局域網(wǎng)ARP攻擊及防護

秦文義

（齊魯工業(yè)大學(xué)金融學(xué)院，山東 濟南 250100）

1 ARP攻擊發(fā)生時的現(xiàn)象

發(fā)生ARP攻擊時可能出現(xiàn)的現(xiàn)象有：

1.1 網(wǎng)速時快時慢，極其不穩(wěn)定，計算機和交換機重啟后網(wǎng)速能恢復(fù)正常

1.2 局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，web服務(wù)器不能正常訪問

1.3 網(wǎng)上銀行、游戲及QQ賬號的頻繁丟失

1.4 ping外網(wǎng)出現(xiàn)長時間延遲，甚至大量丟包，而ping內(nèi)網(wǎng)其它ip地址則比較暢通

1.5 單機通過光纖外ping暢通

2 ARP工作原理及缺陷

ARP（Address Resolution Protocol）即地址解析協(xié)議，是根據(jù) IP地址獲取物理地址的一個TCP/IP協(xié)議。其功能是：主機將ARP請求廣播到網(wǎng)絡(luò)上的所有主機，并接收返回消息，確定目標IP地址的物理地址，同時將IP地址和硬件地址存入本機ARP緩存中，下次請求時直接查詢ARP緩存，當查詢不到目標計算機mac地址的時候才發(fā)廣播查詢。在局域網(wǎng)所有的計算機都是可信的情況下，它是十分高效的，大大的減少了網(wǎng)內(nèi)目標地址的查詢，從而減少了網(wǎng)絡(luò)流量，提高了效率。同時Arp協(xié)議也是一種無狀態(tài)的協(xié)議，存在嚴重的漏洞。因為它從不檢查收到數(shù)據(jù)包是不是自己請求過的應(yīng)答包，也不管應(yīng)答包是不是合法的，只要目標地址和自己的mac相同便接收，并對請求作出回答。

計算機會不斷刷新ARP表以確保ARP表的有效性，所以當網(wǎng)絡(luò)中存在欺騙包時，會被輕而易舉的接收，并將欺騙包的ip、mac地址刷新到ARP表中。

3 ARP攻擊類型

Arp攻擊主要分為以下幾類：

3.1 網(wǎng)關(guān)仿冒

攻擊者或病毒發(fā)送偽造的網(wǎng)關(guān)arp報文，把同網(wǎng)段內(nèi)其他終端的網(wǎng)關(guān)mac重定向到錯誤的mac地址，導(dǎo)致其它用戶不能正常上網(wǎng)。

3.2 欺騙網(wǎng)關(guān)

攻擊者發(fā)送mac和ip地址對應(yīng)關(guān)系給網(wǎng)關(guān)，導(dǎo)致網(wǎng)關(guān)和終端用戶無法通訊。

3.3 攻擊者發(fā)送錯誤的終端用戶/服務(wù)器的IP＋MAC的對應(yīng)關(guān)系給受害的終端用戶，導(dǎo)致同網(wǎng)段內(nèi)兩個終端用戶之間無法正常通信。

3.4 ARP 泛洪攻擊

攻擊者偽造大量不同ARP報文在同網(wǎng)段內(nèi)進行廣播，導(dǎo)致網(wǎng)關(guān)ARP表項被占滿，合法用戶的ARP表項無法正常學(xué)習(xí)，導(dǎo)致合法用戶無法正常訪問外網(wǎng)。

3.5 其他高級ARP攻擊，如網(wǎng)絡(luò)終結(jié)者攻擊等。

4 ARP病毒防御策略及實施

防止ARP攻擊是一向比較繁瑣的工作，通常的做法有以下幾種：

4.1 ARP防火墻

現(xiàn)在幾乎所有的計算機防火墻軟件都有類似的功能，例如360安全衛(wèi)士，金山衛(wèi)士，瑞星等，只要開啟相應(yīng)功能即可。終端安裝arp防火墻是現(xiàn)在比較通俗的辦法。

4.2 修改系統(tǒng)拒收ICMP重定向報文關(guān)閉icmp協(xié)議

為了應(yīng)對不同網(wǎng)段的攻擊，我們可以關(guān)閉icmp路由重定向協(xié)議，可以將以下文本復(fù)制到文本文件，并將該文本重命名為”.reg”,雙擊該文件，將該文件導(dǎo)入注冊表即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSer-

vicesTCPIPParamtersInterfaces]

"PerformRouterDiscovery"=dword：00000000

4.3 網(wǎng)內(nèi)ip、mac地址雙向綁定

由于內(nèi)網(wǎng)可能涉及到的計算機數(shù)量會比較大，雙向綁定ip、mac工作量介乎無法完成，同時由于計算機重啟后，arp路由表會被清除，需要重新建立，所以可以考慮使用批處理來解決，并且把運行的文件加入到開機運行中，便能夠很好地解決這個問題。以下代碼可供參考（假設(shè)已知內(nèi)網(wǎng)網(wǎng)關(guān)ip、mac地址）：

@echo off

if"%1"=="h"goto begin

start mshta vbscript：createobject("wscript.shell").run("""%～nx0""h",0)

(window.close)&&exit

：begin

if not exist%0"%USERPROFILE%「開始」菜單 程序 啟動 "copy

%0"%USERPROFILE%「開始」菜單程序啟動 "

arp-d

ipconfig/all＞ipconfig.txt

arp-s網(wǎng)關(guān)ip網(wǎng)關(guān)mac

for/f"tokens=15"%%i in('find"IP Address"ipconfig.txt')do set ip=%

%i

for/f"tokens=12"%%i in ('find"Physical Address"ipconfig.txt')do set

mac=%%i

arp-s%ip%%mac%

del ipconfig.txt

del arp.txt

exit

只要將以上代碼以文本文件保存，并將文本擴展名重命名為“.bat”，放到C盤根目錄運行一次即可。

4.4 刪除ARP攻擊需要的文件npptools.Dll

4.5 網(wǎng)絡(luò)入口做安全設(shè)定

在接入internet網(wǎng)的防火墻或三層交換機做好網(wǎng)內(nèi)靜態(tài)mac地址ip地址綁定等安全策略。

5 ARP病毒病毒源查找

找到并消除內(nèi)網(wǎng)ARP攻擊源頭是網(wǎng)管最緊迫的工作，以下為攻擊源查找的幾種方法。

5.1 利用命令查找

可以利用ARP命令查看本地ARP緩存，看一下網(wǎng)關(guān)mac和ip對應(yīng)關(guān)系，找到網(wǎng)關(guān)的ip、mac對應(yīng)項，檢查網(wǎng)關(guān)mac地址，如網(wǎng)關(guān)被篡改，利用“nbtscan-r 192.168.1.0/24”（假設(shè)網(wǎng)段為 192.168.1.*）掃描網(wǎng)段，找出假冒網(wǎng)關(guān)的真實ip地址；如果攻擊之前保存有ip、mac地址對應(yīng)表，可以通過mac地址直接查找相應(yīng)的ip。

也可以利用tracert命令，跟蹤一個外網(wǎng)地址，網(wǎng)關(guān)是192.168.1.1，如果命令第一跳為192.168.1.89，則第一跳ip即攻擊源(假定內(nèi)網(wǎng)無二次路由)。

5.2 網(wǎng)卡模式檢測

Arp攻擊源的網(wǎng)卡狀態(tài)會處于混雜模式，在這種模式下，他能夠接收任何經(jīng)過它的數(shù)據(jù)包，通過掃描網(wǎng)卡狀態(tài)可以查找網(wǎng)內(nèi)多個攻擊源、定向攻擊源等。相應(yīng)的軟件有：聚生網(wǎng)管等

5.3 利用流量檢測軟件進行數(shù)據(jù)包流量分析

對于網(wǎng)內(nèi)的ARP泛洪攻擊等也可以進行抓包及流量分析確定攻擊源，當某個ip頻繁向外發(fā)送大量廣播包，流量是其他ip流量的一倍以上，可以確定為疑似攻擊源，相應(yīng)軟件如sniffer等。

6 結(jié)語

了解ARP攻擊原理并利用各種手段消除攻擊源是網(wǎng)管員面臨的難題，所以我們要時刻研究關(guān)注和交流相關(guān)技術(shù)發(fā)展及防御技術(shù)的手段，以免更高級的攻擊給我們造成不必要的損失。

［1］張金榮，劉曉輝.網(wǎng)管天下：網(wǎng)絡(luò)管理工具實用詳解[M].3 版.ISBN：9787121148057,電子工業(yè)出版社.

［2］張媛媛,侯建濤.ARP攻擊和ARP欺騙的原理及其解決方案[M].煤炭技術(shù)出版社,2010,29(11).