ARP攻擊與防御技術(shù)探究

【摘要】網(wǎng)絡(luò)安全時(shí)常受ARP病毒的嚴(yán)重危害，本文簡(jiǎn)要定義ARP協(xié)議，對(duì)ARP欺騙的原理進(jìn)行系統(tǒng)分析，闡述ARP攻擊方式，最終給出ARP欺騙的防御策略。

【關(guān)鍵詞】ARP協(xié)議 高速緩存 攻擊 防御

ARP協(xié)議是“Address Resolution Protocol”地址解析協(xié)議的縮寫(xiě)。它是位于TCP/IP協(xié)議棧中的底層協(xié)議，主要是用來(lái)實(shí)現(xiàn)IP地址和對(duì)應(yīng)設(shè)備的物理地址之間的相互轉(zhuǎn)換，從而達(dá)到通過(guò)IP地址來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò)設(shè)備的目的。由于本身存在設(shè)計(jì)上的缺陷，這些缺陷被非法入侵者利用，通過(guò)對(duì)IP與MAC之間的對(duì)應(yīng)關(guān)系進(jìn)行篡改，攻擊局域網(wǎng)用戶(hù)，破壞局域網(wǎng)的正常工作，嚴(yán)重時(shí)會(huì)導(dǎo)致局域網(wǎng)癱瘓，通常將這種對(duì)網(wǎng)絡(luò)的攻擊稱(chēng)之為ARP病毒攻擊。這種攻擊對(duì)局域網(wǎng)用戶(hù)的信息安全造成威脅，嚴(yán)重的影響局域網(wǎng)內(nèi)用戶(hù)的使用進(jìn)程，所以十分必要的有效防范ARP攻擊，以確保網(wǎng)絡(luò)暢通、安全。

一、 ARP協(xié)議工作原理

每臺(tái)主機(jī)都安裝TCP/IP協(xié)議，并且都存在一個(gè)ARP cache，即高速緩存表，里面存儲(chǔ)著本局域網(wǎng)內(nèi)各個(gè)主機(jī)及其路由器的IP--硬件MAC映射表。當(dāng)網(wǎng)關(guān)或主機(jī)對(duì)一個(gè)IP--MAC地址進(jìn)行解析時(shí)，主機(jī)即向網(wǎng)內(nèi)發(fā)出一個(gè)請(qǐng)求報(bào)文。網(wǎng)關(guān)或其他主機(jī)接收ARP請(qǐng)求，并對(duì)其進(jìn)行應(yīng)答，并同時(shí)對(duì)接收到的IP--MAC地址進(jìn)行存儲(chǔ)，成為緩存表的一部分。發(fā)送請(qǐng)求的網(wǎng)關(guān)或主機(jī)接收應(yīng)答后，同樣對(duì)應(yīng)答網(wǎng)關(guān)或主機(jī)的IP--MAC地址進(jìn)行存儲(chǔ)。

二、 ARP協(xié)議安全缺陷

由于A(yíng)RP協(xié)議是局域網(wǎng)協(xié)議，設(shè)計(jì)的本意是方便數(shù)據(jù)傳輸，但需要保證是在網(wǎng)絡(luò)環(huán)境絕對(duì)安全的情況下工作，因此在正常的網(wǎng)絡(luò)環(huán)境下是存有嚴(yán)重缺陷的。缺陷主要有以下兩點(diǎn)：

（一）A主機(jī)的IP--MAC地址存入到B主機(jī)ARP緩存表之后，A主機(jī)即被當(dāng)作可信任的對(duì)象。但這種機(jī)制無(wú)法提供驗(yàn)證IP-MAC對(duì)應(yīng)表的真實(shí)性。

（二）ARP協(xié)議處于無(wú)狀態(tài)的形式下，在沒(méi)有請(qǐng)求的情況下，任一主機(jī)也可進(jìn)行應(yīng)答。很多網(wǎng)關(guān)或主機(jī)也會(huì)接收未發(fā)出請(qǐng)求的響應(yīng)，并對(duì)其緩存表進(jìn)行更新。

利用ARP協(xié)議本身的缺陷，病毒主機(jī)可以對(duì)其他主機(jī)進(jìn)行ARP欺騙，主要存在以下幾方面：

（三）假稱(chēng)網(wǎng)關(guān)的ARP應(yīng)答包。其原理為假稱(chēng)自己為網(wǎng)關(guān)，這時(shí)使被騙的主機(jī)向虛假網(wǎng)關(guān)傳輸數(shù)據(jù)。

（四）假稱(chēng)網(wǎng)關(guān)的ARP廣播包。其原理為假稱(chēng)自己為網(wǎng)關(guān)，并向網(wǎng)內(nèi)所有主機(jī)發(fā)出自己是網(wǎng)關(guān)的

通知，其他主機(jī)收到廣播報(bào)文后，就更新本地緩存表，把病毒主機(jī)當(dāng)作是自己的網(wǎng)關(guān)。

（五）假稱(chēng)網(wǎng)內(nèi)某節(jié)點(diǎn)ARP應(yīng)答包。它的原理是當(dāng)某個(gè)主機(jī)A廣播ARP請(qǐng)求主機(jī)B回答時(shí)，病毒主機(jī)冒充主機(jī)B回答，此時(shí)主機(jī)A就會(huì)把病毒主機(jī)當(dāng)作是主機(jī)B。

（六）假冒網(wǎng)內(nèi)某個(gè)節(jié)點(diǎn)的ARP廣播包。它的原理是病毒主機(jī)冒充某個(gè)主機(jī)A發(fā)出ARP請(qǐng)求，其他主機(jī)收到廣播后，對(duì)本地緩存表進(jìn)行更新，將病毒主機(jī)看做為主機(jī)A。

三、 ARP攻擊現(xiàn)象及確認(rèn)

當(dāng)病毒主機(jī)不斷向局域網(wǎng)內(nèi)發(fā)起ARP欺騙報(bào)文時(shí)，會(huì)造成整個(gè)局域網(wǎng)無(wú)法正常通信的局面。受到ARP攻擊的表現(xiàn)為：

（一）局域網(wǎng)的某個(gè)網(wǎng)段 ，大多數(shù)計(jì)算機(jī)不能正常上網(wǎng)，網(wǎng)絡(luò)連接時(shí)斷時(shí)續(xù)，上網(wǎng)速度非常緩慢；

（二） 局域網(wǎng)整個(gè)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，利用ping命令ping網(wǎng)關(guān)時(shí)不通，或者丟包現(xiàn)象很?chē)?yán)重；

（三）IE瀏覽器頻繁出錯(cuò)，網(wǎng)頁(yè)打不開(kāi)或者打開(kāi)速度非常慢，不能夠正常地上網(wǎng)瀏覽；

（四）斷開(kāi)網(wǎng)絡(luò)后，隔一段時(shí)間重新連接，也可以通過(guò)arp-d的命令對(duì)ARP緩存表進(jìn)行刪除，也可短時(shí)恢復(fù)上網(wǎng)。

四、ARP攻擊防御方法

（一）綁定IP地址和MAC地址

此方法是綁定緩存表中IP---MAC地址映射，并且不允許變更。這樣，所有不符合IP- MAC綁定信息的報(bào)文會(huì)全部丟棄，內(nèi)網(wǎng)中的所有主機(jī)就無(wú)法假冒網(wǎng)關(guān)或其他主機(jī)。此方法是基于A(yíng)RP攻擊的原理而進(jìn)行防御的，這是到目前為止最普遍的應(yīng)用辦法。

（二）在網(wǎng)關(guān)和主機(jī)上安裝ARP防火墻

ARP防火墻通過(guò)系統(tǒng)內(nèi)核層對(duì)偽造的ARP數(shù)據(jù)包進(jìn)行攔截，同時(shí)主動(dòng)告訴網(wǎng)關(guān)本主機(jī)正確的MAC地址，從而保證數(shù)據(jù)在主機(jī)和網(wǎng)管之間的正常流動(dòng)，而不會(huì)經(jīng)過(guò)中轉(zhuǎn)站（攻擊者）。ARP防火墻安裝簡(jiǎn)單、功能齊全而且使用起來(lái)十分方便，由軟件自動(dòng)進(jìn)行管理。

（三）VLAN與交換機(jī)端口綁定

這種方法具體是先將VLAN進(jìn)行細(xì)分，這樣就可以減小廣播域的范圍。然后，使用交換機(jī)中IP- MAC綁定的功能把對(duì)應(yīng)的IP- MAC與端口進(jìn)行綁定。當(dāng)交換機(jī)某個(gè)端口收到ARP數(shù)據(jù)包的時(shí)候，就將包中的源地址與交換機(jī)中保存的源地址進(jìn)行比較，一旦發(fā)現(xiàn)兩者不符合，則禁止該端口發(fā)來(lái)的所有數(shù)據(jù)包。

參考文獻(xiàn)：

[1]胡清桂.一種新的ARP協(xié)議改進(jìn)方案[J].陜西科技大學(xué)學(xué)報(bào)(自然科學(xué)版），2011，30(05）:84-89.

[2]姚小兵.ARP協(xié)議簡(jiǎn)析及ARP病毒攻擊的防御[J].信息網(wǎng)絡(luò)安全，2009(9).

[3]單國(guó)杰.基于A(yíng)RP欺騙攻擊的防御策略研究[D].山東師范大學(xué).2011.

[4]陳小妮.計(jì)算機(jī)安全策略[J].浙江大學(xué)學(xué)報(bào)，2010，33(7):29-31.