基于計(jì)算機(jī)網(wǎng)絡(luò)安全防ARP攻擊的研究

韓子寅

摘 要：ARP攻擊是計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的主要威脅，如何保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全，防止其遭受ARP攻擊已經(jīng)成為網(wǎng)絡(luò)完全管理必須研究和解決的問題。本文主要介紹了ARP攻擊理論，在此基礎(chǔ)上探討了ARP防攻擊技術(shù)的實(shí)現(xiàn)，并提出了ARP病毒攻擊的防范措施，以供參考。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；ARP攻擊

計(jì)算機(jī)網(wǎng)絡(luò)在給人們帶來極大便利的同時(shí)，也因各種網(wǎng)絡(luò)攻擊極大地影響了人們的信息安全，在互聯(lián)網(wǎng)廣泛應(yīng)用的大背景下，計(jì)算機(jī)網(wǎng)絡(luò)安全問題已經(jīng)成為人們關(guān)注的焦點(diǎn)之一，同時(shí)也是計(jì)算機(jī)應(yīng)用技術(shù)研究領(lǐng)域的重要課題之一。鑒于ARP攻擊是現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的主要威脅，加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防ARP攻擊的研究，有其必要性和重要的現(xiàn)實(shí)意義。

1 ARP攻擊的理論分析

1.1 ARP攻擊的原理和特征

ARP協(xié)議（地址轉(zhuǎn)換協(xié)議）是網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)協(xié)議之一，其作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC地址，以保證通信的正常運(yùn)行，而該協(xié)議并未對(duì)ARP報(bào)文來源的合法性進(jìn)行驗(yàn)證。ARP協(xié)議的基礎(chǔ)是信任局域網(wǎng)內(nèi)所有的人，這就為實(shí)現(xiàn)在以太網(wǎng)上的ARP期待帶來的可能，通過偽造目標(biāo)的IP地址以及查詢目標(biāo)的MAC地址對(duì)ARP實(shí)施欺詐行為，即所謂的ARP攻擊。ARP攻擊正是利用了ARP協(xié)議設(shè)計(jì)之初的缺陷，以大量的ARP通信量堵塞網(wǎng)絡(luò)，從而達(dá)到讓目標(biāo)主機(jī)網(wǎng)絡(luò)中斷的目的。

ARP攻擊主要有三大特征，一是隱蔽性，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)并不能對(duì)ARP緩存操作的正確性進(jìn)行有效的判斷，當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)受到ARP攻擊時(shí)并不會(huì)出現(xiàn)提示，因此，ARP攻擊具有跟強(qiáng)的隱蔽性；二是堵塞性，這一點(diǎn)很好理解，ARP攻擊的主要手段就是在通信網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信數(shù)據(jù)，其目的就是為了造成網(wǎng)絡(luò)系統(tǒng)之間的通信堵塞以影響其通信功能；三是難除性，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭受ARP攻擊后，對(duì)該病毒的消除是非常困難的[1]。

1.2 ARP攻擊的類型和影響

ARP協(xié)議簡(jiǎn)單、高效，但是并不安全，攻擊者可以冒充真正的主機(jī)發(fā)送任意偽造的應(yīng)答報(bào)文，而該應(yīng)答報(bào)文又缺乏認(rèn)證機(jī)制，攻擊者能夠竊取真正主機(jī)的通信數(shù)據(jù)并對(duì)其進(jìn)行攻擊。按照攻擊類型，ARP攻擊可分為仿冒用戶攻擊、仿冒網(wǎng)關(guān)攻擊、免費(fèi)ARP攻擊、代理ARP攻擊以及泛洪攻擊。其中，仿冒用戶攻擊和仿冒網(wǎng)關(guān)攻擊是攻擊者采取的主要方式，仿冒用戶攻擊又分為欺騙網(wǎng)關(guān)和欺騙其他用戶，欺騙網(wǎng)關(guān)是由一個(gè)主機(jī)向網(wǎng)關(guān)設(shè)備發(fā)送偽造應(yīng)答報(bào)文實(shí)現(xiàn)，欺騙其他用戶則是由一個(gè)主機(jī)向另一個(gè)主機(jī)發(fā)送偽造應(yīng)答報(bào)文實(shí)現(xiàn)；仿冒網(wǎng)關(guān)攻擊與仿冒用戶攻擊中的欺騙其他用戶的方式大體上相同。

ARP攻擊對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的危害極大，不僅會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之間無法進(jìn)行正常連接，使通信功能喪失，還會(huì)使計(jì)算機(jī)中用戶存儲(chǔ)的密碼、個(gè)人信息、重要數(shù)據(jù)被盜竊，給用戶的信息安全和財(cái)產(chǎn)安全帶來極大的威脅。ARP攻擊造成的計(jì)算機(jī)網(wǎng)絡(luò)中毒現(xiàn)象主要表現(xiàn)為計(jì)算機(jī)死機(jī)、網(wǎng)絡(luò)信號(hào)不穩(wěn)定、用戶信息丟失等。為了有效地防范ARP病毒的攻擊，計(jì)算機(jī)管理人員非常有必要進(jìn)行事前預(yù)防，避免網(wǎng)絡(luò)癱瘓等不良后果發(fā)生[2]。

2 ARP防攻擊技術(shù)的實(shí)現(xiàn)

2.1 網(wǎng)管保護(hù)和主動(dòng)確認(rèn)功能

根據(jù)ARP攻擊的類型，我們可以設(shè)計(jì)有針對(duì)性的防御技術(shù)，ARP防攻擊技術(shù)需要具備網(wǎng)管保護(hù)、主動(dòng)確認(rèn)、ARP檢查、ARP固化、報(bào)文限速以及ARP防IP報(bào)文攻擊等功能。網(wǎng)管保護(hù)功能的實(shí)現(xiàn)體現(xiàn)在網(wǎng)關(guān)設(shè)備的端口上，網(wǎng)關(guān)對(duì)應(yīng)的交換機(jī)收到ARP報(bào)文時(shí)，網(wǎng)管設(shè)備會(huì)對(duì)報(bào)文的IP地址進(jìn)行合法驗(yàn)證，一旦收到的報(bào)文不合法，就會(huì)被丟棄，只有能夠通過驗(yàn)證的IP地址才會(huì)被轉(zhuǎn)發(fā)；主動(dòng)確認(rèn)功能的實(shí)現(xiàn)體現(xiàn)在網(wǎng)關(guān)設(shè)備上，這又分為新建表項(xiàng)前的主動(dòng)確認(rèn)與更新表項(xiàng)前的主動(dòng)確認(rèn)，前者在收到ARP報(bào)文時(shí)，設(shè)備會(huì)檢查系統(tǒng)中是否存在與該報(bào)文對(duì)應(yīng)的ARP映射關(guān)系，后者在收到更新后的ARP報(bào)文時(shí)，設(shè)備會(huì)檢查檢查系統(tǒng)中是否存在與該報(bào)文對(duì)應(yīng)的更新后的ARP映射關(guān)系，然后再進(jìn)行檢查和處理。

2.2 ARP檢查和ARP固化功能

ARP檢查功能的實(shí)現(xiàn)體現(xiàn)在接入層設(shè)備上，虛擬局域網(wǎng)（VLAN）開啟ARP檢查后，就會(huì)對(duì)虛擬局域網(wǎng)內(nèi)所有的ARP報(bào)文進(jìn)行雙項(xiàng)檢測(cè)（用戶合法性檢測(cè)和報(bào)文有效性檢測(cè)），一旦收到的報(bào)文未通過檢測(cè)，就會(huì)被丟棄，只有通過雙項(xiàng)檢測(cè)，報(bào)文才能從設(shè)備端口進(jìn)行轉(zhuǎn)發(fā)和后續(xù)處理，此外，ARP檢測(cè)還能對(duì)ARP報(bào)文進(jìn)行強(qiáng)制轉(zhuǎn)發(fā)，即在虛擬局域網(wǎng)內(nèi)，ARP非信任端口收到已經(jīng)通過雙項(xiàng)檢測(cè)的ARP報(bào)文，設(shè)備會(huì)按照具體規(guī)則對(duì)其進(jìn)行強(qiáng)制轉(zhuǎn)發(fā)；ARP固化功能的實(shí)現(xiàn)體現(xiàn)在系統(tǒng)中ARP的轉(zhuǎn)換上，即在設(shè)備中敲入ARP固化命令，將系統(tǒng)中所有的動(dòng)態(tài)ARP轉(zhuǎn)換成靜態(tài)ARP，以此來防止攻擊者修改ARP地址。

2.3 報(bào)文限速和ARP防IP報(bào)文攻擊功能

報(bào)文限速功能的實(shí)現(xiàn)體現(xiàn)在設(shè)備端口上，主要是為了防范泛洪攻擊的發(fā)生，攻擊者通過主機(jī)向設(shè)備發(fā)送大量偽造ARP報(bào)文，使設(shè)備無法響應(yīng)用戶的請(qǐng)求，報(bào)文也無法正常轉(zhuǎn)發(fā)，這說明網(wǎng)絡(luò)系統(tǒng)遭受了泛洪攻擊，而設(shè)備端口配備了報(bào)文限速功能，設(shè)備就會(huì)按照配備的報(bào)文速率接收ARP報(bào)文，那些在設(shè)備可接受范圍以外的速率就會(huì)被直接丟棄；ARP防IP報(bào)文攻擊功能的實(shí)現(xiàn)主要借助源抑制和ARP黑洞路由方法，源抑制方法適用于固定IP地址的攻擊類型，通過設(shè)定閥值來對(duì)不能解析的IP地址進(jìn)行處理，ARP黑洞路由方法適用于不固定IP地址的攻擊類型，通過建立相應(yīng)的黑洞路由表項(xiàng)來對(duì)不能解析的IP地址進(jìn)行處理[3]。

3 ARP病毒攻擊的防范措施

3.1 ARP攻擊的初步防范

ARP攻擊的初步防范主要適用于在計(jì)算機(jī)方面技術(shù)水平一般的普通用戶，這些用戶在計(jì)算機(jī)受到ARP病毒攻擊時(shí)，可以采取暫時(shí)性的初步防范措施，如重啟計(jì)算機(jī)、禁用計(jì)算機(jī)網(wǎng)卡、網(wǎng)絡(luò)設(shè)備復(fù)位處理、安裝殺毒軟件等，重啟計(jì)算機(jī)能夠使ARP病毒暫時(shí)失去攻擊的環(huán)境，從而起到暫時(shí)性防范作用，禁用計(jì)算機(jī)網(wǎng)卡是為了讓ARP病毒無法發(fā)現(xiàn)可攻擊的目標(biāo)，網(wǎng)絡(luò)設(shè)備復(fù)位處理實(shí)際上就是恢復(fù)網(wǎng)絡(luò)設(shè)備的出廠復(fù)位，安裝殺毒軟件也可以起到預(yù)防ARP病毒攻擊的效果。這些是非專業(yè)計(jì)算機(jī)人員采取的防御ARP病毒攻擊的最基本的方法，保護(hù)效果不會(huì)持續(xù)太久。

3.2 采取雙向地址綁定的方法

雙項(xiàng)地址綁定方法是防御ARP病毒攻擊最常用的一種手段，也是實(shí)踐環(huán)節(jié)應(yīng)用較為廣泛的一類防范措施，通過將IP地址和MAC地址綁定在一起來防止ARP病毒攻擊，這樣即便攻擊者盜取了計(jì)算機(jī)系統(tǒng)的IP地址，由于MAC地址已經(jīng)事前進(jìn)行了修改，這樣反過來就會(huì)騙過攻擊者。雙向地址綁定主要考慮到ARP病毒攻擊是對(duì)相應(yīng)的IP地址和MAC地址偽造操作實(shí)現(xiàn)的，所要要改變這一單一形式，將相應(yīng)的IP地址和MAC地址進(jìn)行一對(duì)一的映射操作，使其在實(shí)際基礎(chǔ)上進(jìn)行有效的設(shè)置，以防止攻擊者對(duì)ARP數(shù)據(jù)的更改，從而避免ARP欺詐現(xiàn)象的發(fā)生[4]。

3.3 應(yīng)用ARP防火墻

ARP防火墻是專門用于應(yīng)對(duì)ARP病毒攻擊的一種殺毒軟件，其主要功能就是保證計(jì)算機(jī)獲取的MAC地址和設(shè)備網(wǎng)關(guān)獲取的MAC地址的合法性，保障數(shù)據(jù)流的正確，防止計(jì)算機(jī)和網(wǎng)管受到偽造ARP數(shù)據(jù)包的干擾。在計(jì)算機(jī)系統(tǒng)的殺毒軟件中加入ARP防火墻，能夠有效地?cái)r截ARP病毒攻擊和IP沖突，確保通信數(shù)據(jù)的安全以及網(wǎng)絡(luò)的暢通?，F(xiàn)在市場(chǎng)上的主流ARP防火主要有金山ARP防火墻、彩影ARP防火墻、風(fēng)云防火墻、360ARP防火墻等，如果用戶的操作系統(tǒng)是Windows，建議選用風(fēng)云防火墻，如果用戶的操作系統(tǒng)是VISTA，建議選用金山ARP防火墻或彩影ARP防火墻。

3.4 開發(fā)Socket軟件

Socket軟件系統(tǒng)不僅可以防止ARP病毒的攻擊，還能在ARP攻擊時(shí)為用戶提供實(shí)時(shí)警報(bào)，便于用戶及時(shí)發(fā)現(xiàn)問題，對(duì)其進(jìn)行處理。Socket編程軟件的開發(fā)和應(yīng)用，能夠有效達(dá)到防范ARP病毒攻擊的目的，當(dāng)然，該軟件對(duì)計(jì)算機(jī)網(wǎng)絡(luò)管理者提出了較高標(biāo)準(zhǔn)的要求，計(jì)算機(jī)網(wǎng)絡(luò)管理者要能夠?qū)RP攻擊原理以及Socket編程開發(fā)技術(shù)有一定的了解[5]。

4 結(jié)論

計(jì)算機(jī)網(wǎng)絡(luò)安全問題是計(jì)算機(jī)應(yīng)用技術(shù)研究領(lǐng)域的一個(gè)重要課題，而ARP攻擊又是計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的主要威脅，人們對(duì)此關(guān)注顯得更為密切，因此，探討ARP攻擊對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全和用戶信息安全的影響，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防ARP攻擊的相應(yīng)措施進(jìn)行研究，有著重要的現(xiàn)實(shí)意義。

[參考文獻(xiàn)]

[1]劉和偉.基于計(jì)算機(jī)網(wǎng)絡(luò)安全防ARP攻擊的研究[J].數(shù)字技術(shù)與應(yīng)用.2013，12（5）：224-225.

[2]徐林.論計(jì)算機(jī)網(wǎng)絡(luò)安全的防ARP攻擊的安全策略[J].計(jì)算機(jī)光盤軟件與應(yīng)用.2013，17（10）：164-166.

[3]王宇杰，王鋒，黃紅.基于ARP攻擊的網(wǎng)絡(luò)犯罪與防范的研究[J].信息網(wǎng)絡(luò)安全.2010，10（6）：66-69.

[4]馬蓉平.計(jì)算機(jī)網(wǎng)絡(luò)安全與ARP攻擊的解決方案[J].遼寧教育行政學(xué)院學(xué)報(bào).2009，6（2）：159-161.

[5]胡亞希.一種基于交換機(jī)的局域網(wǎng)ARP攻擊防御方法的研究及系統(tǒng)實(shí)現(xiàn)[D].湖南大學(xué).2010.