黃元培
(國家新聞出版廣電總局九一六臺,青海 格爾木 816099)
ARP欺騙在局域網(wǎng)中的分析及防御探究
黃元培
(國家新聞出版廣電總局九一六臺,青海 格爾木 816099)
ARP欺騙是局域網(wǎng)中比較常見的一種攻擊方法,對于計算機的安全十分不利。本文主要圍繞著ARP欺騙展開了討論,先是分析了ARP欺騙的攻擊方式,然后詳細(xì)分析了如何應(yīng)對這種攻擊,保證局域網(wǎng)數(shù)據(jù)信息的可靠性和安全性。
ARP欺騙;局域網(wǎng);防御
隨著我國計算機的發(fā)展,網(wǎng)絡(luò)入侵現(xiàn)象日益嚴(yán)重。同時人們在使用計算機時習(xí)慣將一些重要資料存放到其中。一旦發(fā)生計算機攻擊現(xiàn)象,會給人們造成一定的經(jīng)濟(jì)損失。而ARP欺騙就是一種黑客比較常用的攻擊行為,主要是通過偽裝假地址進(jìn)行數(shù)據(jù)攔截和偽裝。但是ARP欺騙又無法完全禁止。為此,做好ARP欺騙的分析和防御是非常重要的。
1.1 簡單攻擊方式
簡單的說就是攻擊主機偽裝成ARP包來欺騙目標(biāo)主機和局域網(wǎng)中的網(wǎng)關(guān)。這樣目標(biāo)主機就會認(rèn)為這個數(shù)據(jù)包是安全、合法的。就如同向其他人郵寄信件而寫錯了地址,以致于發(fā)錯了地方。這樣就會直接造成目標(biāo)主機的斷線。
1.2 中間人攻擊
所謂中間人攻擊就是在兩臺主機和多臺主機之間安裝一臺透明主機,當(dāng)主機之間相互傳遞信息和數(shù)據(jù)時,透明主機就會將這些數(shù)據(jù)信息截獲。最重要的是透明主機會與原始主機建立連接,并使得攻擊變得隱蔽。這種攻擊手段很難發(fā)現(xiàn)。
1.3 基于ARP的DOS攻擊
DOS攻擊,即拒絕服務(wù)攻擊。其主要作用是能夠讓被攻擊的主機拒絕用戶訪問,從而造成主機系統(tǒng)崩潰。在這個過程中,攻擊主機會利用ARP欺騙工具,不斷向被攻擊主機發(fā)送大量的攻擊請求,這時被攻擊主機就會因為自身系統(tǒng)服務(wù)功能的限制和ARP欺騙,無法找到對方主機。顯然,ARP欺騙起到了主要的隱藏作用。
2.1 靜態(tài)ARP表綁定
在使用局域無線網(wǎng)之時,計算機使用者可以固定IP避免地址沖突。但是同時IP的隨意修改容易造成計算機安全問題。通常在路由器會進(jìn)行局域網(wǎng)IP綁定,但路由器再次被用在另一個局域網(wǎng)之中時,路由器會再次固定IP。在此配置的過程中,路由器會通過ARP協(xié)議生成MAC地址以及IP-MAC動態(tài)對應(yīng)表。這樣數(shù)據(jù)數(shù)據(jù)在傳輸?shù)倪^程中就需要通過ARP表檢查,通過就進(jìn)行轉(zhuǎn)發(fā),不通過則拒發(fā)。最重要的是還能夠保證在非法用戶不改變MAC地址的前提下,阻止冒用IP地址跨網(wǎng)段的訪問。另外,在進(jìn)行MAC和IP地址綁定時,用戶可以通過直接在路由器設(shè)置選項中選擇,讓路由器自動進(jìn)行綁定。或者也可以通過DOS命令,輸入ARP IP地址 MAC地址,這樣也能夠綁定IP地址和MAC地址。
比方說:DOS界面下,輸入命令【arp -s 192.168.1.200 00-aa-00-62-c6-09】 回車即可。其中192.168.1.200表示IP地址,00-aa-00-62-c6-09表示MAC地址。需要注意的是這種方式死臨時性的,在系統(tǒng)重啟之后會自動消失。也可以通過“netsh”命令來實現(xiàn):DOS界面下,輸入命令【netsh i i show in】 ,查看本地網(wǎng)卡對應(yīng)的“Idx”值,接下來會使用到。然后在DOS界面下,輸入命令【netsh -c“i i" add ne 18 192.168.1.200 00-aa-00-62-c6-09】,綁定IP與MAC。這種綁定方式即使是在重啟系統(tǒng)之后仍然有效。
2.2 使用ARP軟件
隨著我國計算機技術(shù)的發(fā)展,很多防毒軟件和計算機安全防護(hù)軟件越來越多。而且很多公司還針對個人、企業(yè)制定了相應(yīng)的防護(hù)軟件。對于一些電腦小白來說,就可以選擇一些軟件防止ARP欺騙。
目前給局域網(wǎng)的應(yīng)用十分廣泛,但是有些人為了搶占網(wǎng)速,會使用一些軟件來限制別人的網(wǎng)速。對于這些問題可以采取安全防護(hù)軟件。如ARP防火墻、360和金山衛(wèi)士的ARP防火墻等。這些軟件都可以實現(xiàn)計算機防護(hù)。ARP的通病就是掉線,在掉線的基礎(chǔ)上可以通過以下幾種方式判別,一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。因為ARP欺騙是由時限,過了期限就會自動的回復(fù)正常。而且現(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停廣播自己的正確ARP,使受騙的機器回復(fù)正常。此外,打開被騙機器的DOS界面,輸入ARP -A命令會看到相關(guān)的ARP表,通過看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙,但是由于時限性,這個工作必須在機器回復(fù)正常之前完成。如果出現(xiàn)欺騙問題,ARP表里面會出現(xiàn)錯誤的網(wǎng)關(guān)MAC地址,和真實的網(wǎng)關(guān)MAC一對黑白立分。
這時個人用戶需要注意計算機是否遭受ARP攻擊。如可以打開DOS命令,并輸入arp-a,如果發(fā)現(xiàn)其中存在兩個相同的MAC地址,就表明電腦此時遭受了ARP攻擊。另外安裝了360的用戶有時也會顯示電腦正在遭受ARP攻擊。而如果是服務(wù)器用戶,可以安裝專業(yè)的服務(wù)器安全軟件??偟膩碚f,對于一些企業(yè)和個人用戶來說,選擇ARP防護(hù)軟件是一種比較合適的防止ARP欺騙方法。
2.3 VLAN和交換機端口綁定
VLAN是指虛擬局域網(wǎng),虛擬局域網(wǎng)和交換機端口綁定是一種比較常見和常用的防御方法。在虛擬局域網(wǎng)中,用戶并不受到物理位置的限制。通常會按照功能類型和應(yīng)用方式等因素將這些用戶組織在一起,保證這些用戶之間的相互通信。
將虛擬局域網(wǎng)和交換機端口主要做法是通過細(xì)化虛擬局域網(wǎng),使局域網(wǎng)的范圍逐漸變小,而后使ARP的使用范圍縮小,這樣就不會造成大面積的ARP影響。另外,一些網(wǎng)關(guān)交換機能夠自動學(xué)習(xí)MAC地址,在完成學(xué)習(xí)之后就會自動將MAC地址和端口進(jìn)行綁定,以避免網(wǎng)絡(luò)病毒借助ARP攻擊篡改計算機??偟膩碚f,虛擬局域網(wǎng)和交換機端口綁定能夠有效避免ARP截獲數(shù)據(jù),保證計算機安全性和可靠性。
2.4 設(shè)置ARP服務(wù)器
設(shè)置ARP服務(wù)器主要就是在局域網(wǎng)中制定一臺機器將其作為ARP服務(wù)器,然后將所有的主機的IP地址和MAC地址映射記錄存儲在這臺機器中,以保證信息的安全。同時,這臺服務(wù)器還會通過查閱服務(wù)器內(nèi)部的ARP靜態(tài)緩存記錄作為被查詢主機響應(yīng)局域網(wǎng)內(nèi)容的ARP請求。這樣就能夠避免ARP欺騙對其它主機的影響。但是需要注意的是隨著我國計算機技術(shù)的逐漸發(fā)展,ARP攻擊技術(shù)也在不斷地發(fā)展和完善。為此,個人用戶和企業(yè)應(yīng)當(dāng)中不斷采用最新、最先進(jìn)的防御方法,并不斷更新軟件。這樣才能在ARP攻擊不斷發(fā)展和更新的背景下,保證局域網(wǎng)的安全,真正推進(jìn)我國網(wǎng)絡(luò)技術(shù)的發(fā)展。
綜上所述,在我國局域無線網(wǎng)不斷發(fā)展的背景下,應(yīng)當(dāng)重視不斷加強ARP的防范,保證計算機的安全和可靠。尤其是不斷深入研究造成ARP欺騙的原因,提出科學(xué)、合理的措施,來真正保證局域網(wǎng)的安全性。
[1] 朱小華.ARP欺騙在局域網(wǎng)中分析與防范[J].網(wǎng)絡(luò)財富,2010(11):150-151.
[2] 張麗.局域網(wǎng)中ARP欺騙攻擊的防御思路與實現(xiàn)[J]. 數(shù)字通信,2013(2):90-92.
[3] 周蘭香.局域網(wǎng)入侵攻擊的防范措施[A].中國職協(xié)2015年度優(yōu)秀科研成果獲獎?wù)撐募ㄖ袃裕C],2015:(16.)
Analysis and defense of ARP deception in local area network
Huang Yuanpei
(State Press and Publication Administration of Radio 916,Golmud 816099, China)
ARP spoofing is a common attack method in the LAN, is unfavorable for the security of the computer. This paper mainly focuses on the ARP spoofing is discussed, first analysis of the ARP spoofing attacks, then a detailed analysis of how to deal with this attack, ensure the safety and reliability of data information of local area network.
ARP deception; local area network; defense
黃元培(1990— ),男,河南南陽人。