ARP技術(shù)淺析

張廣瑞

[摘 要] 隨著信息技術(shù)的飛速發(fā)展，ARP攻擊逐漸成為威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的“兇手”之一，它常常偽造MAC地址，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)加以侵害，使單位或個(gè)人遭受巨大經(jīng)濟(jì)損失。為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全、穩(wěn)定、高效，我們要對(duì)ARP攻擊進(jìn)行技術(shù)上的防范；要保證技術(shù)防范措施的科學(xué)、合理、有效，就要對(duì)ARP攻擊本身有系統(tǒng)詳細(xì)的了解。

[關(guān)鍵詞] ARP協(xié)議；工作原理；漏洞分析；防范

[中圖分類號(hào)] TP393.0 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2014）19- 0050- 02

1 ARP協(xié)議簡(jiǎn)介

1.1 ARP協(xié)議

地址解析協(xié)議（Address Resolution Protocol，ARP）是工作在OSI模型數(shù)據(jù)鏈路層中的一個(gè)協(xié)議。在本層與硬件接口聯(lián)系，同時(shí)對(duì)上層提供服務(wù)。主要工作是將網(wǎng)絡(luò)層地址解析為數(shù)據(jù)鏈路層的物理地址。

在以太網(wǎng)中，數(shù)據(jù)包被發(fā)送之前，首先要進(jìn)行數(shù)據(jù)包拆分、封裝，將數(shù)據(jù)包轉(zhuǎn)換成比特流，最后通過物理層設(shè)備進(jìn)行傳輸。數(shù)據(jù)包到達(dá)目標(biāo)設(shè)備或主機(jī)后再執(zhí)行與發(fā)送方相反的過程，即把比特流轉(zhuǎn)變成幀，解封裝。如果發(fā)送方與接收方處于同一個(gè)網(wǎng)絡(luò)中，則下一跳的MAC地址就是目標(biāo)的MAC地址；如果發(fā)送方和接收方不在同一個(gè)網(wǎng)絡(luò)內(nèi)，則下一跳的MAC地址就是網(wǎng)關(guān)的MAC地址。通過這個(gè)過程我們不難發(fā)現(xiàn)，在以太網(wǎng)中數(shù)據(jù)的傳輸僅知道目標(biāo)的IP地址是不夠的，還需要知道下一跳的MAC地址，這個(gè)在網(wǎng)絡(luò)通訊中至關(guān)重要的地址轉(zhuǎn)換或者說地址解析就是由ARP協(xié)議來完成的。

1.2 ARP工作原理

以主機(jī)A（10.70.1.2）向主機(jī)B（10.70.1.3）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)的MAC地址，直接把目標(biāo)的MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表里面沒有目標(biāo)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“ff-ff-ff-ff-ff-ff”，這表示向同一網(wǎng)段的所有主機(jī)發(fā)出這樣的詢問：“10.70.1.3的MAC地址是什么呀？”網(wǎng)絡(luò)上的其他主機(jī)并不回應(yīng)這一詢問，只有主機(jī)B接收到這個(gè)幀時(shí)才向A作出回應(yīng)：“10.70.1.3的MAC地址是03-03-03-03-03-03”這樣，主機(jī)A就知道了主機(jī)B的MAC地址，就可以向主機(jī)B發(fā)送信息了。同時(shí)，它還更新了自己的ARP緩存表，下次再向B發(fā)送數(shù)據(jù)時(shí)，直接在ARP緩存表中找就可以了。

2 ARP欺騙分析

2.1 ARP欺騙原理

局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對(duì)應(yīng)的關(guān)系依靠ARP表，每臺(tái)主機(jī)都有一個(gè)ARP緩存表。在正常情況下這個(gè)緩存表能夠有效保證數(shù)據(jù)傳輸?shù)囊灰粚?duì)應(yīng)。但是ARP協(xié)議的實(shí)現(xiàn)機(jī)制中存在缺陷，它是沒有身份驗(yàn)證機(jī)制的。當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后，不論是否正確，都會(huì)直接把原有的ARP緩存表里的相應(yīng)信息以應(yīng)答包里的MAC-IP替換掉。

2.2 ARP欺騙的方式

ARP欺騙主要包括以下3種方式：

（1）中間人欺騙攻擊，攻擊者將自己的主機(jī)插入兩個(gè)目標(biāo)主機(jī)通信路徑之間，使他的主機(jī)如同兩個(gè)目標(biāo)主機(jī)通信路徑上的一個(gè)中繼，這樣攻擊者就可以監(jiān)聽兩個(gè)目標(biāo)主機(jī)之間的通信，甚至篡改通信的內(nèi)容。

（2）拒絕服務(wù)式欺騙攻擊，就是使主機(jī)不能響應(yīng)外界請(qǐng)求，從而不能對(duì)外提供服務(wù)的攻擊方法。如果攻擊者將目標(biāo)主機(jī)ARP緩存中的MAC地址全部改為根本就不存在的地址，會(huì)使目標(biāo)主機(jī)向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀丟失，這樣上層應(yīng)用忙于處理這種異常而無法響應(yīng)外來請(qǐng)求，導(dǎo)致目標(biāo)主機(jī)產(chǎn)生拒絕服務(wù)。

（3）克隆欺騙攻擊，攻擊者首先對(duì)目標(biāo)主機(jī)實(shí)施拒絕服務(wù)攻擊，使其不能對(duì)外界作出任何反應(yīng)。然后發(fā)動(dòng)攻擊就可以將自己的IP與MAC地址分別改為目標(biāo)主機(jī)的IP與MAC地址，這樣攻擊者的主機(jī)變成了與目標(biāo)主機(jī)一樣的“克隆”。

2.3 ARP欺騙的危害

ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，只要感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)網(wǎng)絡(luò)通訊中斷，嚴(yán)重的甚至可能導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。網(wǎng)內(nèi)某臺(tái)機(jī)器感染ARP病毒后，會(huì)出現(xiàn)頻繁斷網(wǎng)，找不到網(wǎng)關(guān)服務(wù)器，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等現(xiàn)象；ARP病毒還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)進(jìn)行非法交易活動(dòng)等。

2.4 ARP欺騙的防范措施

（1）靜態(tài)IP地址與MAC地址綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。ARP欺騙通過ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以可以將主機(jī)IP地址設(shè)為靜態(tài)地址，并進(jìn)行綁定。在網(wǎng)關(guān)也進(jìn)行IP和MAC的靜態(tài)綁定，只有采取雙向綁定才比較保險(xiǎn)。

（2）采用劃分VLAN技術(shù)，通過細(xì)化VLAN來抑制ARP請(qǐng)求包的廣播域。如果某一主機(jī)要發(fā)送ARP請(qǐng)求包，只有同一VLAN段的主機(jī)才能收到該請(qǐng)求包，這種方法可以有效限制ARP欺騙攻擊的范圍。

（3）使用防護(hù)軟件，常見的是ARP防火墻，它通常在路由器中將IP-MAC地址進(jìn)行綁定，或者利用NAT（地址轉(zhuǎn)換協(xié)議）重新指定網(wǎng)絡(luò)中主機(jī)互相找到對(duì)方的方式。ARP防火墻通常也具有網(wǎng)關(guān)的ARP廣播機(jī)制，它以一定的頻次，向內(nèi)網(wǎng)公布正確的網(wǎng)關(guān)地址，能在一定程度上維持網(wǎng)絡(luò)的運(yùn)行，避免災(zāi)難性后果，贏取系統(tǒng)修復(fù)的時(shí)間。

（4）使用ARP服務(wù)器，在局域網(wǎng)中，指定一臺(tái)計(jì)算機(jī)作為專門的ARP服務(wù)器，可信范圍內(nèi)所有主機(jī)的IP與MAC地址映射記錄都在ARP服務(wù)器上進(jìn)行保存和記錄，使所有主機(jī)的ARP配置只能接受來自服務(wù)器的ARP響應(yīng)。當(dāng)有ARP請(qǐng)求時(shí)，該服務(wù)器通過查閱自己緩存的靜態(tài)記錄核對(duì)目標(biāo)主機(jī)的MAC地址是否正確，并以被查詢主機(jī)的名義響應(yīng)ARP局域網(wǎng)內(nèi)部的請(qǐng)求，從而防止ARP欺騙攻擊的發(fā)生。

3 結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的升級(jí)，對(duì)于ARP攻擊的預(yù)防與維護(hù)手段也將逐步升級(jí)，但對(duì)于病毒的傳播與變異也提供了相當(dāng)好的發(fā)展平臺(tái)。我們不能只依靠單一的技術(shù)手段來預(yù)防和維護(hù)，只有在不同的環(huán)境中運(yùn)用不同的技術(shù)才能將病毒的危害降到最低，這樣才能有效預(yù)防病毒的傳播。

主要參考文獻(xiàn)

[1]王奇.以太網(wǎng)中ARP欺騙原理與解決辦法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（2）.

[2]吳蓓. 淺論ARP攻擊的原理與防范方式[J]. 科協(xié)論壇：下半月，2010（9）.

[3]楊靜. 通過自助雙向綁定方案實(shí)現(xiàn)ARP攻擊防御的研究[J]. 電腦知識(shí)與技術(shù)，2010，6（35）.

[4]阮清強(qiáng). ARP檢測(cè)與定位方法研究[J].信息網(wǎng)絡(luò)安全，2010（4）.