ARP攻擊的原理分析及防御方案

陳禹航

摘要：在以太網(wǎng)環(huán)境下，ARP攻擊一方面會造成網(wǎng)絡(luò)連接不穩(wěn)定，引發(fā)用戶通信中斷，另一方面截取用戶報(bào)文進(jìn)而獲取用戶敏感信息等危害。為此，該文從ARP協(xié)議的原理入手，分兩類分析了四種常見的ARP攻擊方式的過程和原理，然后提出以太網(wǎng)環(huán)境下計(jì)算機(jī)和交換機(jī)的全面立體的ARP防御方案，最后結(jié)合一個實(shí)際案例分析以太網(wǎng)環(huán)境下ARP攻擊的定位過程。

關(guān)鍵詞：ARP協(xié)議；ARP攻擊；IP地址；MAC地址；ARP防御；ARP攻擊定位

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）32-7594-04

Abstract： In the Ethernet environment，when ARP attack happens， network connection is precarious to interrupt communication network on one hand and and intercept users packets to get users sensitive messages on the other hand .So，taking the principle of ARP protocol as a key， this paper discusses four common ARP attacks，then，

Key words：ARP protocol；ARP attack；IP address；MAC address；defence for ARP；location of ARP attacking

在以太網(wǎng)接入因特網(wǎng)環(huán)境下，ARP攻擊時有發(fā)生，造成網(wǎng)內(nèi)主機(jī)頻繁斷網(wǎng)，甚至截取用戶報(bào)文，給網(wǎng)內(nèi)用戶帶來很大的不便。

1 ARP協(xié)議的工作原理

1） 網(wǎng)關(guān)首先查看本機(jī)的ARP緩存中是否存在主機(jī)A的IP地址對應(yīng)的MAC地址。若有，則直接利用ARP表中的MAC地址，封裝IP數(shù)據(jù)包再發(fā)送給主機(jī)A。

2） 若無，以廣播方式發(fā)送一個ARP請求報(bào)文。ARP請求報(bào)文中的發(fā)送端IP和MAC地址分別為網(wǎng)關(guān)的IP和MAC地址，目標(biāo)IP和MAC地址分別為主機(jī)A的IP地址和全0的MAC地址。由于ARP請求報(bào)文以廣播方式發(fā)送，該網(wǎng)段上的所有主機(jī)都可以接收到該請求，但只有被請求的主機(jī)，即主機(jī)A，會對該請求進(jìn)行處理，如圖1中的②。

3） 主機(jī)A比較自己的IP地址和ARP請求報(bào)文中的目標(biāo)IP地址，當(dāng)兩者相同時進(jìn)行如下處理：將ARP請求報(bào)文中的發(fā)送端（即網(wǎng)關(guān)）的IP和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應(yīng)報(bào)文給主機(jī)A，其中包含了自己的MAC地址，如圖1中的③。

4） 網(wǎng)關(guān)收到ARP響應(yīng)報(bào)文后，將主機(jī)A的MAC地址加入到自己的ARP表中，同時將IP數(shù)據(jù)包進(jìn)行封裝后發(fā)送出去。

為避免ARP數(shù)據(jù)包過多地占用網(wǎng)絡(luò)帶寬，ARP協(xié)議設(shè)計(jì)計(jì)算機(jī)、交換機(jī)、路由器及防火墻等網(wǎng)絡(luò)設(shè)備維護(hù)本機(jī)的ARP緩存。在正常情況下，ARP緩存可以有效保證數(shù)據(jù)傳輸?shù)恼_性。

2 ARP攻擊技術(shù)

按照ARP協(xié)議的設(shè)計(jì)，網(wǎng)絡(luò)設(shè)備在收到ARP包時并沒有判斷包的合法性，直接更新本機(jī)的ARP緩存，這就為ARP攻擊提供了條件。在本文中，將分兩類討論ARP攻擊的四種常見方式，并分析它們的攻擊過程與原理。

2.1 ARP欺騙攻擊

ARP欺騙攻擊，是指攻擊者通過發(fā)送偽造的ARP報(bào)文，惡意修改網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)內(nèi)其他用戶主機(jī)的ARP表項(xiàng)，造成網(wǎng)絡(luò)或用戶的報(bào)文通信異常。

2.1.1基于ARP的中間人攻擊

拓?fù)鋱D如圖3，假設(shè)主機(jī)A是攻擊者，主機(jī)B是被攻擊者，攻擊過程如下：

1） 主機(jī)A向主機(jī)B連續(xù)發(fā)送大量虛假ARP響應(yīng)包，使主機(jī)B的ARP表更新為：網(wǎng)關(guān)的IP地址192.168.1.1對應(yīng)的MAC地址為MAC-A；

2） 主機(jī)A以192.168.1.1為源IP構(gòu)造SYN數(shù)據(jù)包，向主機(jī)B發(fā)起偽TCP連接；

3） 當(dāng)主機(jī)B收到該包后，就構(gòu)造一個目的IP為192.168.1.1的SYN ACK包發(fā)往網(wǎng)關(guān)。由于主機(jī)B的ARP緩存中192.168.1.1對應(yīng)的MAC地址為MAC-A，這個SYN ACK包實(shí)際上是發(fā)往主機(jī)A；

4） 由于主機(jī)A的IP地址為192.168.1.2，與SYN ACK包的目的IP不一致，所以主機(jī)A的系統(tǒng)將丟棄SYN ACK包。但是，主機(jī)A可以在數(shù)據(jù)鏈路層直接把數(shù)據(jù)幀獲取下來，并再次以192.168.1.1為源IP構(gòu)造偽裝SYN ACK包發(fā)往主機(jī)B以完成TCP的第三次握手。這樣，TCP的三次握手完成，主機(jī)A對主機(jī)B的偽連接也成功建立；

5） 主機(jī)A以192.168.1.1為源IP向主機(jī)B連續(xù)發(fā)送大量數(shù)據(jù)，這樣，主機(jī)B的所有可用的操作系統(tǒng)資源都被消耗殆盡，最終主機(jī)B無法處理合法用戶的服務(wù)請求。

2.2.2 MAC泛洪現(xiàn)象

泛洪是快速散布網(wǎng)絡(luò)設(shè)備更新信息到網(wǎng)絡(luò)每一個結(jié)點(diǎn)的一種方法。MAC泛洪是交換機(jī)的ARP緩存溢出現(xiàn)象，即因?yàn)榻粨Q機(jī)可以主動學(xué)習(xí)客戶端的IP與MAC地址對以建立和維護(hù)其固定大小的ARP高速緩存表，當(dāng)交換機(jī)收到大量的ARP欺騙包時，其ARP緩存將迅速被填滿錯誤的ARP條目，同時，這些ARP條目將被更新到網(wǎng)絡(luò)中的其他交換機(jī)中，從而造成它們的ARP表溢出、負(fù)載過大、網(wǎng)絡(luò)緩慢、丟包甚至網(wǎng)絡(luò)癱瘓。

3.2.2 靜態(tài)ARP與端口綁定

靜態(tài)ARP是針對交換機(jī)的ARP緩存的技術(shù)，即ARP緩存中的IP與MAC地址對固定，交換機(jī)在收到ARP報(bào)文時其不會被動態(tài)修改；而端口綁定是一種簡單的安全機(jī)制，通過交換機(jī)上的綁定功能，可以對端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾控制。當(dāng)端口接收到報(bào)文后查找綁定表項(xiàng)，如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配，則端口轉(zhuǎn)發(fā)該報(bào)文，否則丟棄處理。

3.2.3 ARP報(bào)文限速

該技術(shù)可以防止設(shè)備因處理大量ARP報(bào)文，導(dǎo)致CPU負(fù)荷過重而無法處理其他業(yè)務(wù)。該技術(shù)的原理是通過對每秒內(nèi)交換機(jī)全局、VLAN、接口或源IP接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，若每秒收到的ARP報(bào)文數(shù)量超過設(shè)定值，則認(rèn)為該交換機(jī)全局、VLAN、接口或源IP接收的ARP報(bào)文處于超速狀態(tài)，即受到ARP報(bào)文攻擊。此時，交換機(jī)將丟棄超出閾值部分的ARP報(bào)文，從而避免大量ARP報(bào)文攻擊設(shè)備。

3.2.4 基于接口的ARP表項(xiàng)限制

該技術(shù)通過在指定接口下配置接口能夠?qū)W習(xí)到的最大動態(tài)ARP表項(xiàng)數(shù)目，以確保當(dāng)指定接口下的動態(tài)ARP表項(xiàng)達(dá)到允許學(xué)習(xí)的最大數(shù)目后，將不允許新增動態(tài)ARP表項(xiàng)，達(dá)到防止當(dāng)一個接口所接入的某一用戶主機(jī)發(fā)起ARP攻擊時導(dǎo)致整個設(shè)備的ARP表資源都被耗盡的目的。

4.4 ARP攻擊處理流程

ARP攻擊的處理一般是先確定產(chǎn)生攻擊的源MAC地址，再通過查看交換機(jī)判斷該源MAC地址所接的交換機(jī)端口，最后把該攻擊端口物理關(guān)閉即可。

5 小結(jié)

綜上所述，ARP協(xié)議在設(shè)計(jì)時并未考慮到安全問題，給以太網(wǎng)安全帶來很大的挑戰(zhàn)，因此，在網(wǎng)絡(luò)管理中，我們需要高度重視ARP欺騙攻擊，從局域網(wǎng)主機(jī)和網(wǎng)絡(luò)設(shè)備兩個層面構(gòu)建全面立體的防御體系，才能確保網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].4版.北京：電子工業(yè)出版社，2003.

[2] 協(xié)議分析網(wǎng)[DB/OL].http：//www.cnpaf.net.

[3] H3C S3100-52P以太網(wǎng)交換機(jī)操作手冊-Release 1702-6W100.

[4] Quidway S3900系列以太網(wǎng)交換機(jī)操作手冊-Release 1602.

[5] Quidway S3700系列以太網(wǎng)交換機(jī)操作手冊-V100R006C03.

摘要：在以太網(wǎng)環(huán)境下，ARP攻擊一方面會造成網(wǎng)絡(luò)連接不穩(wěn)定，引發(fā)用戶通信中斷，另一方面截取用戶報(bào)文進(jìn)而獲取用戶敏感信息等危害。為此，該文從ARP協(xié)議的原理入手，分兩類分析了四種常見的ARP攻擊方式的過程和原理，然后提出以太網(wǎng)環(huán)境下計(jì)算機(jī)和交換機(jī)的全面立體的ARP防御方案，最后結(jié)合一個實(shí)際案例分析以太網(wǎng)環(huán)境下ARP攻擊的定位過程。

關(guān)鍵詞：ARP協(xié)議；ARP攻擊；IP地址；MAC地址；ARP防御；ARP攻擊定位

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）32-7594-04

Abstract： In the Ethernet environment，when ARP attack happens， network connection is precarious to interrupt communication network on one hand and and intercept users packets to get users sensitive messages on the other hand .So，taking the principle of ARP protocol as a key， this paper discusses four common ARP attacks，then，

Key words：ARP protocol；ARP attack；IP address；MAC address；defence for ARP；location of ARP attacking

在以太網(wǎng)接入因特網(wǎng)環(huán)境下，ARP攻擊時有發(fā)生，造成網(wǎng)內(nèi)主機(jī)頻繁斷網(wǎng)，甚至截取用戶報(bào)文，給網(wǎng)內(nèi)用戶帶來很大的不便。

1 ARP協(xié)議的工作原理

1） 網(wǎng)關(guān)首先查看本機(jī)的ARP緩存中是否存在主機(jī)A的IP地址對應(yīng)的MAC地址。若有，則直接利用ARP表中的MAC地址，封裝IP數(shù)據(jù)包再發(fā)送給主機(jī)A。

2） 若無，以廣播方式發(fā)送一個ARP請求報(bào)文。ARP請求報(bào)文中的發(fā)送端IP和MAC地址分別為網(wǎng)關(guān)的IP和MAC地址，目標(biāo)IP和MAC地址分別為主機(jī)A的IP地址和全0的MAC地址。由于ARP請求報(bào)文以廣播方式發(fā)送，該網(wǎng)段上的所有主機(jī)都可以接收到該請求，但只有被請求的主機(jī)，即主機(jī)A，會對該請求進(jìn)行處理，如圖1中的②。

3） 主機(jī)A比較自己的IP地址和ARP請求報(bào)文中的目標(biāo)IP地址，當(dāng)兩者相同時進(jìn)行如下處理：將ARP請求報(bào)文中的發(fā)送端（即網(wǎng)關(guān)）的IP和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應(yīng)報(bào)文給主機(jī)A，其中包含了自己的MAC地址，如圖1中的③。

4） 網(wǎng)關(guān)收到ARP響應(yīng)報(bào)文后，將主機(jī)A的MAC地址加入到自己的ARP表中，同時將IP數(shù)據(jù)包進(jìn)行封裝后發(fā)送出去。

為避免ARP數(shù)據(jù)包過多地占用網(wǎng)絡(luò)帶寬，ARP協(xié)議設(shè)計(jì)計(jì)算機(jī)、交換機(jī)、路由器及防火墻等網(wǎng)絡(luò)設(shè)備維護(hù)本機(jī)的ARP緩存。在正常情況下，ARP緩存可以有效保證數(shù)據(jù)傳輸?shù)恼_性。

2 ARP攻擊技術(shù)

按照ARP協(xié)議的設(shè)計(jì)，網(wǎng)絡(luò)設(shè)備在收到ARP包時并沒有判斷包的合法性，直接更新本機(jī)的ARP緩存，這就為ARP攻擊提供了條件。在本文中，將分兩類討論ARP攻擊的四種常見方式，并分析它們的攻擊過程與原理。

2.1 ARP欺騙攻擊

ARP欺騙攻擊，是指攻擊者通過發(fā)送偽造的ARP報(bào)文，惡意修改網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)內(nèi)其他用戶主機(jī)的ARP表項(xiàng)，造成網(wǎng)絡(luò)或用戶的報(bào)文通信異常。

2.1.1基于ARP的中間人攻擊

拓?fù)鋱D如圖3，假設(shè)主機(jī)A是攻擊者，主機(jī)B是被攻擊者，攻擊過程如下：

1） 主機(jī)A向主機(jī)B連續(xù)發(fā)送大量虛假ARP響應(yīng)包，使主機(jī)B的ARP表更新為：網(wǎng)關(guān)的IP地址192.168.1.1對應(yīng)的MAC地址為MAC-A；

2） 主機(jī)A以192.168.1.1為源IP構(gòu)造SYN數(shù)據(jù)包，向主機(jī)B發(fā)起偽TCP連接；

3） 當(dāng)主機(jī)B收到該包后，就構(gòu)造一個目的IP為192.168.1.1的SYN ACK包發(fā)往網(wǎng)關(guān)。由于主機(jī)B的ARP緩存中192.168.1.1對應(yīng)的MAC地址為MAC-A，這個SYN ACK包實(shí)際上是發(fā)往主機(jī)A；

4） 由于主機(jī)A的IP地址為192.168.1.2，與SYN ACK包的目的IP不一致，所以主機(jī)A的系統(tǒng)將丟棄SYN ACK包。但是，主機(jī)A可以在數(shù)據(jù)鏈路層直接把數(shù)據(jù)幀獲取下來，并再次以192.168.1.1為源IP構(gòu)造偽裝SYN ACK包發(fā)往主機(jī)B以完成TCP的第三次握手。這樣，TCP的三次握手完成，主機(jī)A對主機(jī)B的偽連接也成功建立；

5） 主機(jī)A以192.168.1.1為源IP向主機(jī)B連續(xù)發(fā)送大量數(shù)據(jù)，這樣，主機(jī)B的所有可用的操作系統(tǒng)資源都被消耗殆盡，最終主機(jī)B無法處理合法用戶的服務(wù)請求。

2.2.2 MAC泛洪現(xiàn)象

泛洪是快速散布網(wǎng)絡(luò)設(shè)備更新信息到網(wǎng)絡(luò)每一個結(jié)點(diǎn)的一種方法。MAC泛洪是交換機(jī)的ARP緩存溢出現(xiàn)象，即因?yàn)榻粨Q機(jī)可以主動學(xué)習(xí)客戶端的IP與MAC地址對以建立和維護(hù)其固定大小的ARP高速緩存表，當(dāng)交換機(jī)收到大量的ARP欺騙包時，其ARP緩存將迅速被填滿錯誤的ARP條目，同時，這些ARP條目將被更新到網(wǎng)絡(luò)中的其他交換機(jī)中，從而造成它們的ARP表溢出、負(fù)載過大、網(wǎng)絡(luò)緩慢、丟包甚至網(wǎng)絡(luò)癱瘓。

3.2.2 靜態(tài)ARP與端口綁定

靜態(tài)ARP是針對交換機(jī)的ARP緩存的技術(shù)，即ARP緩存中的IP與MAC地址對固定，交換機(jī)在收到ARP報(bào)文時其不會被動態(tài)修改；而端口綁定是一種簡單的安全機(jī)制，通過交換機(jī)上的綁定功能，可以對端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾控制。當(dāng)端口接收到報(bào)文后查找綁定表項(xiàng)，如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配，則端口轉(zhuǎn)發(fā)該報(bào)文，否則丟棄處理。

3.2.3 ARP報(bào)文限速

該技術(shù)可以防止設(shè)備因處理大量ARP報(bào)文，導(dǎo)致CPU負(fù)荷過重而無法處理其他業(yè)務(wù)。該技術(shù)的原理是通過對每秒內(nèi)交換機(jī)全局、VLAN、接口或源IP接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，若每秒收到的ARP報(bào)文數(shù)量超過設(shè)定值，則認(rèn)為該交換機(jī)全局、VLAN、接口或源IP接收的ARP報(bào)文處于超速狀態(tài)，即受到ARP報(bào)文攻擊。此時，交換機(jī)將丟棄超出閾值部分的ARP報(bào)文，從而避免大量ARP報(bào)文攻擊設(shè)備。

3.2.4 基于接口的ARP表項(xiàng)限制

該技術(shù)通過在指定接口下配置接口能夠?qū)W習(xí)到的最大動態(tài)ARP表項(xiàng)數(shù)目，以確保當(dāng)指定接口下的動態(tài)ARP表項(xiàng)達(dá)到允許學(xué)習(xí)的最大數(shù)目后，將不允許新增動態(tài)ARP表項(xiàng)，達(dá)到防止當(dāng)一個接口所接入的某一用戶主機(jī)發(fā)起ARP攻擊時導(dǎo)致整個設(shè)備的ARP表資源都被耗盡的目的。

4.4 ARP攻擊處理流程

ARP攻擊的處理一般是先確定產(chǎn)生攻擊的源MAC地址，再通過查看交換機(jī)判斷該源MAC地址所接的交換機(jī)端口，最后把該攻擊端口物理關(guān)閉即可。

5 小結(jié)

綜上所述，ARP協(xié)議在設(shè)計(jì)時并未考慮到安全問題，給以太網(wǎng)安全帶來很大的挑戰(zhàn)，因此，在網(wǎng)絡(luò)管理中，我們需要高度重視ARP欺騙攻擊，從局域網(wǎng)主機(jī)和網(wǎng)絡(luò)設(shè)備兩個層面構(gòu)建全面立體的防御體系，才能確保網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].4版.北京：電子工業(yè)出版社，2003.

[2] 協(xié)議分析網(wǎng)[DB/OL].http：//www.cnpaf.net.

[3] H3C S3100-52P以太網(wǎng)交換機(jī)操作手冊-Release 1702-6W100.

[4] Quidway S3900系列以太網(wǎng)交換機(jī)操作手冊-Release 1602.

[5] Quidway S3700系列以太網(wǎng)交換機(jī)操作手冊-V100R006C03.

摘要：在以太網(wǎng)環(huán)境下，ARP攻擊一方面會造成網(wǎng)絡(luò)連接不穩(wěn)定，引發(fā)用戶通信中斷，另一方面截取用戶報(bào)文進(jìn)而獲取用戶敏感信息等危害。為此，該文從ARP協(xié)議的原理入手，分兩類分析了四種常見的ARP攻擊方式的過程和原理，然后提出以太網(wǎng)環(huán)境下計(jì)算機(jī)和交換機(jī)的全面立體的ARP防御方案，最后結(jié)合一個實(shí)際案例分析以太網(wǎng)環(huán)境下ARP攻擊的定位過程。

關(guān)鍵詞：ARP協(xié)議；ARP攻擊；IP地址；MAC地址；ARP防御；ARP攻擊定位

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）32-7594-04

Abstract： In the Ethernet environment，when ARP attack happens， network connection is precarious to interrupt communication network on one hand and and intercept users packets to get users sensitive messages on the other hand .So，taking the principle of ARP protocol as a key， this paper discusses four common ARP attacks，then，

Key words：ARP protocol；ARP attack；IP address；MAC address；defence for ARP；location of ARP attacking

在以太網(wǎng)接入因特網(wǎng)環(huán)境下，ARP攻擊時有發(fā)生，造成網(wǎng)內(nèi)主機(jī)頻繁斷網(wǎng)，甚至截取用戶報(bào)文，給網(wǎng)內(nèi)用戶帶來很大的不便。

1 ARP協(xié)議的工作原理

1） 網(wǎng)關(guān)首先查看本機(jī)的ARP緩存中是否存在主機(jī)A的IP地址對應(yīng)的MAC地址。若有，則直接利用ARP表中的MAC地址，封裝IP數(shù)據(jù)包再發(fā)送給主機(jī)A。

2） 若無，以廣播方式發(fā)送一個ARP請求報(bào)文。ARP請求報(bào)文中的發(fā)送端IP和MAC地址分別為網(wǎng)關(guān)的IP和MAC地址，目標(biāo)IP和MAC地址分別為主機(jī)A的IP地址和全0的MAC地址。由于ARP請求報(bào)文以廣播方式發(fā)送，該網(wǎng)段上的所有主機(jī)都可以接收到該請求，但只有被請求的主機(jī)，即主機(jī)A，會對該請求進(jìn)行處理，如圖1中的②。

3） 主機(jī)A比較自己的IP地址和ARP請求報(bào)文中的目標(biāo)IP地址，當(dāng)兩者相同時進(jìn)行如下處理：將ARP請求報(bào)文中的發(fā)送端（即網(wǎng)關(guān)）的IP和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應(yīng)報(bào)文給主機(jī)A，其中包含了自己的MAC地址，如圖1中的③。

4） 網(wǎng)關(guān)收到ARP響應(yīng)報(bào)文后，將主機(jī)A的MAC地址加入到自己的ARP表中，同時將IP數(shù)據(jù)包進(jìn)行封裝后發(fā)送出去。

為避免ARP數(shù)據(jù)包過多地占用網(wǎng)絡(luò)帶寬，ARP協(xié)議設(shè)計(jì)計(jì)算機(jī)、交換機(jī)、路由器及防火墻等網(wǎng)絡(luò)設(shè)備維護(hù)本機(jī)的ARP緩存。在正常情況下，ARP緩存可以有效保證數(shù)據(jù)傳輸?shù)恼_性。

2 ARP攻擊技術(shù)

按照ARP協(xié)議的設(shè)計(jì)，網(wǎng)絡(luò)設(shè)備在收到ARP包時并沒有判斷包的合法性，直接更新本機(jī)的ARP緩存，這就為ARP攻擊提供了條件。在本文中，將分兩類討論ARP攻擊的四種常見方式，并分析它們的攻擊過程與原理。

2.1 ARP欺騙攻擊

ARP欺騙攻擊，是指攻擊者通過發(fā)送偽造的ARP報(bào)文，惡意修改網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)內(nèi)其他用戶主機(jī)的ARP表項(xiàng)，造成網(wǎng)絡(luò)或用戶的報(bào)文通信異常。

2.1.1基于ARP的中間人攻擊

拓?fù)鋱D如圖3，假設(shè)主機(jī)A是攻擊者，主機(jī)B是被攻擊者，攻擊過程如下：

1） 主機(jī)A向主機(jī)B連續(xù)發(fā)送大量虛假ARP響應(yīng)包，使主機(jī)B的ARP表更新為：網(wǎng)關(guān)的IP地址192.168.1.1對應(yīng)的MAC地址為MAC-A；

2） 主機(jī)A以192.168.1.1為源IP構(gòu)造SYN數(shù)據(jù)包，向主機(jī)B發(fā)起偽TCP連接；

3） 當(dāng)主機(jī)B收到該包后，就構(gòu)造一個目的IP為192.168.1.1的SYN ACK包發(fā)往網(wǎng)關(guān)。由于主機(jī)B的ARP緩存中192.168.1.1對應(yīng)的MAC地址為MAC-A，這個SYN ACK包實(shí)際上是發(fā)往主機(jī)A；

4） 由于主機(jī)A的IP地址為192.168.1.2，與SYN ACK包的目的IP不一致，所以主機(jī)A的系統(tǒng)將丟棄SYN ACK包。但是，主機(jī)A可以在數(shù)據(jù)鏈路層直接把數(shù)據(jù)幀獲取下來，并再次以192.168.1.1為源IP構(gòu)造偽裝SYN ACK包發(fā)往主機(jī)B以完成TCP的第三次握手。這樣，TCP的三次握手完成，主機(jī)A對主機(jī)B的偽連接也成功建立；

5） 主機(jī)A以192.168.1.1為源IP向主機(jī)B連續(xù)發(fā)送大量數(shù)據(jù)，這樣，主機(jī)B的所有可用的操作系統(tǒng)資源都被消耗殆盡，最終主機(jī)B無法處理合法用戶的服務(wù)請求。

2.2.2 MAC泛洪現(xiàn)象

泛洪是快速散布網(wǎng)絡(luò)設(shè)備更新信息到網(wǎng)絡(luò)每一個結(jié)點(diǎn)的一種方法。MAC泛洪是交換機(jī)的ARP緩存溢出現(xiàn)象，即因?yàn)榻粨Q機(jī)可以主動學(xué)習(xí)客戶端的IP與MAC地址對以建立和維護(hù)其固定大小的ARP高速緩存表，當(dāng)交換機(jī)收到大量的ARP欺騙包時，其ARP緩存將迅速被填滿錯誤的ARP條目，同時，這些ARP條目將被更新到網(wǎng)絡(luò)中的其他交換機(jī)中，從而造成它們的ARP表溢出、負(fù)載過大、網(wǎng)絡(luò)緩慢、丟包甚至網(wǎng)絡(luò)癱瘓。

3.2.2 靜態(tài)ARP與端口綁定

靜態(tài)ARP是針對交換機(jī)的ARP緩存的技術(shù)，即ARP緩存中的IP與MAC地址對固定，交換機(jī)在收到ARP報(bào)文時其不會被動態(tài)修改；而端口綁定是一種簡單的安全機(jī)制，通過交換機(jī)上的綁定功能，可以對端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾控制。當(dāng)端口接收到報(bào)文后查找綁定表項(xiàng)，如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配，則端口轉(zhuǎn)發(fā)該報(bào)文，否則丟棄處理。

3.2.3 ARP報(bào)文限速

該技術(shù)可以防止設(shè)備因處理大量ARP報(bào)文，導(dǎo)致CPU負(fù)荷過重而無法處理其他業(yè)務(wù)。該技術(shù)的原理是通過對每秒內(nèi)交換機(jī)全局、VLAN、接口或源IP接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，若每秒收到的ARP報(bào)文數(shù)量超過設(shè)定值，則認(rèn)為該交換機(jī)全局、VLAN、接口或源IP接收的ARP報(bào)文處于超速狀態(tài)，即受到ARP報(bào)文攻擊。此時，交換機(jī)將丟棄超出閾值部分的ARP報(bào)文，從而避免大量ARP報(bào)文攻擊設(shè)備。

3.2.4 基于接口的ARP表項(xiàng)限制

該技術(shù)通過在指定接口下配置接口能夠?qū)W習(xí)到的最大動態(tài)ARP表項(xiàng)數(shù)目，以確保當(dāng)指定接口下的動態(tài)ARP表項(xiàng)達(dá)到允許學(xué)習(xí)的最大數(shù)目后，將不允許新增動態(tài)ARP表項(xiàng)，達(dá)到防止當(dāng)一個接口所接入的某一用戶主機(jī)發(fā)起ARP攻擊時導(dǎo)致整個設(shè)備的ARP表資源都被耗盡的目的。

4.4 ARP攻擊處理流程

ARP攻擊的處理一般是先確定產(chǎn)生攻擊的源MAC地址，再通過查看交換機(jī)判斷該源MAC地址所接的交換機(jī)端口，最后把該攻擊端口物理關(guān)閉即可。

5 小結(jié)

綜上所述，ARP協(xié)議在設(shè)計(jì)時并未考慮到安全問題，給以太網(wǎng)安全帶來很大的挑戰(zhàn)，因此，在網(wǎng)絡(luò)管理中，我們需要高度重視ARP欺騙攻擊，從局域網(wǎng)主機(jī)和網(wǎng)絡(luò)設(shè)備兩個層面構(gòu)建全面立體的防御體系，才能確保網(wǎng)絡(luò)安全。

參考文獻(xiàn)：

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].4版.北京：電子工業(yè)出版社，2003.

[2] 協(xié)議分析網(wǎng)[DB/OL].http：//www.cnpaf.net.

[3] H3C S3100-52P以太網(wǎng)交換機(jī)操作手冊-Release 1702-6W100.

[4] Quidway S3900系列以太網(wǎng)交換機(jī)操作手冊-Release 1602.

[5] Quidway S3700系列以太網(wǎng)交換機(jī)操作手冊-V100R006C03.