淺析ARP攻擊與防范

葉潤華

【摘 要】隨著網絡的發展和普及，網絡的開放性、共享性、互連性隨之擴大。網絡互連一般采用TCP/IP協議，而TCP/IP協議是一個工業標準的協議簇，在該協議簇制訂之初，沒有過多考慮其安全性，所以協議中存在很多的安全漏洞，致使網絡極易受到黑客的攻擊。ARP協議作為TCP/IP協議簇中的一員，同樣也存在著安全漏洞，利用ARP協議漏洞進行攻擊是黑客的攻擊手段之一。

【關鍵詞】ARP；局域網；監聽；攻擊；欺騙

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0067-01

1. 背景

隨著信息技術的發展，計算機網絡己經成為工作生活中不可或缺的工具。但伴之而來的非法入侵也一直威脅著計算機網絡系統的安全，干擾了互聯網的正常發展。因此，如何有效地防范各種攻擊，增強網絡安全性，是一項重要的課題。

局域網內經常性大面積斷線；IP地址沖突不斷；內網主機互訪出錯頻繁；網站主頁給篡改，網頁發現病毒；殺毒軟件無可奈何；進而登陸賬號被盜、敏感信息外泄……

這些常見的局域網故障，很大程度上跟ARP攻擊有關。ARP攻擊是一種典型的欺騙類攻擊，攻擊主機通過發送偽造的ARP應答來更新目標主機的ARP高速緩存，從而使自身贏得目標主機的信任。然后再實施有效攻擊或非法監聽網絡數據包，造成目標主機被攻破或機密信息泄漏等一系列災難性后果。

2. ARP攻擊模式

從ARP協議工作原理可以看出，ARP協議是建立在信任局域網內所有結點的基礎上的，它很高效，但卻不安全。它是無狀態的協議，不會檢查自己是否發過請求包，也不管（其實也不知道）是否是合法的應答，只要收到目標MAC是自己的ARP reply包或arp廣播包（包括ARP request和ARP reply），都會接受并緩存。這就為ARP欺騙提供了可能，惡意節點可以發布虛假的ARP報文從而影響網內結點的通信，甚至可以做“中間人”。

2.1 IP沖突或DoS攻擊

這種攻擊形式與中間人攻擊有相似之處，都是持續廣播偽造的ARP應答報文，截取并轉發主機和網關之間的報文，監聽主機與網關之間的通信，常用于竊取敏感的登陸信息和密碼。

3 ARP整體防護設計思路

從ARP攻擊原理可以看出，防范ARP欺騙攻擊最大困難在于其攻擊不是針對服務器或交換機系統本身的，而且攻擊源可以在網段內任何一個地方隱藏，其隱蔽性很高。所以有時候即使管理員發現了攻擊的存在，要在最短時間內快速定位攻擊源也是非常困難的事情。這就意味著像防治普通攻擊或病毒那樣單一的從服務器系統或者從網絡網關上進行防范效果不是很好。

一個完整的ARP攻擊防范策略需要從三方面同時入手：計算機系統防護、網絡設備維護以及健全網絡安全監管機制。

計算機系統防護。這是基于主機的安全防護，主要從系統安全加固、系統DLL控制、MAC ARP綁定、安裝ARP防火墻等方面構筑第一道防線。

網絡設備的防護。局域網內的主機通過交換機、路由器相連，因而應該在交換機與路由器上構筑第二道防線。在交換機某些固定端口上配置靜態MAC地址，把一個MAC地址永久性地分配給一個端口。對于連接服務器或機密主機的交換機端口，設置安全保護，阻止攻擊方對該端口的監聽。對于具有DHCP功能的路由器，盡量用手動指定IP地址給已知MAC地址的主機。

健全網絡安全監管機制、合理分配網絡資源。監聽局域網內ARP數據包的情況。通過監聽和分析網絡狀況，如主機表、協議、數據包特征以及流量等多方面的信息，及時發現通信異常，定位攻擊源，并從源頭上解決ARP攻擊。同時合理利用VLAN優化網絡，把ARP攻擊所造成的損失減到最低。

4. 結束語

ARP攻擊之所以能在公眾局域網內如此輕易的傳播，是因為在擁有機器數量較多的公眾上網環境，由于其中各類系統的安全責任點歸屬復雜、使用人員安全意識欠缺，造成環境內安全管理漏洞較大、安全盲點較多，從而使新一代以ARP欺騙為基礎的網頁掛碼或重定向攻擊得以滋生。即使一個單位或網站管理員能保證自己的服務器與網絡交換設備不被攻占，他也無法抵御來自網絡范圍內任何一臺機器的ARP攻擊。對付此類攻擊，傳統上從操作系統或交換設備的單點防御已無濟于事。

本文就揭示ARP協議的漏洞以及如何利用漏洞進行攻擊和如何防范這種攻擊，構建出一個整體防范策略。