水利局域網(wǎng)常見(jiàn)的ARP攻擊及防范

喻 勇，高廣利

（1.新疆維吾爾自治區(qū)水利廳頭屯河流域管理處，新疆昌吉831100；2.北京金水信息技術(shù)發(fā)展有限公司，北京 100053）

水利局域網(wǎng)常見(jiàn)的ARP攻擊及防范

喻 勇1，高廣利2

（1.新疆維吾爾自治區(qū)水利廳頭屯河流域管理處，新疆昌吉831100；2.北京金水信息技術(shù)發(fā)展有限公司，北京 100053）

近年來(lái)水利局域網(wǎng)的日益普及，網(wǎng)絡(luò)安全的問(wèn)題日益突出，特別是最具典型的ARP欺騙和ARP病毒造成的網(wǎng)絡(luò)異常事件頻頻發(fā)生，嚴(yán)重影響了網(wǎng)絡(luò)的正常使用，為水利防汛抗旱工作造成一定隱患。本文從網(wǎng)絡(luò)管理人角度角度分析了ARP攻擊產(chǎn)生的原因，并初步提出了解決辦法。

ARP攻擊；網(wǎng)絡(luò)安全；水利局域網(wǎng)

1　概述

隨著水利信息化的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為水利事業(yè)的重要基礎(chǔ)設(shè)施，大部分水利單位都建成了自己的局域網(wǎng)，并且對(duì)網(wǎng)絡(luò)的穩(wěn)定性、安全性和可靠性的依賴程度與日俱增。但由于計(jì)算機(jī)病毒、黑客和木馬對(duì)網(wǎng)絡(luò)的攻擊不可避免，使得水利局域網(wǎng)的穩(wěn)定性、安全性和可靠性受到了嚴(yán)重的威脅，特別是近年來(lái)特別典型的ARP欺騙和ARP病毒造成的網(wǎng)絡(luò)異常事件頻頻發(fā)生，其安全問(wèn)題帶來(lái)的影響愈發(fā)明顯，已經(jīng)逐步影響到水利業(yè)務(wù)的開(kāi)展和部署。

在水利局域網(wǎng)中ARP欺騙和ARP病毒導(dǎo)致的網(wǎng)絡(luò)異常事件主要包括水利站點(diǎn)網(wǎng)頁(yè)掛馬、網(wǎng)絡(luò)中斷、IP地址沖突和帳號(hào)密碼丟失等現(xiàn)象。中毒后會(huì)導(dǎo)致水利局域網(wǎng)時(shí)斷時(shí)續(xù)或者無(wú)法打開(kāi)網(wǎng)頁(yè)等現(xiàn)象，同時(shí)該病毒還會(huì)下載多款網(wǎng)游木馬，QQ木馬，網(wǎng)銀大盜等惡性木馬，給水利局域網(wǎng)用戶的網(wǎng)上辦公安全帶來(lái)嚴(yán)重的威脅。相對(duì)與通常其他的病毒攻擊ARP病毒的更大危害在于：黑客可以最大化地利用ARP欺騙原理，將其與其他攻擊方法組合后運(yùn)用于多種攻擊，如偵聽(tīng)、拒絕服務(wù)、掛載病毒等，從而達(dá)到多種攻擊目的，如竊取水利敏感信息、病毒傳播、破壞水利網(wǎng)絡(luò)路由，暴力廣告等等。

2　ARP欺騙攻擊形成原因

2.1ARP請(qǐng)求以廣播方式進(jìn)行

當(dāng)源主機(jī)要和目的主機(jī)通信而沒(méi)有目的主機(jī)的MAC地址時(shí)，便會(huì)向整個(gè)水利局域網(wǎng)廣播ARP請(qǐng)求數(shù)據(jù)包。這使得攻擊者可以偽裝ARP應(yīng)答數(shù)據(jù)報(bào)文，與真正的目的主機(jī)展開(kāi)競(jìng)爭(zhēng)，并由此確定子網(wǎng)內(nèi)機(jī)器什么時(shí)候刷新ARP緩存，以實(shí)現(xiàn)最大限度的假冒和欺騙。

2.2ARP高速緩存表動(dòng)態(tài)更新

當(dāng)主機(jī)收到一個(gè)ARP報(bào)文時(shí)，會(huì)自動(dòng)用新報(bào)文中的IP-MAC對(duì)應(yīng)關(guān)系更新原有的IP-MAC對(duì)應(yīng)關(guān)系，這使得假冒者可以隨時(shí)發(fā)送ARP欺騙報(bào)文修改其它主機(jī)的ARP緩存表。

2.3ARP響應(yīng)無(wú)控制和無(wú)認(rèn)證

ARP協(xié)議是局域網(wǎng)協(xié)議，設(shè)計(jì)之初，為了獲得較高的傳輸效率，在數(shù)據(jù)鏈路層沒(méi)有做安全上的防范，在使用ARP協(xié)議時(shí)無(wú)需認(rèn)證，使用ARP協(xié)議的水利局域網(wǎng)假設(shè)通信雙方是相互信任和相互獨(dú)立的。由于ARP協(xié)議是無(wú)狀態(tài)的，任何主機(jī)即使在沒(méi)有請(qǐng)求的時(shí)候也可以做出應(yīng)答。ARP協(xié)議并未規(guī)定，主機(jī)在未受到查詢時(shí)不能發(fā)送ARP應(yīng)答包，這是ARP協(xié)議的一個(gè)安全隱患。任何時(shí)候只要接收到ARP應(yīng)答包，主機(jī)就會(huì)自動(dòng)更新ARP緩存。這樣攻擊者就可以向目標(biāo)主機(jī)發(fā)送假冒的ARP數(shù)據(jù)包進(jìn)行欺騙，以達(dá)到監(jiān)聽(tīng)的目的。許多系統(tǒng)會(huì)接收未請(qǐng)求的ARP響應(yīng)，并用新信息更新ARP緩存。操作系統(tǒng)在動(dòng)態(tài)維護(hù)列表時(shí)并沒(méi)有檢測(cè)本機(jī)是否發(fā)出了請(qǐng)求包，而是只要接收了應(yīng)答包就進(jìn)行列表維護(hù)操作。如果有人故意發(fā)送包含錯(cuò)誤MAC地址的應(yīng)答包，就會(huì)造成用錯(cuò)誤列表的更新和對(duì)應(yīng)。一臺(tái)主機(jī)的IP地址映射在另一臺(tái)主機(jī)的ARP協(xié)議緩存后，它就會(huì)被當(dāng)作可信任的計(jì)算機(jī)，但并未提供驗(yàn)證IP和MAC地址一致性和真實(shí)性的驗(yàn)證機(jī)制。大多數(shù)主機(jī)保存了通過(guò)ARP得到的映射，沒(méi)有考慮有效性，也沒(méi)有維護(hù)一致性。這樣，ARP表就有可能把幾個(gè)不同的IP地址映射到同一MAC地址上。

ARP是建立在網(wǎng)內(nèi)所有主機(jī)之間相互信任的基礎(chǔ)上，具有無(wú)狀態(tài)、無(wú)連接的特征，協(xié)議本身不作任何安全檢測(cè)，當(dāng)主機(jī)收到ARP請(qǐng)求報(bào)文和ARP應(yīng)答報(bào)文時(shí)，都會(huì)無(wú)條件地更新自己的ARP緩存。雖然實(shí)現(xiàn)了簡(jiǎn)單和高效傳輸，但是卻存在嚴(yán)重的安全隱患。

2.4ARP欺騙攻擊的原理和欺騙報(bào)文的分析

在正常情況下，水利局域網(wǎng)內(nèi)計(jì)算機(jī)通信數(shù)據(jù)流向是網(wǎng)關(guān)→主機(jī)或主機(jī)→網(wǎng)關(guān)，而當(dāng)水利局域網(wǎng)內(nèi)存在感染ARP病毒的主機(jī)時(shí)，它會(huì)自動(dòng)連續(xù)發(fā)出偽造的ARP報(bào)文，使目標(biāo)主機(jī)接收?qǐng)?bào)文中偽造的IP-MAC之間的映射關(guān)系，從而更改目標(biāo)主機(jī)或網(wǎng)關(guān)的ARP緩存表中的IP-MAC記錄。由于ARP攻擊的一般意圖是截獲所在網(wǎng)絡(luò)內(nèi)其他主機(jī)的通信信息，所以偽造的IP-MAC記錄使數(shù)據(jù)流向改變?yōu)榫W(wǎng)關(guān)→ARP攻擊者→主機(jī)或主機(jī)→ARP攻擊者→網(wǎng)關(guān)，使主機(jī)與網(wǎng)關(guān)之間的所有通信數(shù)據(jù)都流經(jīng)ARP攻擊者即感染ARP病毒的計(jì)算機(jī)。同時(shí)，因網(wǎng)絡(luò)中存在大量的ARP響應(yīng)包，導(dǎo)致了網(wǎng)絡(luò)堵塞。

可見(jiàn)，ARP欺騙攻擊的核心就是向目標(biāo)主機(jī)或網(wǎng)關(guān)發(fā)送偽造的ARP報(bào)文，并以此來(lái)更新目標(biāo)主機(jī)的ARP緩存表。

3　防御ARP攻擊的措施

3.1設(shè)置靜態(tài)ARP緩存表

ARP欺騙攻擊最根本的原理就是改變IP地址與MAC地址的正確對(duì)應(yīng)關(guān)系，所以可以采取靜態(tài)ARP表來(lái)防范，就是在目標(biāo)主機(jī)的ARP緩存中設(shè)置靜態(tài)地址映射記錄。當(dāng)主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)前就不需要通過(guò)向所在的水利局域網(wǎng)廣播ARP請(qǐng)求來(lái)獲得B的MAC地址，它會(huì)直接查詢ARP靜態(tài)記錄表來(lái)獲得B的MAC地址，攻擊者也就沒(méi)有機(jī)會(huì)向A發(fā)送ARP應(yīng)答。但是，攻擊者在未接收到ARP請(qǐng)求的情況下仍憑空偽造ARP應(yīng)答發(fā)送給A，A將拒絕用偽造的數(shù)據(jù)更新ARP緩存中的靜態(tài)記錄。這種方法的缺點(diǎn)很明顯，就是在經(jīng)常更換IP地址的水利局域網(wǎng)環(huán)境里，由于每個(gè)主機(jī)都采用ARP靜態(tài)記錄，手工維護(hù)十分繁瑣，工作量很大，增加網(wǎng)絡(luò)維護(hù)的成本，這種方法在實(shí)際上應(yīng)用中很少采用。

3.2設(shè)置ARPServer

為了解決上述方法中維護(hù)靜態(tài)記錄的工作分散的缺點(diǎn)，可以采用在水利局域網(wǎng)內(nèi)部指定一臺(tái)機(jī)器作為ARP服務(wù)器來(lái)集中管理，專門保存和維護(hù)一個(gè)相對(duì)可信的水利局域網(wǎng)環(huán)境下所有主機(jī)的IP－MAC地址映射記錄。該服務(wù)器通過(guò)查閱自己的ARP緩存的靜態(tài)記錄，并以被查詢主機(jī)的名義來(lái)響應(yīng)水利局域網(wǎng)內(nèi)部的ARP請(qǐng)求。按照一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有正確的IP—MAC地址表，同時(shí)可以設(shè)置水利局域網(wǎng)內(nèi)部的其它主機(jī)只使用來(lái)自ARP服務(wù)器的ARP響應(yīng)。但如何將1臺(tái)主機(jī)配置成只相信來(lái)自ARP服務(wù)器的ARP響應(yīng)，目前還是很困難的。

3.3在交換機(jī)上綁定交換機(jī)端口IP地址

設(shè)置交換機(jī)的每個(gè)端口與主機(jī)IP地址相對(duì)應(yīng)，一旦來(lái)自該端口的IP地址發(fā)生變動(dòng)，交換機(jī)將不為來(lái)自該端口的主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)。這樣，攻擊者就無(wú)法發(fā)送偽造ARP數(shù)據(jù)幀，從而阻止了ARP欺騙的發(fā)生，這種方法的缺點(diǎn)是不靈活。

3.4禁用ARP解析

在操作系統(tǒng)中禁用ARP解析后，必須做靜態(tài)ARP協(xié)議設(shè)置 （因?yàn)閷?duì)方不會(huì)響應(yīng)ARP請(qǐng)求報(bào)文），工作繁瑣，因而實(shí)際網(wǎng)絡(luò)管理中無(wú)法采用。

3.5數(shù)據(jù)加密傳輸

通常情況下，ARP欺騙攻擊導(dǎo)致數(shù)據(jù)包從源主機(jī)流向攻擊方，使得網(wǎng)絡(luò)通信被非法截取和監(jiān)聽(tīng)。盡可能地加密水利局域網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)，可使損失相對(duì)減小。但在實(shí)際應(yīng)用中，往往要求替換掉采用明文傳輸數(shù)據(jù)的服務(wù)，如用ssh、sftp替換telnet、ftp、rsh等。

3.6廣播正確的IP-MAC映射關(guān)系的ARP報(bào)文

不間斷地廣播ARP報(bào)文，發(fā)送正確的IP地址與MAC地址映射關(guān)系，以覆蓋網(wǎng)絡(luò)中存在的ARP欺騙報(bào)文，代價(jià)則是增加了網(wǎng)絡(luò)帶寬的開(kāi)銷和網(wǎng)絡(luò)存在的廣播風(fēng)暴的風(fēng)險(xiǎn)。

3.7安裝ARP防火墻

安裝ARP防火墻攔截虛假ARP數(shù)據(jù)包，以獲取中毒計(jì)算機(jī)的IP地址和MAC地址，從而防御ARP欺騙攻擊。防火墻最大的優(yōu)點(diǎn)是既可以防3.8改進(jìn)ARP協(xié)議

止ARP欺騙攻擊，還可以防止本機(jī)對(duì)網(wǎng)內(nèi)同網(wǎng)段的計(jì)算機(jī)發(fā)送ARP欺騙。但這種方法需要在整個(gè)網(wǎng)絡(luò)內(nèi)的每臺(tái)計(jì)算機(jī)安裝ARP防火墻軟件，實(shí)現(xiàn)起來(lái)難度增大。

由于ARP攻擊是由ARP協(xié)議本身缺陷而引起的安全問(wèn)題，因此可通過(guò)對(duì)協(xié)議運(yùn)行機(jī)制的改進(jìn)，彌補(bǔ)協(xié)議的漏洞。改進(jìn)主要是針對(duì)ARP協(xié)議“無(wú)狀態(tài)”的特點(diǎn)，具體算法是對(duì)接收到的ARP請(qǐng)求，不更新緩存表，只接收有發(fā)送請(qǐng)求的ARP應(yīng)答報(bào)文，其它的都丟棄。該方法主要是針對(duì)單個(gè)的主機(jī)系統(tǒng)，修改其內(nèi)核的TCP/IP函數(shù)源代碼或編寫底層驅(qū)動(dòng)程序?qū)崿F(xiàn)中間件。該方法雖然能有效防范ARP欺騙，但由于采用了復(fù)雜的數(shù)據(jù)結(jié)構(gòu)，且需要對(duì)ARP應(yīng)答報(bào)文進(jìn)行更多的處理，使得改進(jìn)后的協(xié)議運(yùn)行效率降低，實(shí)際的應(yīng)用中存在較大的局限性。

4　結(jié)語(yǔ)

從上述防御ARP欺騙攻擊所使用的技術(shù)來(lái)看，有些管理工作量大且不夠靈活（如設(shè)置靜態(tài)ARP緩存表），有些解決方案中需要提供理想狀態(tài)的數(shù)據(jù)（如數(shù)據(jù)庫(kù)中預(yù)先存儲(chǔ)端口綁定的IP），這在一定程序上限制了解決方案的使用。真正從網(wǎng)絡(luò)管理角度解決中小型水利局域網(wǎng)ARP攻擊引起的網(wǎng)絡(luò)異常事件問(wèn)題，還需結(jié)合自身網(wǎng)絡(luò)實(shí)際情況采用合適的方案。

［1］陳婉如，趙仕偉，王津.校園網(wǎng)中的ARP欺騙原理及防范措施［J］.成都航空職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008，24（3）：52—57.

［2］王增波.ARP欺騙原理及防范方案設(shè)計(jì)［J］.科技風(fēng)，2008（5）：57.

［3］傅偉，謝宜辰.基于ARP協(xié)議的欺騙攻擊及安全防御策略［J］湘潭師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2007，29（4）：49—53.

［4］WilliamStallings.SNMP網(wǎng)絡(luò)管理［M］.北京：中國(guó)電力出版社出版，2001.

TP393.1

B

1002－0624（2015）12－0042－02

2015-09-29