[摘 要] 目前利用TCP/IP协议安全破绽进行欺骗攻击的事件经常产生,攻击者利用ARP欺骗进行谢绝服务攻击(DoS)或中间人攻击,造成网络通信中止或数据被截取和篡改,严重影响网络的安全。本文通过ARP协议原理剖析揭示ARP协议欺骗,并对ARP病毒攻击提出一套有效可行的防犯办法和解决措施。
　　[要害词] ARP协议 ARP欺骗 ARP病毒
　　
　　一、引言
　　
　　ARP欺骗具有隐藏性、随机性的特色,在Internet上随处可下载的ARP欺骗工具使ARP欺骗更加广泛。目前利用ARP欺骗的木马病毒在局域网中普遍传布,给网络安全运行带来宏大隐患,是局域网安全的重要要挟。有时会呈现网络装备完好,运转正常的情况下,局域网内用户上网速度迟缓甚至完整阻塞的情形,这种现象往往是由于局域网内遭到ARP攻击引起的,一些带有ARP欺骗功效的木马病毒,利用ARP协议的缺点,像大范围爆发的风行性感冒一样,造成网络时断时续,无法正常上网。同时清算和防备都比拟艰苦,给不少的网络治理员造成了很多的困扰。
　　
　　二、ARP协定概述
　　
　　ARP协议全称为Address Resolution Protocol,即地址解析协议,是TCP/IP协议栈中的基本协议之一,它工作于OSI模型的第二层,在本层和硬件接口间进行接洽, 同时为上层(网络层) 供给服务。是将IP地址与网络物理地址逐一对应的协议,负责IP地址和网卡实际地址(MAC)之间的转换。也就是将网络层地址解析为数据链路层的MAC地址。在以太网中,一个网络设备要和另一个网络设备进行直接的通讯,除了知道目标设备的IP地址外,还要知道目标装备的MAC地址。ARP协议的基础功效就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。当一个网络设备须要和另一个网络设备通信时,它首先把目标设备的IP地址与自己子网掩码进行“与”操作,以断定目标设备与自己是否位于同一网段内,如果目标设备与源设备在同一网段内,则源设备以第二层广播的情势(目标MAC地址全为1)发送ARP要求报文,在ARP请求报文中包括了源设备与目标设备的IP地址。假如目的设备与源设备不在同一网段,则源设备首先把IP分组发向自己的缺省网关,由缺省网关对该分组进行转发。
　　
　　三、ARP协议的缺点
　　
　　1.主机ARP列表是基于高速缓存动态更新的。由于正常的主机间的MAC地址刷新都是有时限的,这样恶意用户假如在下次交流之前胜利地修正了被欺骗机器上的地址缓存,就可以进行假冒或谢绝服务攻击。
　　2.可以随便发送ARP应答分组。由于ARP协定是无状况的,任何主机即使在没有恳求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的,接受到ARP应答分组的主机就无条件地依据应答分组的内容刷新本机高速缓存。
　　
　　四、ARP的重要攻击类型
　　
　　ARP期骗是指应用ARP协定的破绽,通过向目的装备主机发送虚伪的ARP报文,到达监听或者截获目的主机数据的攻击手腕。重要攻击类型:冒充主机诈骗网关(对路由器ARP表的诱骗)、冒充网关诱骗主机(对内网PC的网关欺骗)。
　　1.冒充主机欺骗网关
　　攻击主机C发出一个报文,其中源MAC地址为MAC C,源IP地址为IP A。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通讯。假如攻击主机不断地应用自己的真实MAC地址和其他主机的IP地址作为源地址发送ARP包,则网关无法与网段内的任何主机(攻击主机C除外),进行直接通信。然而,这种情形下,交流机是不会发生任何报警日志的,原因在于,多个IP地址对应一个MAC地址在交流机看来是正常的,不会影响其通过IP所对应的MAC来交付报文。
　
　　假如攻击者将网关ARP缓存中的MAC地址全体改为基本就不存在的地址,那么网关向外发送的所有以太网数据帧会丧失,使得上层利用忙于处置这种异常而无法响应外来恳求,也就导致网关发生谢绝服务(不能响应外界要求,不能对外供给服务)。
　　2.冒充网关诈骗主机
　　(1)在自动攻击中,攻击者C自动向A发送ARP 应答数据包,告知A,B(网关)的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得A修改自己的ARP列表,把B的IP地址对应的MAC地址修改为攻击者C的MAC地址。
　　(2)同时,攻击者C 也自动向B发送ARP应答数据包,告知B,A的IP地址所对应的MAC 地址是CC-CC-CC-CC-CC-CC,从而使得B修正自己的ARP列表,把A的IP地址对应的MAC地址修改为攻击者C的MAC 地址。
　　(3)从而使得A←→B 之间的通讯情势变成A←→C←→B,实现了中间人攻击。
　　在被动攻击中,,攻击者C只在A或者B发送ARP恳求数据包时,延时一段时光发送应答数据包,使得自己的应答包在准确的应答包之后达到,防止自己修正的相应主机的ARP 列表被准确的应答包再次修改。
　　那么主机A发往网关B的报文都会被发往攻击主机C,造成主机A忽然断网。如果攻击主机向网关B转发了来自主机A的报文,那么主机A能通过攻击主机C持续上网,但其上网质量完整取决于攻击主机C,通常表示为时断时续。
　　例如,网络上有3台主机,有如下的信息:
　　主机名 IP地址 硬件地址
　　 A 202.206.208.1AA:AA
　　 B 202.206.208.2 BB:BB
　　 C 202.206.208.3 CC:CC
　　这三台主机中,C是一台被进侵者把持了的主机,而A信赖B,进侵者的目标就是要假装成B获得A的信赖,以便获得一些无法直接获得的信息等。
　
　　
　　四、 ARP欺骗防备和解决计划
　　
　　1.手动防御
　　防御ARP诈骗的简略办法是网络治理员分辨在主机和路由器上静态绑定地址映射。这种方式非常有效,,但仅实用于小范围的局域网,而且这种方式不实用于DHCP主动分配地址的情形,,也不能适应网络的动态变更。对于大型动态IP的网络,树立DHCP服务器(建议建在网关上)。所有客户机的IP地址及其相应主机信息,只能由网关这里取得,网关开通DHCP服务,坚持网内的机器IP/MAC逐一对应的关系。在由DHCP服务器构成的动态分配主机IP的环境中,主机申请IP时的MAC地址和IP地址是逐一配对的,也是{wy}的,上述的攻击主机C也不能例外,不可能应用一个MAC地址申请到多个IP地址,更不可能申请到网关地址。同时,网关机器封闭ARP动态刷新的进程,应用静态路由,这样的话,即使犯法嫌疑人应用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全,即可防御冒充主机欺骗网关的ARP诱骗。
　　另一方面通过arp-s命令,在PC上绑定网关的MAC和IP地址,这样可以防御冒充网关欺骗主机的ARP欺骗。
　　另一种有效的手动防御方式是在局域网中增添VLAN的数目,减少VLAN中的主机数目。局域网治理员可以依据本单位的网络拓扑构造划分若干个VLAN,这样既能够在发生ARP攻击时减少所影响的网络范畴,又能够在产生ARP攻击时便于定位呈现的网段和具体的主机。毛病同样是增长了网络保护的庞杂度,也无法主动适应网络的动态变更。
　　2.应用ARP服务器
　　在局域网内部的设置一台机器作为ASP服务器,专保留并且保护网络内的所有主机的IP地址与MAC地址映射记载,使其他盘算机的ARP配置只接收来自ARP服务器的ARP响应。当有ARP要求时该服务器通过查阅自己缓存的静态记载并以被查询主机的名义响应ARP局域网内部的请求,从而防止了ARP欺骗攻击的产生。但是这个办法也有不足,首先要保证ARP服务器不被攻击,确保ARP服务器的安全;其次要保证主机只接收指定ARP服务器的ARP响应报文。如何做到这一点,目前还是比拟艰苦的。
相关的主题文章：