基于ARP欺騙的局域網(wǎng)防御界面研究

趙飛

(綏化學(xué)院 黑龍江綏化 152061)

一、ARP協(xié)議及ARP欺騙簡介

隨著互聯(lián)網(wǎng)的普及，人類的生活變得越來越便利。購物、查詢、看電影等都可以通過互聯(lián)網(wǎng)進(jìn)行。網(wǎng)絡(luò)已經(jīng)變成了人類在工作和生活中不可分割的一部分。隨著人類對網(wǎng)絡(luò)依賴性的增強(qiáng)，對網(wǎng)絡(luò)安全也有了更高的要求?；ヂ?lián)網(wǎng)發(fā)展的如此迅速很大程度上要?dú)w功于TCP/IP協(xié)議簇運(yùn)行的高效性和開放性。但在高效和開放的同時安全性也就下降了很多。在TCP/IP協(xié)議簇中存在著大量的安全漏洞，極易被黑客利用或攻擊。Address Resolution Protocol(中文名字：地址解析協(xié)議)，簡稱ARP，是TCP/IP協(xié)議簇中的重要一員。其主要作用是為局域網(wǎng)的網(wǎng)絡(luò)設(shè)備提供IP地址向硬件地址的轉(zhuǎn)化，也就是將網(wǎng)絡(luò)層(相當(dāng)于OSI的第三層)地址解析為數(shù)據(jù)鏈路層(相當(dāng)于OSI的第二層)的物理地址。ARP協(xié)議的設(shè)計(jì)是基于局域網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備之間相互信任的基礎(chǔ)上，因此ARP協(xié)議存在著許多容易被黑客利用的安全漏洞，ARP欺騙就是利用ARP協(xié)議的漏洞產(chǎn)生的一種計(jì)算機(jī)病毒。

ARP欺騙是一種普遍的針對局域網(wǎng)的攻擊方式，在PC端一般表現(xiàn)為局域網(wǎng)不穩(wěn)定或者根本無法連通。ARP欺騙的基本原理就是利用局域網(wǎng)內(nèi)某臺主機(jī)(以下稱病毒主機(jī))對其它主機(jī)實(shí)施MAC地址欺騙，病毒主機(jī)會通過局域網(wǎng)向其他主機(jī)發(fā)出錯誤的ARP信息，使其他主機(jī)的ARP緩存表被存入錯誤的信息，這樣在ARP協(xié)議進(jìn)行解析時就會出現(xiàn)錯誤導(dǎo)致網(wǎng)絡(luò)不通。另一方面病毒主機(jī)發(fā)出的錯誤ARP信息還是不間斷的，這樣還會在網(wǎng)絡(luò)中產(chǎn)生大量錯誤的ARP信息，導(dǎo)致網(wǎng)絡(luò)擁堵，最終達(dá)到欺騙攻擊的目的。ARP欺騙大致分為二種，第一種是對ARP緩存表的欺騙。其原理是病毒主機(jī)截獲網(wǎng)關(guān)數(shù)據(jù)，同時通知路由器或受害主機(jī)一系列錯誤的MAC地址，而且是不間斷的發(fā)送錯誤的地址信息，使正確的地址信息無法通過更新保存在路由器或受害主機(jī)的緩存表中，結(jié)果數(shù)據(jù)則不能按照正確的地址發(fā)送，造成PC無法收到信息。第二種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。其原理是建立錯誤的網(wǎng)關(guān)地址，讓被欺騙的PC向錯誤的網(wǎng)關(guān)地址發(fā)數(shù)據(jù)，從而得不到回應(yīng)，使PC出現(xiàn)掉線的情況。

二、ARP欺騙防御研究現(xiàn)狀

由于ARP欺騙給局域網(wǎng)絡(luò)帶來的嚴(yán)重的安全問題，目前已經(jīng)有很多前輩做了很多具有實(shí)踐意義的工作。我們對目前常見的幾種ARP防御欺騙的解決方案進(jìn)行了總結(jié)。

(一)人工設(shè)置固定的ARP緩存。此種方法是通過命令提示符中的arp-s命令將相應(yīng)靜態(tài)ARP緩存記錄添加到主機(jī)的ARP緩存中去。這樣即使有中了ARP病毒的主機(jī)向該目標(biāo)主機(jī)發(fā)送錯誤的ARP映射信息，目標(biāo)主機(jī)在接收此信息后也不會刷新ARP緩存的映射信息，這樣就避免了錯誤的ARP映射被寫入目標(biāo)主機(jī)的緩存表。這種方法雖然可以有效的阻止ARP欺騙的發(fā)生，但必須通過人工設(shè)置固定的ARP映射信息，因此此種方法僅適用于小型的局域網(wǎng)絡(luò)。并且某些老的操作系統(tǒng)即使設(shè)置了固定的ARP映射信息，也會被主機(jī)后接受的新的映射信息所更改。

(二)按一定頻率清除ARP緩存表內(nèi)容。編寫一個簡單的應(yīng)用程序，其功能為按一定的頻率使用命令提示符中的arp-d命令清除ARP緩存中的內(nèi)容。此種方法雖然可以保證錯誤的ARP映射信息被清除，但使用起來的條件比較苛刻，而且還會帶來其它的問題。為了保證錯誤的ARP映射信息及時的被清除，清除ARP緩存表的頻率就一定要大于ARP欺騙的頻率。但頻率過高的使用arp-d命令又會導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)過多的ARP請求廣播，造成網(wǎng)絡(luò)擁堵的更嚴(yán)重。

(三)使用獨(dú)立的服務(wù)器保存ARP映射信息。將局域網(wǎng)內(nèi)各主機(jī)的ARP映射信息保存在一個獨(dú)立的服務(wù)器中，并且禁止各主機(jī)的ARP應(yīng)答，僅保留服務(wù)器對接收到的ARP請求進(jìn)行應(yīng)答。此種方法雖然比較有效，但是單獨(dú)架設(shè)的服務(wù)器成本較高，而且一旦出現(xiàn)故障，會導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

(四)使用交換機(jī)的端口綁定功能。將局域網(wǎng)內(nèi)的交換機(jī)的每一個端口都與唯一的MAC地址綁定。當(dāng)檢測出交換機(jī)端口綁定的MAC地址發(fā)生變化時，交換機(jī)就會鎖死該端口，使該端口連接的主機(jī)無法連接到局域網(wǎng)，這樣病毒主機(jī)就無法發(fā)送錯誤的ARP映射信息了，也就阻止了ARP欺騙的發(fā)生。此種方法和人工設(shè)置固定的ARP緩存存在著一樣的問題，就是需要人工設(shè)置交換機(jī)端口與MAC地址的對應(yīng)關(guān)系，工作量相對較大，而且一旦主機(jī)位置發(fā)生變化時，又需要重新設(shè)置，不夠靈活。并且目前市面上的大部分交換機(jī)都不支持端口綁定技術(shù)，需要單獨(dú)購買高端的交換機(jī)才行，這樣又增加了成本。

(五)將整個局域網(wǎng)絡(luò)劃分為多個虛擬的局域網(wǎng)絡(luò)。此方法是針對錯誤的ARP信息不能跨網(wǎng)段傳播的特點(diǎn)。這樣即使某個虛擬的局域網(wǎng)絡(luò)發(fā)生ARP欺騙也不會影響到其它的虛擬局域網(wǎng)絡(luò)。這樣一來ARP欺騙的范圍便被控制在了一小片的虛擬局域網(wǎng)絡(luò)中，縮小了ARP欺騙的范圍。但此種方法也需要高端的網(wǎng)絡(luò)設(shè)備支持，成本同樣較高。

除以上方法外還有一些例如把網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行加密后再發(fā)送或者刪除Windows系統(tǒng)中的 Npptools.Dll(network packet provider tools helper)動態(tài)鏈接庫等方法都可以一定程度上的阻止ARP欺騙，在這里就不一一介紹了。

三、ARP協(xié)議改進(jìn)研究現(xiàn)狀

在ARP協(xié)議的改進(jìn)和算法方面，前人也做了許多重要而突出的工作。國外學(xué)者Bruschi提出將數(shù)字簽名技術(shù)引入ARP幀發(fā)送方驗(yàn)證的S-ARP協(xié)議。它采用在源主機(jī)發(fā)送ARP信息時，對其摘要進(jìn)行簽名；在目標(biāo)主機(jī)接收ARP信息時，對其簽名進(jìn)行驗(yàn)證。攻擊者無法發(fā)送偽造的ARP幀，從而加強(qiáng)了局域網(wǎng)安全[1](P3)。Goyal在其論文“An Efficient Solution to the ARP Cache Poisoning Problem”提出了基于數(shù)字簽名和Hash鏈表的一次一密方案相結(jié)合，比較S-ARP協(xié)議在實(shí)現(xiàn)效率上有了進(jìn)一步的提高[1](P3)。Lootah提出一種基于公鑰體制的安全ARP協(xié)議TARP，即Ticket-based Address Resolution Protocol(基于票據(jù)的地址解析協(xié)議)。票據(jù)中除包含數(shù)字簽名外，還引入有效期。這種TARP協(xié)議與S-ARP相比，其優(yōu)勢為不必每次ARP解析時都進(jìn)行簽名和驗(yàn)證，減輕了主機(jī)的負(fù)擔(dān)，提高了效率[1](P3)。

國內(nèi)學(xué)者鄭文兵提出一種改進(jìn)的ARP協(xié)議算法。加入兩個線性表RequesList和Responselist用于保存已發(fā)送ARP請求和接收ARP應(yīng)答信息。在發(fā)送ARP請求報(bào)文和接收ARP應(yīng)答報(bào)文時，對這兩個線性表進(jìn)行相應(yīng)檢測，將不符合要求的報(bào)文丟棄并記錄[1](P3)。林宏剛提出一種主動檢測和防范ARP攻擊的算法。分別對接收ARP請求、接收ARP應(yīng)答、發(fā)送ARP請求、發(fā)送ARP應(yīng)答這四個事件分別進(jìn)行處理，采用封裝TCPSYN數(shù)據(jù)包檢測目標(biāo)主機(jī)存在的方法，設(shè)計(jì)了一種發(fā)送ARP報(bào)文和更新ARP緩存的安全性方案[1](P3)。

本文則是在前人研究的基礎(chǔ)上，針對ARP攻擊原理及攻擊方式并對現(xiàn)有的ARP防御方式進(jìn)行研究分析，提出一種基于WinPcap(Windows Packet Capture)技術(shù)，并利用服務(wù)器和客戶端搭建的ARP攻擊防御體系模型。這樣在現(xiàn)有的低端交換機(jī)相連的局域網(wǎng)中就能夠?qū)崿F(xiàn)各主機(jī)間的相互檢測，而不必要再花大價錢去購買高端的交換機(jī)，從而達(dá)到了防御ARP攻擊的目的。

四、WinPcap技術(shù)簡介

WinPcap是Windows平臺下訪問網(wǎng)絡(luò)中數(shù)據(jù)鏈路層的開源庫，它已經(jīng)達(dá)到了工業(yè)標(biāo)準(zhǔn)的應(yīng)用要求，是非常成熟、實(shí)用的捕獲與分析網(wǎng)絡(luò)數(shù)據(jù)包的技術(shù)。而關(guān)鍵在于WinPcap可以獨(dú)立于TCP/IP協(xié)議發(fā)送和接收數(shù)據(jù)包，其主要功能如下：首先，獨(dú)立于網(wǎng)絡(luò)協(xié)議棧捕獲數(shù)據(jù)包，支持遠(yuǎn)程數(shù)據(jù)包的捕獲；其次，先于應(yīng)用程序?qū)崿F(xiàn)數(shù)據(jù)包過濾；再則進(jìn)行網(wǎng)絡(luò)通信過程中的信息統(tǒng)計(jì)。

數(shù)據(jù)包、核心層和用戶層構(gòu)成了WinPcap的體系結(jié)構(gòu)。數(shù)據(jù)包：顧名思義即網(wǎng)絡(luò)中的數(shù)據(jù)包。核心層：核心層由NPF模塊和NIC驅(qū)動器兩部分構(gòu)成。NPF(Netgroup Packet Filter)即網(wǎng)絡(luò)包組，主要用于處理網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，同時提供對數(shù)據(jù)包的捕獲、發(fā)送和分析能力；NIC(Network Interface Card)即網(wǎng)絡(luò)適配器也就是我們常說的“網(wǎng)卡”。那么NIC驅(qū)動器也就是”網(wǎng)卡”的管理者，可以實(shí)現(xiàn)對“網(wǎng)卡”的暫停、中斷、重設(shè)等操作。“網(wǎng)卡”和TCP/IP協(xié)議之間通過NDIS(Network Driver Interface Specification)即網(wǎng)絡(luò)驅(qū)動接口規(guī)范來實(shí)現(xiàn)通信的標(biāo)準(zhǔn)。用戶層：用戶層主要是指用戶所使用的代碼以及wpcap.dll和packet.dll兩個動態(tài)鏈接庫所構(gòu)成。

WinPcap的主要功能就是抓捕數(shù)據(jù)包，通過NIC驅(qū)動器使用網(wǎng)絡(luò)接口捕獲數(shù)據(jù)包，并把他們進(jìn)行統(tǒng)計(jì)、分析傳送的用戶層。在捕獲過程中，使用了過濾器和核心緩沖區(qū)。

過濾器的功能是決定一個數(shù)據(jù)包是否會被傳送到用戶層。如果不使用過濾器，把網(wǎng)絡(luò)中所有的數(shù)據(jù)包全部傳送到用戶層，會給用戶層帶來相當(dāng)大的負(fù)載，大大降低用戶層應(yīng)用程序的工作效率。所以大部分?jǐn)?shù)據(jù)包都會被過濾器所拋棄，只有少部分?jǐn)?shù)據(jù)包會被接收。過濾器通過一個布爾值函數(shù)實(shí)現(xiàn)，如果函數(shù)值返回TRUE，則NIC驅(qū)動器會將數(shù)據(jù)包傳送到用戶層；否則會將數(shù)據(jù)包丟棄。

核心緩沖區(qū)的功能主要是用來暫時存儲數(shù)據(jù)包。由于網(wǎng)絡(luò)中的數(shù)據(jù)流量很大，雖然已經(jīng)經(jīng)過過濾器的篩選，但接收數(shù)據(jù)包的速度還是很快。NPF模塊一般都無法及時地把數(shù)據(jù)包傳送到用戶層。這樣無法及時傳送到用戶層的數(shù)據(jù)包則被暫時存儲在核心緩沖區(qū)，不至于被丟棄從而影響用戶應(yīng)用程序的分析結(jié)果。這樣緩沖區(qū)的大小則決定了一個系統(tǒng)調(diào)用一次可以傳送到用戶層的最大數(shù)據(jù)量。另外，系統(tǒng)調(diào)用一次傳送到用戶層的最小數(shù)據(jù)量也是很重要的。如果最小數(shù)據(jù)量較大的話，緩沖區(qū)則需要存儲夠相當(dāng)數(shù)量的數(shù)據(jù)包后才能統(tǒng)一把數(shù)據(jù)包傳送到用戶層去。這樣就減少系統(tǒng)調(diào)用的次數(shù)，雖然可以使CPU使用率降低，但卻失去了傳送的實(shí)時性。因此適當(dāng)?shù)淖钚?shù)據(jù)量是高效率的關(guān)鍵。在wpcap.dll動態(tài)鏈接庫中默認(rèn)情況下，讀操作的超時時間為1秒鐘，緩沖區(qū)傳送給用戶層的最小數(shù)據(jù)量為16KB。

五、基于WinPcap技術(shù)的ARP欺騙防御方法

本文提出一種在WinPcap的捕獲包技術(shù)的基礎(chǔ)上構(gòu)建一種ARP欺騙攻擊檢測防御模型的想法。本模型可以對是否發(fā)生ARP攻擊進(jìn)行判斷，并將ARP攻擊進(jìn)行處理，同時還可以使被欺騙的主機(jī)更改ARP地址列表，以保證域內(nèi)主機(jī)與可信任主機(jī)通信，從而起到防范ARP攻擊的作用。模型在數(shù)據(jù)包捕獲過程中，通過過濾器的過濾功能設(shè)置為只捕獲經(jīng)過網(wǎng)卡的ARP數(shù)據(jù)包并將數(shù)據(jù)包送入?yún)f(xié)議解析模塊，此模塊把數(shù)據(jù)包解析成為兩部分，分別為鏈路層頭部和網(wǎng)絡(luò)頭部，這里我們只需要解析到網(wǎng)絡(luò)層頭部的數(shù)據(jù)包就足夠了。然后將在網(wǎng)絡(luò)層頭部解析出來的IP地址和MAC地址送到檢驗(yàn)?zāi)K，在此模塊中將解析出來的IP地址和MAC地址進(jìn)行比較，判斷是否發(fā)生ARP欺騙。如果判斷發(fā)生ARP欺騙，則系統(tǒng)進(jìn)入響應(yīng)模塊來處理檢驗(yàn)結(jié)構(gòu)。首先，將正確的ARP信息發(fā)送給被欺騙主機(jī)，使其更新自己的ARP地址列表，這樣便中斷了ARP欺騙的發(fā)生；其次，發(fā)出報(bào)警；最后，將ARP欺騙信息存儲以備管理員查詢。

通過大量測試證明，利用WinPcap技術(shù)中的數(shù)據(jù)包捕獲和過濾機(jī)制構(gòu)建的ARP欺騙防御模型，可以有效的判斷是否發(fā)生ARP欺騙，并可以在發(fā)生欺騙的時候有效的阻止ARP欺騙的傳播，并將正確的ARP地址列表更新至被欺騙的主機(jī)，恢復(fù)網(wǎng)絡(luò)運(yùn)作。完成了在使用低端互連設(shè)備組成局域網(wǎng)中，實(shí)現(xiàn)ARP欺騙的防御。

[1]陳晨.APR欺騙的防御研究[D].河北農(nóng)業(yè)大學(xué),2009.

[2]曲春強(qiáng).基于WinPcap的ARP欺騙攻擊的防御的研究[D].大連海事大學(xué),2008.

[3]陳春泉.規(guī)范MAC防范ARP欺騙攻擊技術(shù)的研究[D].華南理工大學(xué),2010.

[4]單國杰,徐夫田,王小姣.針對ARP欺騙攻擊的防御策略研究[J].計(jì)算機(jī)與現(xiàn)代化,2010(12).

[5]安玉紅.基于WinPcap的ARP欺騙攻擊檢測器的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦編程技巧與維護(hù)，2010(19).