ＡＲＰ攻擊與防范措施

摘 要：通過ARP協議欺騙攻擊，可以造成網絡中斷或者信息泄露。文章分析了ARP協議的工作原理，描述了ARP攻擊的方式，闡述了基于ARP欺騙攻擊的防范措施，以保證網絡安全。

關鍵詞：ARP欺騙；網絡攻擊；局域網

引言

由于計算機網絡具有開放性，并且聯結形式多樣，因此，無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的威脅，加之網絡自身的脆弱性，致使網絡易受黑客、病毒、惡意軟件和其他不軌行為的攻擊。其中欺騙類攻擊是網絡中常見的一種攻擊方式，ARP欺騙攻擊就是一種典型的欺騙類攻擊。因此，了解ARP攻擊的基本原理，采取有針對性的必要措施，防患于未然，才能確保網絡信息的保密性、完整性和可用性。

1 ARP協議工作原理

ARP (Address Resolution Protocol，地址解析協議)用來動態地將第三層網絡地址轉換成數據鏈路層的物理地址，也就是通過已知目標設備的IP地址，找到目標設備的MAC地址，以保證通信的進行。

在基于以太網交換技術的局域網中，當數據準備發送時，由數據鏈路層將上層數據封裝在以太網數據幀中，然后在以太網中傳輸。然而在封裝過程中，數據鏈路層并不知道以太網數據幀頭中目的主機的MAC地址，唯一的信息是IP數據報頭中的目的主機IP地址。為了找到與目的主機IP地址相對應的MAC地址，根據ARP協議，源主機會發送一個稱為ARP Request的以太網數據幀給以太網上的每一個主機，這個過程稱為ARP廣播。ARP請求數據幀中包含目的主機的IP地址，它向以太網上的每一個主機詢問“如果你是這個IP地址的擁有者，請回答你的MAC地址”。只有擁有此IP地址的主機收到這份廣播報文后，才會向源主機回送一個包含其MAC地址的ARP應答。并且，為了盡量減少廣播ARP請求的次數，每個主機都有一個ARP緩存（ARP Cache)，這個緩存存放了最近的IP地址與MAC地址之間的映射記錄。ARP緩存表采用老化機制，主機每隔一定時間或者當收到ARP應答，都會用新的地址映射來更新ARP緩存，刪除在一段時間內沒有使用過的IP地址與MAC地址的映射關系。因為ARP是一個無狀態的協議，所以對于大多數操作系統，如果收到一個ARP應答，不管是否在此之前發過ARP請求，都會更新自己的ARP緩存，這就為系統安全留下了隱患。

2 ARP欺騙攻擊的實現過程

ARP欺騙攻擊的核心就是向目標主機發送偽造的ARP應答，并使目標主機接收應答中偽造的IP與MAC的映射關系，并以此更新目標主機的ARP緩存。假設網絡中，A的IP地址為192. 168. 0. 1， MAC地址為aa-aa-aa-aa-aa-aa，B的IP地址為192. 168. 0. 2， MAC地址為bb-bb-bb-bb-bb-bb; C的IP地址為192. 168. 0.3， MAC地址為cc-cc-cc-cc-cc-cc。

A向B發送一個自己偽造的ARP應答，而這個應答中的數據發送方IP地址是C的IP地址192.168. 0. 3， MAC地址是偽造的一個其它地址dd-dd-dd-dd-dd-dd。當B接收到A偽造的ARP應答，B并不知道MAC地址被偽造了，B就會更新它自己本地的ARP緩存。現在和IP地址192. 168. 0. 3對應的MAC地址在B的ARP緩存表上被改變成了一個不存在的MAC地址。從B開始Ping 192. 168. 0. 3，網卡遞交的MAC地址是dd-dd-dd-dd-dd-dd，結果當然不能Ping通C。如果A向B發送的偽造ARP應答中的MAC地址是aa-aa-aa-aa-aa-aa，那么B發往C的數據就會錯誤地發送到A。此時，A就可以竊取C的數據。這樣就可以實現在一臺普通計算機上通過發送ARP數據包的方法來控制網絡中任何一臺計算機的上網與否，甚至還可以直接對網關進行攻擊，使網絡上的計算機發來的數據無法發送到正常網關，而攻擊者可以偽裝成網關，從而截取網絡中其他計算機發送的數據。

3 ARP攻擊的防范措施

3.1 設置靜態ARP緩存表

ARP協議攻擊最根本的原理就是改變IP地址與MAC地址的正確對應關系。所以，可以采取靜態ARP表來防范，就是在目標主機的ARP緩存中設置靜態地址映射記錄。這樣，當主機A向主機B發送數據前就不需要通過向所在的局域網廣播ARP請求來獲得B的MAC地址，它會直接查詢ARP靜態記錄表來獲得B的MAC地址。攻擊者也就沒有機會向A發送ARP應答。但是，攻擊者在未接收到ARP請求的情況下仍憑空偽造ARP應答發送給A， A將拒絕用偽造的數據更新ARP緩存中的靜態記錄。這種方法的缺點很明顯，就是在經常更換IP地址的局域網環境里，由于每個主機都采用ARP靜態記錄，手工維護十分繁瑣，通常只針對網關建立靜態映射。

3.2 交換機上綁定端口和MAC地址

設置交換機的每個端口與MAC地址相對應。如果來自該端口的MAC地址發生變動，就自動封鎖該端口，使主機無法連接到局域網。這樣，攻擊者就無法發送偽造的ARP數據幀，從而阻止了ARP欺騙的發生。

3.3 禁用網絡接口ARP解析

在操作系統中可以做靜態ARP協議設置(因為對方不會響應ARP請求報文)，并禁止網絡接口做ARP解析以對抗ARP欺騙攻擊。例如在Linux下使用ifconfig eth0 -ARP可以使網卡驅動程序停止使用ARP，然后建立靜態ARP映射“ARP -sIPMAC”，即可有效防范ARP攻擊。

3.4 利用防火墻和防病毒軟件加強監控

可以借助防火墻和防病毒軟件，監控進出主機的網絡數據。在局域網內的每臺機器都安裝防火墻軟件和防病毒軟件，每個網段也應安裝防火墻軟件。通過對防火墻和防病毒軟件的正確配置，可以有效的抵御ARP攻擊，以及防范基于ARP的病毒和木馬程序的侵入。

4 結束語

本文通過分析ARP協議的工作原理，探討了基于ARP協議欺騙攻擊的實現過程，提出了多種可行的安全防御策略，對于防范ARP欺騙攻擊，一般需要多種措施配合使用，可以從制度和技術兩方面采取多種有效措施防治，以減少網絡受到的危害，提高工作效率，降低經濟損失。如果要從根本上解決這一問題，最好的方法是重新設計一種安全的地址解析協議，IPV6中已經考慮到了這個問題，采用了更安全的方式以防范來自底層的攻擊。

參考文獻

[1] 門飛，朱磊明.ARP協議攻擊原理及其防范[[J].信息網絡安全，2003，10: 26-27.

[2] 李海鷹，程灝，呂志強.針對ARP攻擊的網絡防御式設計與實現[J].計算機工程， 2005，31(5) :170-171.

[3] 徐濤.基于Ethernet的ARP欺騙原理及防御[J].網絡安全技術與應用，2007，7:22-24.

[4] 王堅，梁海軍.ARP欺騙原理及其防范策略的探討[J].計算機與現代化，2008，2:99-101.