ARP攻擊與局域網(wǎng)安全

王松濱

摘 要

伴隨著網(wǎng)絡(luò)規(guī)模的快速擴大，網(wǎng)絡(luò)應(yīng)用越來越豐富。網(wǎng)絡(luò)安全也成為了影響網(wǎng)絡(luò)效能的重要因素。本文針對ARP攻擊進行了詳細分析，并就防范ARP攻擊進行了一定程度的探討。

【關(guān)鍵詞】ARP 網(wǎng)絡(luò)安全 黑客 防火墻

網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，既給我們提供了方便也帶來了安全威脅。局域網(wǎng)（LAN）是指在一定區(qū)域內(nèi)由多臺計算機組成的網(wǎng)絡(luò)互聯(lián)工作組。在局域網(wǎng)內(nèi)，交換機和服務(wù)器把所有的計算機連接起來，局域網(wǎng)互聯(lián)優(yōu)點是快速、便捷，缺點是技術(shù)單調(diào)、安全策略少，對病毒傳播沒有有效的防治方法，缺少應(yīng)對數(shù)據(jù)信息的破壞的安全策略。

1 ARP協(xié)議

1.1 ARP協(xié)議概述

ARP協(xié)議是Address Resolution Protocol地址解析協(xié)議的縮寫，數(shù)據(jù)在局域網(wǎng)中以幀的方式進行傳輸，根據(jù)幀中目標主機的MAC地址來進行尋址。

1.2 ARP協(xié)議的工作原理

1.2.1 將本地網(wǎng)絡(luò)的主機IP地址解析為MAC地址

ARP解析過程分4步：

（1）初始化ARP請求。通過在ARP緩存中查找，源主機獲取目標主機的MAC地址。

（2）若找不到映射，ARP就建立一個請求，請求中包含源主機IP地址和MAC地址，此請求在本網(wǎng)段進行廣播，所有本地主機均能接收到并進行處理。

（3）本網(wǎng)段主機都收到廣播并尋找相符的IP地址。

（4）當目標主機確定自己的IP地址與請求中的IP地址一致時，發(fā)送ARP應(yīng)答包（其中包含自己的MAC地址）給源主機。同時以源主機的IP地址和MAC地址更新自己的ARP緩存表。源主機收到應(yīng)答后也會將目標主機的IP與MAC地址寫入自己的緩存表，相互建立通訊關(guān)系。

1.2.2 將遠程網(wǎng)絡(luò)的主機IP地址解析為MAC地址

當主機處于不同網(wǎng)絡(luò)中，相互通訊時，因目標主機是一個遠程IP地址，ARP將廣播一個路由器（源主機的缺省網(wǎng)關(guān)）的地址。ARP解析過程分3步：

（1）通信請求初始化，確定目標主機為遠程IP地址。源主機查找本地路由表，如果沒有找到，源主機就把它當作缺省網(wǎng)關(guān)處理。在ARP緩存中查找符合該網(wǎng)關(guān)記錄的IP的MAC地址。

（2）若此網(wǎng)關(guān)的記錄不存在，ARP將廣播一個請求，此請求包含網(wǎng)關(guān)地址而非目標主機的地址。

（3）如果網(wǎng)關(guān)的MAC地址不在ARP緩存表中，可進行廣播獲取。當它獲得MAC地址，ICMP響應(yīng)就發(fā)送到路由器上，傳給源主機。

2 ARP攻擊的威脅

2.1 ARP的攻擊原理

ARP攻擊是通過偽造IP地址和物理地址實現(xiàn)ARP欺騙的，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP數(shù)據(jù)包使網(wǎng)絡(luò)阻塞，攻擊者持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包，更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

感染了ARP木馬的計算機，會通過“ARP欺騙”等手段獲取其所處網(wǎng)絡(luò)內(nèi)另外計算機的通信信息，還會引起網(wǎng)內(nèi)其它計算機的通信故障。

2.2 ARP攻擊局域網(wǎng)

互聯(lián)網(wǎng)在誕生之初主要供科研、學(xué)術(shù)交流之用，使用地點多是大學(xué)內(nèi)部，采用信任模式，功能強大、速度快捷是其追求目標，安全沒有成為考慮的重點。當時方便查詢的以太網(wǎng)泛洪，使得不懷好意者有了可乘之機，局域網(wǎng)內(nèi)的ARP Request使其輕易獲取到網(wǎng)內(nèi)所有 （IP，MAC）地址。而節(jié)點對于收到的ARP Reply也不會質(zhì)疑，冒充變得輕而易舉。

ARP欺騙的主要表現(xiàn)是：上網(wǎng)時會突然掉線，不久又恢復(fù)正常。異常現(xiàn)象諸如瀏覽器報錯、頻頻掉線、客戶端狀態(tài)出問題等。

通常情況下，計算機受到ARP攻擊可能出現(xiàn)兩種情形：

（1）出現(xiàn)網(wǎng)絡(luò)地址沖突對話框，并不斷重復(fù)。

（2）計算機掉線，無法上網(wǎng)。

對于這種ARP攻擊，防火墻通常不會攔截。因為報文本身并沒有違反協(xié)議規(guī)定，只不過是利用了協(xié)議的弱點，所以一般的防火墻難以抵擋此類攻擊。

2.3 ARP攻擊解決方案

（1）刪除插入ARP或者IP route表（路由表）中錯誤記錄的方法。

a. 使用命令進行攻擊，促使網(wǎng)絡(luò)中斷

b. 自動過期，由系統(tǒng)刪除

（2）可以采用建立靜態(tài)ARP表的方法，但是對于動態(tài)ARP協(xié)議有所影響。

（3）使用ipconfig interface–arp命令，此方法使得發(fā)送和接受ARP數(shù)據(jù)包都不能進行。但是如果計算機地址不在靜態(tài)的緩存表中，通信將無法進行。

3 ARP防火墻

3.1 ARP防火墻的概念

ARP防火墻的重要功能是主動告知網(wǎng)關(guān)本機正確的物理地址并且攔截虛假ARP數(shù)據(jù)包。其功能包括：阻斷IP沖突、ARP攻擊、Dos攻擊，并且能夠進行ARP數(shù)據(jù)分析。

首先，ARP防火墻通過攔截虛假ARP數(shù)據(jù)包的方式，使得本主機獲取正確的網(wǎng)關(guān)MAC地址。其次，ARP防火墻采取主動防御，與網(wǎng)關(guān)保持聯(lián)系，使網(wǎng)關(guān)得到的本機正確的物理地址。

3.2 ARP的防火墻的的主要作用

（1）首先，ARP防火墻能夠?qū)ν獠刻摷貯RP數(shù)據(jù)包進行截獲，使系統(tǒng)避免受到ARP欺騙、ARP攻擊，保證內(nèi)網(wǎng)安全；其次，如果本機感染了惡意程序，防火墻可以截獲對外發(fā)出的ARP攻擊數(shù)據(jù)包，減輕給其它用戶帶來的危害；

（2）攔截IP沖突。對于IP沖突包進行有效攔截，保障系統(tǒng)正常運行；

（3）Dos攻擊抑制。對于本機的對外攻擊進行有效攔截，阻止TCP SYN/UDP/ICMP/ARP DoS等攻擊數(shù)據(jù)包，保障網(wǎng)絡(luò)的通暢；

（4）安全模式。只響應(yīng)網(wǎng)關(guān)發(fā)送的ARP Request數(shù)據(jù)包，隱藏自己，盡量避免受到ARP攻擊；

（5）ARP數(shù)據(jù)分析。對接收到的所有ARP數(shù)據(jù)包進行有效分析，挖出可能存在的攻擊者或中毒的設(shè)備；

（6）監(jiān)測ARP緩存。對本電腦的緩存表進行監(jiān)視，當網(wǎng)關(guān)的物理地址被惡意程序修改時可發(fā)出警報并進行修復(fù)；

（7）主動防御。告知網(wǎng)關(guān)本機的MAC地址，與網(wǎng)關(guān)時刻保持通訊；

（8）追蹤攻擊者。

（9）查殺ARP病毒。

ARP防火墻可以在一定程度上解決局域網(wǎng)內(nèi)的ARP攻擊和欺騙問題。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，也許還會出現(xiàn)其它的安全問題，但也一定會有更多針對它的解決辦法。

參考文獻

[1]單國杰.基于ARP欺騙攻擊的防御策略研究[D].濟南：山東師范大學(xué)，2011.

[2]史雋彬，秦科.ARP攻擊現(xiàn)狀分析及一種應(yīng)對ARP攻擊的方法[J].陜西理工學(xué)院學(xué)報（自然科學(xué)版），2013（02）：45-49.

作者單位

湖南司法警官職業(yè)學(xué)院管理系 湖南省長沙市 410008