ARP網絡攻擊的分析與解決辦法

周衛紅

摘 要 近年來對局域網造成巨大安全威脅的主要因素就是ARP欺騙，本文分析了ARP協議的工作原理以及ARP欺騙原理，并在此基礎上，通過對ARP協議分析及ARP欺騙分析，提出了幾種快速、有效防范ARP欺騙的措施以及技術實現要點。

關鍵詞 局域網 ARP協議 ARP欺騙 防范措施

中圖分類號：TP393 文獻標識碼：A

本文主要介紹、分析了ARP欺騙的基本原理，討論了由此引發的網絡安全問題，提出了切實可行的解決問題的思路。

1 ARP的相關知識

1.1 ARP協議的工作原理

ARP協議工作在TCP/IP協議的網絡互聯層，每臺安裝有TCP/IP協議的電腦里都有一個ARP高速緩存，里面存放計算機目前知道的局域網上各主機和路由器的IP地址到MAC地址的映射表，每個IP地址和MAC地址是一一對應的。ARP緩存表可以查看、添加和修改，在Windows操作系統命令行窗口下，輸入“arp-a”就可以查看。用“arp-d”命令可以刪除ARP表中某一行的內容；用“arp-s”可以手動在ARP表中指定IP地址與MAC地址的對應。

1.2 ARP協議存在的設計缺陷

ARP協議不可避免的存在著設計缺陷，其缺陷表現在以下方面：

（1）主機ARP高速緩存依據接收到的ARP協議包進行動態更新。因此正常的主機間MAC地址刷新都是有時限的，假冒者正是利用更新數據前的時段成功地修改被攻擊機器上的地址緩存進行假冒或拒絕服務攻擊。

（2）ARP協議沒有連接的概念，局域網內的任意主機在沒有ARP請求時也可以做出應答。許多系統都會接受未請求的ARP響應，并用虛假信息篡改其緩存，這是ARP協議的一大安全隱患。

（3）ARP協議沒有認證機制，只要接收到的協議包是有效的，主機就無條件的根據協議包的內容自動更新本機ARP緩存，并不檢查該協議包的合法性，這種對局域網內主機完全信任的策略，給局域網的安全埋下隱患。

1.3 感染ARP病毒網絡癥狀

在局域網內，攻擊源主機不斷發送ARP欺騙報文，會使其他主機上網斷斷續續，嚴重時將致使整個網絡陷于癱瘓。

2 常見ARP欺騙形式

（1）一般冒充欺騙

這是一種比較常見的攻擊，通過發送偽造的ARP包來實施欺騙根據欺騙者實施欺騙時所處的立場，可分為三種情況：冒充網關欺騙主機、冒充主機欺騙網關、冒充主機欺騙其他主機。在冒充網關欺騙中，欺騙者定時且頻繁的對本網發送ARP廣播，告訴所有網絡成員自己就是網關，或者以網關身份偽造虛假的ARP回應報文，欺騙局域網內的其他主機，這樣子網內流向外網的數據就可以被攻擊者截取；冒充主機欺騙網關的過程跟冒充網關的過程相反，欺騙者總是通過虛假報文告訴網關，自己就是目標主機，從而使網關向用戶發送的數據被攻擊者截取；冒充主機欺騙其他主機則是同一網內設備間的欺騙，攻擊者以正常用戶的身份偽造虛假ARP回應報文，欺騙其他主機，結果是其他用戶向該用戶發送的數據全部被攻擊者截獲。

（2）虛構MAC地址欺騙

這種攻擊也是攻擊者以正常用戶身份偽造虛假的ARP回應報文，欺騙網關。但是，和上述一般冒充欺騙不同的是，此時攻擊者提供給網關的MAC地址根本不存在，不是攻擊者自己的MAC地址，這樣網關發給該用戶的數據全部被發往一個不存在的地方。

（3）ARP泛洪

這是一種比較危險的攻擊，攻擊者偽造大量虛假源MAC和源IP信息報文，向局域網內所有主機和網關進行廣播，目的就是令局域網內部的主機或網關找不到正確的通信對象，甚至直接用虛假地址信息占滿網關ARP緩存空間，造成用戶無法正常上網。同時網絡設備CPU居高不下，緩存空間被大量占用。由于影響到了網絡設備，攻擊者自己上網的效率也很低，這是一種典型的損人不利己行為。

3 ARP欺騙鑒定方法

（1）檢查內網

感染“ARP欺騙”木馬病毒的計算機在“命令提示符”下輸入并執行“ipconfig”命令，記錄網關IP地址，即“Default Gateway”對應的值，例如“192.168.18.1”。然后執行“arp-a”命令查看自己網關MAC地址，如若變成和內網一機器MAC地址相同，可據此斷定內網有機器中了ARP網關欺騙型病毒。本操作前提是知道網關的正確MAC地址，可在正常上網主機上，使用“arp-a”命令查看網關MAC地址，通過對比查看網關MAC地址是否被修改。

（2）查看ARP表

用三層設備接入局域網的單位，網管可以檢查其三層設備上的ARP表。如果有多個IP對應同一個MAC，則此MAC對應的計算機很可能中了木馬病毒。可通過下連二層交換機的轉發表查到此MAC對應的交換機端口，從而定位有問題的計算機。

4 ARP欺騙的防范措施

（1）系統補丁升級

全網所有的電腦都打上微軟ARP官方補丁，這樣可以免疫絕大多數網頁木馬，防止在瀏覽網頁的時候感染病毒。

（2）禁用系統的自動播放功能

防止病毒從U盤、移動硬盤、MP3等移動存儲設備進入計算機。禁用Windows系統的自動播放功能：在運行中輸入gpedit.msc后回車，打開組策略編輯器，依次點擊：計算機配置->管理模板->系統->關閉自動播放->已啟用->所有驅動器->確定。

（3）靜態綁定

最常用的方法就是做IP和MAC靜態綁定，在網內把主機和網關都做IP和MAC綁定。欺騙是通過ARP的動態實時的規則欺騙內網機器，所以我們把ARP全部設置為靜態可以解決對內網PC的欺騙，同時在網關也要進行IP和MAC的靜態綁定，這樣雙向綁定才比較保險。