基于計算機網絡安全防arp攻擊的研究

鄭學夫

摘 要：本文介紹了ARP原理，ARP欺騙過程，ARP的常見幾種攻擊分類，通過終端用戶防護和DHCP監控的方法，對ARP攻擊的防范策略。

關鍵詞：ARP原理；ARP欺騙過程；ARP攻擊

1 ARP原理

ARP（AddressResolutionProtocol）是地址解析協議，簡單來說是將osi參考模型中的第三層網絡層的ip地址和第二層數據鏈路層的MAC地址的一種對應。ARP提供了一種基于此的動態映射。在數據通信的過程當中，搜索到目標計算機的MAC地址，封裝成幀。實現了計算機在一個局域網中的互相通信。為了更快捷的找到ip地址和MAC地址的映射，在用戶和路由器以及服務器上都有相應的ARP緩存表。在緩存表中存放了最新學習到的地址映射記錄。ARP機制會自動刪除規定時間之外記錄，因此確保了ARP緩存表準確性，縮短了ARP緩存表的長度，加快了查詢的速度。

1.1 ARP欺騙過程

用一個例子，說明arp的欺騙過程，我們假設在一個局域網中用3臺計算機連接到一臺交換機下面，其中一個取名為A，是arp的攻擊者；一個取名為B，是發送數據的主機；另一個取名為C，是接收數據的主機。三臺電腦的ip分別為192.168.1.10；192.168.1.20；192.168.1.30。MAC地址分別為MAC-A，MAC-B，MAC-C。現在，B要向C發送數據了，B首先查詢自己的ARP緩存表，查看是否有192.168.0.4對應的MAC地址，若有，直接將MAC地址封裝。若B不知道C的MAC地址。B發送廣播包，告訴全網我的ip地址和MAC地址，誰的ip地址為192.168.1.30。這時全網的電腦都收到了B發送的廣播包，只有C回應，告訴B電腦，我就是你要找的ip，我的MAC地址是MAC-C。C單獨給B的回應。那么B知道C的MAC地址，可以向C發送數據了。它會動態更新自己的ARP緩存表。同時C也會更新自己的ARP緩存表。如果在B發送廣播包的時候，A也給B電腦一個回應，告訴B我的ip地址為192.168.1.30，我的MAC地址為MAC-A。A假稱自己的ip地址為C的ip地址。A不停的應答，造成了B重新更新了自己的ARP緩存表。寫入錯誤記錄。也就是ARP緩存表中毒。致使了凡是發送給C的數據都被A主機劫持。這就是所謂的ARP欺騙。

2 ARP攻擊分類

⑴偽裝網關。ARP攻擊者發送錯誤網關IP地址和MAC地址對應給被攻擊者。造成終端用戶學習到錯誤的網關地址。用戶不能訪問網關，流量被攻擊者截取，最終造成用戶不能訪問外網。⑵欺騙網關。ARP攻擊者發送虛假ARP報文給網關，造成網關更新了非法用戶的MAC地址和ip地址對應。網關要傳送的全部數據都發送到ARP攻擊方。最終造成用戶無法正常訪問外網。⑶欺騙用戶。ARP攻擊者偽造虛假的ARP報文發送給用戶或者服務器，如果是用戶，造成用戶更新了錯誤的MAC和IP地址對應，導致用戶之間無法正常訪問。如果是服務器，造成了用戶在訪問服務器時，流量都轉到了ARP攻擊方。導致無法訪問服務器。⑷泛洪攻擊。ARP攻擊者發送海量的偽造ARP報文在局域網中廣播，從而ARP表被耗盡。用戶再也無法學習新的ARP報文。這是將資源占滿耗盡的泛洪攻擊手段，導致合法用戶無法訪問外網。

3 ARP攻擊常見應對方法

對ARP攻擊原理的分析，我們發現ARP攻擊防范的方法：如何獲取合法用戶和網關的IP地址和MAC地址的對應關系，利用這個合法的對應關系，對ARP報文進行檢查，并且過濾掉不合法的ARP報文。

3.1 認證方式

3.1.1 總體思路

通過使用用戶認證機制來獲取在線用戶的IP地址和MAC地址對應關系，并且使用認證的方法確認誰是合法的用戶。通過這樣的機制解決難以獲取的合法用戶IP地址和MAC地址對應關系。同時我們事先在認證服務器上配置網關的合法IP地址和MAC地址對應關系。由此，可對局域網中進行著的虛假ARP報文過濾掉。能夠防范ARP的攻擊行為。

3.1.2 終端用戶防護

用戶的802.1X認證過程中，使用CAMS服務器（認證服務器）將IP地址和MAC地址映射到iNode客戶端，客戶端在用戶終端匹配出網關的正確IP地址和MAC地址映射關系，并且在用戶終端形成了靜態的ARP綁定，這樣能夠有效防范偽裝網關的ARP攻擊。

3.2 使用DHCP監控

3.2.1 總體思路

交換機監控用戶的動態獲取IP地址的過程，并且將IP地址和MAC地址的對應關系綁定在交換機上。利用交換機濾掉所有不能匹配所綁定的IP地址和MAC地址關系的ARP報文，以此來阻止用戶終端主機發送的ARP欺騙報文。使用這種方法防御全部的ARP攻擊類型。

3.2.2 相關技術

為了防范中間人攻擊，所謂中間人攻擊是指在局域網中對一臺或者多臺主機的數據包的攻擊。攻擊者處于正常用戶終端中間，可以對數據包進行捕獲、篡改、轉發。進而做出相應隱蔽性強，危害高的非法攻擊。基于此的防范，我們引入ARP入侵檢測的方式。接入的交換機能夠對經過的所有ARP報文進行判斷，查看其是不是合法的。交換機可以采用動態獲取（DHCP方式）或者進行靜態配置合法的IP地址和MAC地址的對應關系。這樣通過比對數據報的源IP地址和MAC地址的對應關系，來確定終端用戶的合法性。實現對非法ARP報文的屏蔽，阻止所有ARP的欺騙攻擊。

[參考文獻]

[1]謝希仁.計算機網絡（第5版）[M].北京：電子工業出版社，2008.

[2]吳青.局域網ARP攻擊與防范[J].辦公自動化雜志，2006（8）：25～27

[3]梁柱森.圖書館局域網內ARP病毒的分析與防止[J]2008.

[4]劉衍斌，王岳斌，陳崗.基于ARP欺騙的中間人攻擊的檢測與防范[J].微計算機信息.2012（08）.