局域網ARP欺騙原理與抵御的研究

劉艷霞，鄭 羽

（山西大同大學煤炭工程學院，山西大同 037003）

局域網ARP欺騙原理與抵御的研究

劉艷霞，鄭 羽

（山西大同大學煤炭工程學院，山西大同 037003）

在介紹ARP協議的基礎上，分析了ARP欺騙發生的原理，討論了ARP欺騙的各種攻擊形式，提出一種通過在局域網內架設基于RouterOS的PPPoE服務器來抵御ARP欺騙的方法。

局域網；ARP欺騙；RouterOS；PPPoE服務器

ARP欺騙會導致局域網中計算機無法和其他計算機進行正常通訊，并且只要局域網中存在一臺感染“ARP欺騙”病毒的計算機，病毒就會迅速感染局域網內其它計算機，并造成整個局域網通訊中斷。ARP欺騙系列病毒中影響和危害最為惡劣的是“惡意竊聽”病毒，它雖然不會造成局域網內通訊中斷，但會使網絡產生較大的延時，并且中毒主機會截取局域網內所有的通訊數據向特定的外網用戶發送，使得局域網用戶的信息和數據安全無法得到保障［1-4］。針對ARP欺騙理，本文提出在局域網內架設基于RouterOS路由的PPPoE服務器，PPPoE撥號上網方式并不基于ARP協議，因此可從底層有效杜絕ARP欺騙。

1 ARP協議概述

1.1 ARP協議簡介

在局域網內，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址，為了保證通信的順利進行，需要利用ARP協議（Address Resolution Protocol：地址解析協議）通過目標設備的IP地址，查詢目標設備的MAC地址。

1.2 ARP協議的工作原理

ARP協議工作在TCP/IP協議的IP層，每一臺安裝有TCP/IP協議的主機都設有一個ARP高速緩存（ARP cache），里面有所在的局域網上的各主機和路由器的IP地址到硬件地址的映射表。當主機A欲向本局域網上的某個主機B發送IP數據報時，就先在其ARP高速緩存中查看有無主機B的IP地址。如有，就可查出其對應的硬件地址，再將此硬件地址寫入MAC幀，然后通過局域網將該MAC幀發往此硬件地址。若主機A的ARP高速緩存中找不到主機B的信息，它就會向局域網上所有主機都發送一個ARP請求，進行ARP廣播。主機A所發送的ARP請求包含了自身的IP地址（假設為：192.168.0.1）和MAC地址（假設為AA-AA-AAAA-AA-AA），以及目標主機B的IP地址（假設為192.168.0.2）。目標主機B在收到的ARP請求中對比自身的IP地址后，會向主機A發送ARP響應，并寫入自己的MAC硬件地址（假設為BB-BBBB-BB-BB-BB）。主機A收到主機B的ARP響應后，就更新其ARP高速緩存表，寫入主機B的IP地址到硬件地址的映射。同時，主機B也將主機A的IP地址到MAC地址的映射寫入自己的ARP高速緩存中。

ARP協議并不只在發送了ARP請求之后才接受應答，它是一種無狀態的協議，不管A是否發送請求，只要接收到應答，就會更新自己的高速緩存，這種對局域網內主機完全信任的策略，給局域網的安全埋下隱患。

2 ARP欺騙的攻擊方式

ARP欺騙的核心思想利用了ARP協議的請求應答的漏洞，在接收到請求甚至未接收到任何請求的情形下，向目標主機發送一個偽造的源IP-MAC地址映射的應答，使目標主機據此更新其高速緩存，從而達到欺騙其它主機的目的，如圖1所示。

①主機A本應向目標主機C發送數據，但主機B通過ARP欺騙不斷向主機A發送應答，提供IP地址為192.168.0.3的MAC地址是BB-BBBB-BB-BB-BB這樣的信息。

②主機A向主機C發送數據時，接收到主機B的應答，更新自己的ARP緩存，在A的高速緩存中會有這樣的映射信息：IP地址是192.168.0.3對應的MAC地址是BB-BB-BB-BB-BB-BB。

③主機A根據自己高速緩存的映射關系，把本應發給目標主機C的數據發給了主機B。

在實際中，ARP欺騙會給局域網造成網絡通信異常、重要數據泄露、數據被篡改等嚴重后果，它的主要攻擊手段有：路由器ARP緩存欺騙，網關欺騙和雙向欺騙［5-6］。

2.1 路由器ARP表的欺騙

攻擊者通過發送偽造的ARP報文通知路由器一系列錯誤的內網主機MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，因此，外網數據經過路由器后都被發送給錯誤的MAC地址，造成正常用戶無法收到信息。

2.2 網關欺騙

它的原理是冒充網關，使被欺騙的主機向假網關發送數據，而不是通過正常的路由器途徑上網。

2.3 中間人攻擊

欺騙主機向被欺騙主機發送大量偽造的ARP應答包進行欺騙，當通訊雙方被欺騙成功后，自己作為了一個“中間人”的身份。此時被欺騙的主機雙方還能正常通訊，只不過它們的通訊過程被欺騙者“竊聽”了。

3 架設PPPoE服務器

為抵御ARP欺騙，目前主要采用的方法有IP/MAC地址靜態綁定、設置ARP服務器、以及基于硬件的ARP防御，但由于ARP欺騙本身基于IP層協議，使得方法不足以抵御ARP欺騙及其變種。通過抓取PPPoE認證階段的包來分析，認證的前2個包是這樣的：客戶端發出以太網廣播包，尋找PPPoE服務器（即：PADI包）服務器用PADO包回應，此時不再是廣播了。目的MAC為客戶端，源MAC為PPPoE服務器。客戶端得到服務器的MAC，正常的通訊就開始了。由于PPPoE根本就沒用到ARP協議，而是使用PADI包，所以能夠徹底解決ARP欺騙。在不改變現有網絡拓撲結構的基礎上，增加一臺PPPoE服務器，讓局域網中的用戶通過撥號的方式來訪問網絡，這樣就可以從底層協議上直接杜絕ARP欺騙。

3.1 RouterOS系統簡介

MikroTik RouterOS是基于Linux獨立操作平臺的路由器，它可將標準的PC電腦變成功能強大的路由器，特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能，并支持防火墻、PPPoE，VPN等多種服務器的建立。RouterOS可通過客戶端利用WinBox進行連接并進行相應設置。

3.2 PPPoE服務器簡介

PPPoE（Point-to-Point Protocol over Ethernet）協議可以使以太網的主機通過一個簡單的橋接設備連到一個遠端的接入集中器上，PPPoE服務器可以通過給內網用戶分配賬號來實現對內網用戶網絡使用的管理，結合有些路由器具備的上網行為管理功能和帶寬管理功能，通常還能對用戶的進行上網行為的管理。

3.3 架設PPPoE服務器

客戶端通過WinBox連接RouterOS（以RouterOS 3.2為例），設置方法如下：

①在RouterOS中建立地址池，定義局域網內客戶端IP地址范圍，為客戶端動態分配IP地址。

IP＞Pool

Name：PPPoE-Pool

Address：192.68.0.10～192.168.0.254

②在PPP中為PPPoE服務添加一個新的Profile配置文件。

PPP＞Profiles

General：

Name：PPPoE-Profile

Local Address：192.168.0.1

Remote Address：PPPoE-Pool（選擇①中建立的地址池）

DNS Server：XXX.XXX.XXX.XXX（輸入當地DNS服務器IP地址）

圖1 ARP欺騙原理

Use Encryption：yes（加密）

Change TCP MSS：yes（提高傳輸效率）

Limits：Rate Limit（rx/tx）（設定下載/上傳速度限制）

Only One：yes（相同用戶名只允許連接一次）

③在PPP的Secrets中添加撥號用戶，建立用戶賬戶名和密碼（根據客戶端數量建立相應的賬戶）。

PPP＞Secrets

Name：ppp01

Password：ppp01

Service：PPPoE

Profile：PPPoE-Profile

④添加PPPoE服務，如圖2所示。

Service Name：PPPoE

Interface：LAN（選擇內網網卡）

Default profile：PPPoE-Profile

勾選“One Session Per Host”，每次只允許一個主機進程。

⑤設置NAT（網絡地址轉換）

圖2 PPPoE服務器設置

P＞Firewall＞NAT

Chain：srcnat（對源地址作NAT）

Src。Adress：192.168.0.0/24（地址池的網絡號和掩碼）

Out.Interface：WAN（選擇外網網卡）

Action：masquerade（IP偽裝，共享上網）。

PPPoE服務器架設好后，在客戶端新建寬帶連接，服務器名填“PPPoE”，用戶名和密碼均為“ppp01”，撥號成功后即可上網，用ipconfig命令可得到如下信息：

Description：WAN（PPP/SLIP）Interface

Physical Address：00-16-EC-DB-D7-6F

Dhcp Enabled：No

IP Address：192.168.0.98

Subnet Mask：255.255.255.255

Default Gateway：192.168.0.98

DNS Servers：202.99.192.68

⑥禁止網絡共享

為防止局域網內由于共享文件引發ARP欺騙類病毒傳播，還應禁止局域網內各計算機的文件共享和打印機共享等網絡共享服務。如需計算機之間傳送文件，可在服務器端架設WWW服務器或FTP服務器，提供網絡硬盤類型的服務程序等，統一對傳送的文件進行管理。

4 結束語

架設基于RouterOS的PPPoE服務器可以從根本上解決ARP欺騙，從而保證了局域網內計算機的正常運行和網絡訪問，也保護了計算機內重要數據和個人信息不會泄露，而且通過設置PPPoE，還可以控制用戶的登錄和用戶上傳下載流量，對于數據的管理也起到了很好的作用。

［1］李建萍，陸建德.交換網ARP安全防御系統的分析與設計［J］.微計算機信息，2010，26（24）：50-52.

［2］金星.基于ARP的網絡攻擊與防御［J］.計算機安全，2010（9）：60-61.

［3］樂德廣，郭東輝，吳伯僖.PPPoE技術及其在寬帶接入系統中的應用［J］.計算機應用研究，2003，20（3）：130-132.

［4］馬莉莉，羅繼東.一種PPPoE環境搭建方法［J］.微計算機信息，2010，26（21）：184-185.

［5］李兢，許勇.ARP協議的安全漏洞及抵御分析［J］.計算機系統應用，2010，19（3）：221-225.

［6］秦豐林，段海新，郭汝廷.ARP欺騙的監測與防范技術綜述［J］.計算機應用研究，2009，26（1）：30-33.

〔編輯 高海〕

Research of Arp Spoofing and Protection of LAN

LIU Yan-xia，ZHENG Yu
（School of Coal Engineering，Shanxi Datong University，Datong Shanxi，037003）

Based on an introduction to the ARP，this paper analyzed the theory of ARP spoofing and discussed all kinds of the attacking forms.By using RouterOS，it presented a method that erect PPPoE Server in LAN to protect ARP spoofing.

LAN；ARP spoofing；RouterOS；PPPoE Server

TP309

A

1674-0874（2011）03-0014-03

2011-01-20

劉艷霞（1973-），女，山西大同人，講師，研究方向：計算機應用。