ARP欺騙防御在政企客戶網(wǎng)絡(luò)中的應(yīng)用

【摘要】ARP攻擊造成了政企客戶網(wǎng)絡(luò)的不穩(wěn)定，同時也對網(wǎng)絡(luò)安全提出了挑戰(zhàn)，本文重點介紹了ARP協(xié)議的工作原理，ARP攻擊的欺騙過程及防御措施，旨在保證網(wǎng)絡(luò)穩(wěn)定可靠運行。

【關(guān)鍵詞】ARP攻擊；ARP防御；政企客戶

引言

近年來，隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的飛速發(fā)展，政企客戶對于網(wǎng)絡(luò)的依賴程度越來越高。然而，網(wǎng)絡(luò)安全問題也給廣大客戶帶來了很多困擾，頻繁掉線，網(wǎng)絡(luò)速度慢，內(nèi)網(wǎng)服務(wù)器無法訪問等等?？蛻舫３１г梗骸霸O(shè)備是最好的設(shè)備，服務(wù)器是最好的服務(wù)器，怎么網(wǎng)絡(luò)就這么慢呢？”其實問題關(guān)鍵不在設(shè)備的貴賤與否，也不在設(shè)備性能怎樣，而是IP協(xié)議本身的漏洞造成，這個漏洞一旦被黑客利用，將局域網(wǎng)中的一臺主機(jī)植入病毒程序，就有可能造成整個網(wǎng)絡(luò)的癱瘓。究竟是什么漏洞會給局域網(wǎng)造成如此大的危害？這還得從IP網(wǎng)絡(luò)協(xié)議中的ARP協(xié)議說起。

一、什么是ARP協(xié)議

ARP（Address Resolution Protocol）地址解析協(xié)議，在TCP/IP網(wǎng)絡(luò)模型中屬于一個2.5層的協(xié)議，用于將三層的網(wǎng)絡(luò)地址（IPV4地址為32位）解析成二層的物理地址（MAC地址為48位）

ARP協(xié)議的工作過程

如圖1所示，主機(jī)B希望與主機(jī)A（IP地址：192.168.1.1）進(jìn)行通信，但是他的ARP緩存表里并沒有192.168.1.1對應(yīng)的MAC地址，于是主機(jī)B向整個局域網(wǎng)中發(fā)送ARP廣播包，在這個廣播包中包含本機(jī)IP地址，本機(jī)MAC地址和目的IP地址，請求的內(nèi)容其實就是目的MAC地址。網(wǎng)絡(luò)中的主機(jī)A和主機(jī)C都會收到主機(jī)B發(fā)送的ARP請求廣播數(shù)據(jù)包。主機(jī)A發(fā)現(xiàn)請求的數(shù)據(jù)包中的目的IP地址與自己相同，于是告訴主機(jī)B，我就是你要找的主機(jī)，我的IP地址192.168.1.1對應(yīng)MAC地址為AAAA-AAAA-AAAA，并且將回應(yīng)數(shù)據(jù)包送給主機(jī)B。主機(jī)C同樣也會收到主機(jī)B發(fā)來的廣播包，當(dāng)主機(jī)C發(fā)現(xiàn)主機(jī)B所請求的IP地址與自己不符時，將主機(jī)B的廣播數(shù)據(jù)包丟棄。當(dāng)主機(jī)B接收到主機(jī)A發(fā)來的回應(yīng)數(shù)據(jù)包之后，將其信息更新至自己的ARP緩存表中，至此，一個ARP的請求-回應(yīng)過程就完成了。

二、ARP欺騙原理

從上面ARP協(xié)議的工作過程來看，ARP協(xié)議非常簡單，沒有任何安全保障措施，一旦被黑客主機(jī)利用，將會對網(wǎng)絡(luò)造成巨大的威脅。

如圖2所示，主機(jī)B希望與主機(jī)A（IP地址：192.168.1.1）進(jìn)行通信，于是發(fā)送ARP請求廣播包，當(dāng)黑客主機(jī)C收到主機(jī)B發(fā)來的請求時，會向主機(jī)B發(fā)送一條回應(yīng)：192.168.1.1對應(yīng)的MAC地址為CCCC-CCCC-CCCC，主機(jī)B就認(rèn)為主機(jī)A的MAC地址為CCCC-CCCC-CCCC，而不是真實的AAAA-AAAA-AAAA，這樣就完成了ARP欺騙。在實際的網(wǎng)絡(luò)環(huán)境中，一般黑客主機(jī)C不會等待主機(jī)B發(fā)ARP請求，而是直接利用“免費ARP”機(jī)制，主動向網(wǎng)絡(luò)的其他主機(jī)發(fā)送ARP響應(yīng)數(shù)據(jù)包，告訴網(wǎng)絡(luò)中的所有主機(jī)192.168.1.1對應(yīng)的MAC地址為CCCC-CCCC-CCCC，而192.168.1.1這個IP地址一般都是網(wǎng)絡(luò)中的特殊地址，比如說網(wǎng)絡(luò)中訪問互聯(lián)網(wǎng)的網(wǎng)關(guān)。我們將圖2做一個小小的改動，讓其變成目前一般政企客戶網(wǎng)絡(luò)中普遍存在的一種ARP欺騙方式。

如圖3所示，主機(jī)B設(shè)置完自己本機(jī)的IP之后，將網(wǎng)關(guān)設(shè)置為192.168.1.1，然后點擊確認(rèn)，這時，黑客主機(jī)C正在利用“免費ARP”機(jī)制向網(wǎng)絡(luò)中的其他主機(jī)發(fā)送ARP 數(shù)據(jù)包，內(nèi)容為“192.168.1.1對應(yīng)的MAC地址為CCCC-CCCC-CCCC”這樣主機(jī)B中就會形成一條ARP表項192.168.1.1—CCCC-CCCC-CCCC。如果黑客主機(jī)C僅僅發(fā)送ARP廣播包，那么后果就是主機(jī)B可以ping通192.168.1.1，但是無法訪問互聯(lián)網(wǎng)（此處的192.168.1.1實際為主機(jī)C），如果黑客主機(jī)C將主機(jī)B的信息截獲之后重新封裝再發(fā)給網(wǎng)關(guān)，那么主機(jī)B就可以訪問互聯(lián)網(wǎng)，也能ping通192.168.1.1（此處192.168.1.1仍然為黑客主機(jī)C）。這樣當(dāng)主機(jī)B在網(wǎng)絡(luò)上輸入一些銀行卡信息，通訊軟件的賬號，密碼等敏感內(nèi)容時，就會被黑客截獲，造成無法挽回的損失。這種ARP攻擊方式也叫做“中間人攻擊”，“中間人”黑客主機(jī)C對與網(wǎng)關(guān)和主機(jī)B都是透明的，因此這種方式很難被發(fā)現(xiàn)，危害極大。

三、ARP攻擊在政企客戶網(wǎng)絡(luò)中的防御

1.政企客戶的組成及分類

政企客戶的的組成非常復(fù)雜，包括政府機(jī)構(gòu)，各類型企事業(yè)單位，組網(wǎng)要求，組網(wǎng)方式各不相同，網(wǎng)絡(luò)管理員的水平也是參差不齊，這就要求我們對這些政企客戶進(jìn)行分類，有針對性的對他們的網(wǎng)絡(luò)進(jìn)行優(yōu)化，使得網(wǎng)絡(luò)布局更加合理，網(wǎng)絡(luò)維護(hù)更加方便，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰。

隨著政企客戶的網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，我們將政企客戶大致分為三類：大型政企客戶，中型政企客戶和小型政企客戶。

2.政企客戶網(wǎng)絡(luò)的ARP防御

對于這三類客戶，ARP防御的方式也不盡相同，這主要取決于網(wǎng)絡(luò)的規(guī)模。我們將針對不同規(guī)模的網(wǎng)絡(luò)制定出不同的ARP防御方案。

1）小型政企客戶

小型政企客戶的路由器性能比較弱，PC容量比較少，比較方便一對一管理，因此可以采取IP-MAC靜態(tài)綁定的方法，這種方法直截了當(dāng)，簡單易操作。具體操作方法是通過每臺PC里面自帶的WINDOWS命令arp-s來綁定出口網(wǎng)關(guān)的IP-MAC對應(yīng)關(guān)系以達(dá)到不被欺騙的目的。對于有些客戶可能不會使用arp-s的命令，可以通過將命令添加到啟動欄方法解決，只要在記事本中輸入arp-s 192.168.1.1 AA-AA-AA-AA-AA-AA即可，然后將此文本保存為bat文件，之后將此bat文件放入啟動一欄就可以保證每次開機(jī)都運行一次arp地址的固化，從而保證主機(jī)不被ARP欺騙。

除了在PC中固化網(wǎng)關(guān)的arp地址，小型企業(yè)的用戶還可以在自己的PC上安裝ARP軟件防火墻。其原理是通過廣播一直向網(wǎng)絡(luò)中發(fā)布免費ARP消息，告訴網(wǎng)關(guān)自己的IP-MAC綁定關(guān)系。這種方法是以消耗網(wǎng)絡(luò)資源為代價實現(xiàn)防止ARP欺騙的，由于小型政企客戶網(wǎng)絡(luò)中的PC數(shù)量比較少，因此這種方法對于防止ARP欺騙的效果是不錯的。

2）中型政企客戶

中型政企客戶相對小型政企客戶在網(wǎng)絡(luò)的規(guī)模上有了一定提升，主要體現(xiàn)在PC的數(shù)量有所增加，網(wǎng)絡(luò)設(shè)備的性能有所提升，網(wǎng)絡(luò)管理員的水平也相應(yīng)要高一些。因此一般采取在網(wǎng)絡(luò)設(shè)備上進(jìn)行配置，來保證局域網(wǎng)內(nèi)的PC被ARP欺騙。一般來說，網(wǎng)絡(luò)設(shè)備（主要是出口路由器或者防火墻）的防御主要有兩種方法：第一種是固化ARP表，即將網(wǎng)絡(luò)中的所有主機(jī)的ARP表固化，使得只有在表中固化并且符合IP-MAC綁定關(guān)系的PC才能正常訪問，對于新入網(wǎng)和綁定關(guān)系不正確的PC，就會被禁止訪問網(wǎng)絡(luò)。這種方式對于網(wǎng)絡(luò)管理員的要求比較高，需要時刻關(guān)注網(wǎng)絡(luò)內(nèi)主機(jī)的變化情況并作出調(diào)整。第二種是網(wǎng)關(guān)發(fā)送免費ARP廣播，來不斷地告訴網(wǎng)絡(luò)中的主機(jī)自己的IP-MAC綁定關(guān)系這種方式和PC發(fā)送ARP廣播的方式累死，而且這種方式中只有一臺設(shè)備發(fā)送廣播，比每臺PC都發(fā)送要好的多。

此外，由于ARP攻擊時發(fā)送的數(shù)據(jù)包是采用廣播方式，因此可以采取劃分VLAN的方式，將不同部門，不同科室，不同樓層的PC劃分為若干個VLAN，盡量減少ARP攻擊所能影響的范圍，以達(dá)到降低風(fēng)險的目的，這在中型企業(yè)中也是一個不錯的選擇。

3）大型企業(yè)客戶

對于大型企業(yè)的客戶，他們的特點較中型企業(yè)的來說就是PC數(shù)量更大，網(wǎng)絡(luò)設(shè)備的要求更高，網(wǎng)絡(luò)結(jié)構(gòu)也更復(fù)雜。顯然在網(wǎng)絡(luò)設(shè)備上做ARP的綁定就會略顯吃力，我們可以通過架設(shè)專用的ARP驗證服務(wù)器來解決ARP的欺騙問題。在網(wǎng)絡(luò)中架設(shè)一臺ARP驗證服務(wù)器，通過這個中立的第三方來解決主機(jī)與網(wǎng)關(guān)之間的信任問題，由驗證服務(wù)器對訪問請求進(jìn)行判斷，并且查找出相應(yīng)的真實網(wǎng)關(guān)，從而保證了通信的正常進(jìn)行。

和中型網(wǎng)絡(luò)相比，大型網(wǎng)絡(luò)的VLAN劃分是不可或缺的，如果沒有VLAN的劃分，那么網(wǎng)絡(luò)中的廣播域?qū)⑾喈?dāng)龐大，一旦受到ARP攻擊，將會對整個網(wǎng)絡(luò)造成影響，因此，大型政企客戶的網(wǎng)絡(luò)中必須劃分VLAN。

四、結(jié)語

ARP攻擊使網(wǎng)絡(luò)中產(chǎn)生了大量的廣播包，拖慢了政企客戶的網(wǎng)絡(luò)速度，對他們的網(wǎng)絡(luò)安全造成嚴(yán)重的威脅。因此，要從根本上杜絕ARP攻擊的存在，不僅僅需要在網(wǎng)絡(luò)設(shè)備上做相應(yīng)的部署，更重要的要普遍提高政企客戶人員對網(wǎng)絡(luò)安全的重視，只有從“人”的層面上解決了，才能更好地保證網(wǎng)絡(luò)的健康運行。

參考文獻(xiàn)

[1]杜常青.計算機(jī)網(wǎng)絡(luò)信息技術(shù)安全及防范對策研究[J].信息安全與技術(shù)，2011，（11）

[2]張莉.高校機(jī)房ARP欺騙攻擊的防范[J].山西財經(jīng)大學(xué)學(xué)報，2011，（S2）：147

[3]譚敏，楊衛(wèi)平.ARP病毒攻擊與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（4）