網絡中ＡＲＰ攻擊的發現與定位以及防御方法

祁　蕓　張士輝

摘要：ARP協議對網絡安全具有重要的意義，通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量，使網絡阻塞。所以通過本文將使我們更加深入地理解AKP攻擊的發現與定位以及防御辦法。

關鍵詞：ARP；發現；定位；防御方法

1什么是ARP協議

ARP是TCP／IP協議集中的網絡層協議之一，ARP協議完成IP地址轉換為第二物理地址(即MAC地址)，從而實現通過IP地址來訪問網絡設備的目的。然而，一些非法的入侵者和網絡監聽者利用各種技術和手段，篡改和偽造IP地址和MAC地址，在網絡中產生大量的ARP通信量使網絡阻塞或者實現“中間人”進行ARP重定和嗅探攻擊，以達到非法監聽和獲取他人在網絡上傳輸的信息的目的，這種網絡入侵方式為ARP欺騙。它是近年來網絡入侵攻擊的主要形式之一，嚴重威脅著網絡信息的安全。

2ARP攻擊的發現與定位

要定位感染ARP木馬電腦的MAC地址有三種方法可供選擇：

方法一：可以查看三層交換機網段里面的ARP信息(如cisco 6509中可以輸入show ARPlinclude網段相同部分)，如果發現里面存在有不同IP對應相同MAC列表的情況，就可以肯定該網段內有ARP欺騙，這個MAC地址就是感染ARP木馬的電腦MAC。

方法二：用戶端可以通過輸入命令的方式，輸入arp-a命令即可顯示與該電腦直連設備的MAC，就會發現電腦網關所對應的MAC地址是否被修改，如果被修改就可判定該電腦感染了ARP木馬程序。

方法三：安裝網絡檢測軟件的用戶，如果網段中有ARP攻擊，檢測軟件會有報警，如antiARP軟件會自動彈出攻擊者的MAC地址，網絡執法官則會顯示一個與MAC地址對應的兩個IP地址，其中一個IP必然為網關，那該MAC對應電腦就是攻擊者了。

如果確定了MAC的攻擊者，還需要進行物理位置定位來確定該電腦的使用者，以便及時通知對方進行處理，現在高校用戶大部分使用真實IP地址進行上網，只要找到該IP地址就等于找到了該用戶。

為大家介紹兩種方法來通過MAC地址查找IP地址。

方法一：命令法。下載nbtscan DOS軟件，在虛網中任意主機運行nbtsacn218.197.57.0／24就可以得到該段內所在的用戶的IP對應的MAC，通過MAC查詢，就可以得到該機的IP。

方法二：軟件法。利用網絡執法官軟件保存該網段內所有IP所對應的MAC，當發現攻擊電腦MAC時就可找到該IP，從而定位到該電腦。

另外，對于采用DHCP服務器進行IP地址分配的網絡，由于每臺沒有固定IP，很難通過IP直接定位，那需要我們利用IP沖突查找，只要將網內某臺電腦IP修改為該感染ARP木馬的電腦IP，該電腦上面就會出IP沖突的提示，只要有用戶打電話反映IP有沖突，那臺電腦就是攻擊者。

3ARP欺騙攻擊的防范策略

3.1用戶端防御

由于絕大部分ARP欺騙攻擊都是針對網關進行攻擊的。使本機上ARP緩存中存儲的網關設備的信息出現紊亂，這樣當機器要上網發送數據包給網關時就會因為地址錯誤而失敗，造成計算機無法上網。

針對此在用戶端計算機上綁定交換機網關的IP和MAC地址，就是強制指定ARP對應關系。

(1)靜態綁定

首先獲取網關的真實MAC地址。網絡正常的情況下ping網關IP地址，之后用arp-a查看網關的IP對應的MAC地址。

編寫一個批處理文件arp.bat，實現將交換機網關的MAC地址和IP地址的綁定，內容如下：

arp-d(清空ARP緩存)

arp-s 10.10.100.254 00-40-66-77-88-d7

將這個批處理文件加入計算機啟動項中，以便每次開機后自動加載并執行該批處理文件，對用戶起到一個很好的保護作用。

(2)使用防ARP攻擊的軟件

下載和使用防ARP攻擊的軟件，如AARP、Aarpguard等支持arp過濾的防火墻。

3.2網管交換機端綁定

采用在核心交換機上綁定用戶主機的IP地址的網卡的MAC地址，同時在邊緣交換機上將用戶計算機網卡的MAC地址和交換機端口綁定的雙重安全綁定方式。

(1)IP和MAC地址的綁定

在核心交換機上將所有局域網絡用戶的IP地址與其網卡MAC地址一一對應進行全部綁定。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取。

(2)MAC地址與交換機端口的綁定

根據局域網用戶所在的區域、樓體和用戶房間所對應的交換機端口號，將用戶計算機網卡的MAC地址和交換機端口綁定。此方案可以防止非法用戶隨意接入網絡端口上網。網絡用戶如果擅自改動本機網卡的MAC地址，該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現上網，自然也就不會對局域網造成干擾了。

3.3采用VLAN技術隔離端口

網絡管理員可根據本單位網絡的拓撲結構，具體規劃出若干個VLAN，當發現有非法用戶在惡意利用ARP欺騙攻擊網絡，或因合法用戶受ARP病毒感染而影響網絡時，首先利用技術手段查找到該用戶所在的交換機端口，然后把該端口劃一個單獨的VLAN將該用戶與其他用戶進行物理隔離，以避免對其他用戶的影響。可以利用將交換機端口Disable來屏蔽該用戶對網絡造成影響，從而達到安全防范的目的。

4結束語

網絡欺騙攻擊作為一種非常專業化的攻擊手段，給網絡安全管理者帶來了嚴峻的考驗，ARP欺騙是一種典型的欺騙攻擊類型，它利用了ARP協議存在的安全隱患，并使用一些專門的攻擊工具，使得這種攻擊變得普及并有較高的成功率。對于ARP欺騙的網絡攻擊，不僅需要用戶自身做好防范工作，更需要網絡管理員時刻保持高度警惕，并不斷跟蹤防范欺騙攻擊的最新技術，做到防患于未然。