包的IP地址與本地計算機的IP地址相匹配。第二類 ARP請求流量是通過局域網(wǎng)上計算機的接收稱為間接ARP請求流量，在ARP請求數(shù)據(jù)包的IP地址不匹配本地計算機的IP地址。換句話說，一臺計算機的IP地址在局域網(wǎng)可能會收到兩種類型的ARP攻擊即：

（1）直接ARP流量- 這是包括帶有IP地址的ARP請求報文的流量={χ|χ=pi}

（2）間接ARP流量- 這是包括帶有IP地址的ARP請求報文的流量={χ|χ≠pi}

ARP攻擊計算機一般是直接ARP流量攻擊，同一局域網(wǎng)段內(nèi)，沒有遭到直接 ARP流量攻擊的其他計算機將遭到間接ARP流量攻擊。直接ARP攻擊發(fā)送者和目標計算機數(shù)據(jù)包的IP和硬件地址，只是針對發(fā)送方計算機。間接ARP攻擊一旦確定ARP請求數(shù)據(jù)包不是本地計算機，間接ARP消息被簡單地丟棄。在局域網(wǎng)中非受害者的電腦接收間接的ARP請求幀，相比受害者計算機接收直接ARP請求幀涉及多個處理，一個ARP請求幀所需的處理是相當簡單。一個間接的ARP請求消息被接收相對處理較少，受害者的計算機或服務(wù)器會有大量的信息給相對較少的計算機進行處理。ARP攻擊的直接ARP請求幀、間接ARP請求幀耗盡計算機處理器性能，取決于計算機處理器的速度和帶寬。

4 檢測和預(yù)防

局域網(wǎng)中ARP風暴可以迅速消耗所有計算機的計算資源，從而影響處理能力。因此，在整個局域網(wǎng)網(wǎng)段內(nèi)要檢測ARP風暴并立即預(yù)防。為了發(fā)現(xiàn)ARP攻擊，重要的是要監(jiān)控每個局域網(wǎng)段上的ARP流量。例如ARP 表，在每個局域網(wǎng)段上可以用來監(jiān)控ARP流量。還可以使用SNMP監(jiān)視器在路由器和交換機的ARP映射表變化，提高發(fā)生ARP攻擊報警。

防止ARP風暴的方法之一是涉及第2層交換機上開始建立控制的ARP廣播風暴的源頭。這可以通過允許在每個端口上的廣播或多流量端口來實現(xiàn)。此外，這些多流量的每個端口應(yīng)該被限制帶寬，利用ARP廣播在交換機端口設(shè)置消耗，防止ARP廣播通過在交換機上端口消耗帶寬。為了支持多層次的預(yù)防，路由器也可用于控制網(wǎng)段ARP風暴傳播給他人的局域網(wǎng)。網(wǎng)絡(luò)管理員可以配置路由器（使用控制政策）以IM限制ARP請求速率，然后再進行相關(guān)的局域網(wǎng)網(wǎng)段的限制。當該ARP請求流量超過設(shè)定ARP請求流量，則該ARP請求報文通過路由器丟棄。路由器的硬件必須足夠快，以檢查和丟棄超過規(guī)定流量的ARP請求報文，否則很可能導(dǎo)致路由器崩潰或處理速度放緩，更重要的后果是本身成為一個瓶頸導(dǎo)致最終的拒絕服務(wù)（DOS）。

5 結(jié)論

分布式拒絕服務(wù)（DDoS）攻擊，由于ARP風暴可以發(fā)現(xiàn)許多計算機局域網(wǎng)系統(tǒng)被蠕蟲感染。如紅色代碼或DDoS代理。在本文中，ARP攻擊可以分為兩類，直接ARP流量和間接ARP流量攻擊，這兩種攻擊對受害者和非受害者的電腦系統(tǒng)在受影響的情況下網(wǎng)絡(luò)處理進行了對比。在一個給定的局域網(wǎng)內(nèi)，ARP攻擊不僅耗盡了受害者的計算機資源，同時也耗盡了其他非受害者計算機資源。那么，有效設(shè)計和使用交換機和路由器的流量，提高和預(yù)防ARP攻擊。

[1]李鵬，追蹤反射器DDoS攻擊[D].吉林大學 2005年.

[2]曾光裕，基于ARP協(xié)議的網(wǎng)絡(luò)監(jiān)聽技術(shù)研究[J].《計算機工程與技術(shù)》 2009年.

[3]黃向黨，數(shù)據(jù)包的捕獲與分析[J].《福建電腦》 2012年.