局域網內ARP攻擊的模擬及檢測防御方法

程銳+陳中舉+杜友福

摘要：工作在TCP/IP協議族中網絡層的ARP（Address Resolution Protocol）協議是一個把網絡層使用的32位的IP地址解析成數據鏈路層使用的48位的MAC地址的協議。該協議在設計的時候沒有考慮必要的身份認證和鑒別機制，導致這一漏洞經常被黑客利用，對局域網的安全有效運作產生巨大威脅。使用Java網絡和多線程編程模擬了局域網內的ARP攻擊，實現了ARP攻擊的檢測，介紹了幾種ARP攻擊的防范方法。

關鍵詞：ARP協議；ARP欺騙；攻擊檢測；攻擊防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）01-0059-02

Abstract： The Address Resolution Protocol （ARP）， which works at the network layer of the TCP / IP protocol suite， is a protocol that resolves a 32-bit IP address used by the network layer into a 48-bit MAC address used by the data link layer. The lack of essential authentication and identification mechanisms of its design generating its vulnerability which is often exploited by hackers， leading to a great threat to the safe and effective operation of the LAN.using Java network and multi-threaded programming to simulate the LAN ARP attacks， implements the detections of ARP attacks， and introduce several methods to prevent ARP attacks.

Key words：ARP protocol； ARP cheat； attack detection； attack prevention

1 概述

互聯網的快速發展，讓網絡安全備受重視。在諸多網絡安全隱患中，ARP攻擊可謂是大名鼎鼎。ARP攻擊的危害性很大，黑客們可以利用ARP攻擊實現DoS攻擊或中間人攻擊，造成網絡通信中斷或數據被截取甚至是篡改，嚴重影響網絡的安全。目前利用ARP進行攻擊的木馬病毒在局域網中廣泛傳播，給網絡安全運行帶來巨大隱患，是局域網安全的首要威脅[1]。

2 ARP協議概述

ARP協議工作在網絡層，它的作用就是要把網絡層使用的IP地址解析成數據鏈路層使用的硬件地址。以太網上的每一個設備都維持著一張最近IP地址到MAC地址的映射表，也叫ARP高速緩存[2]。

當以太網上的一個網絡設備要和另一個設備進行通信時，會先查看自己的ARP緩存里是否存在目的IP地址和某個MAC地址的映射，如果有，就使用該條記錄，否則，該設備就會通過ARP協議來獲得目的MAC地址。其過程是：該設備會廣播ARP請求分組，局域網內的每一個設備都會接收到該ARP請求報文。當一個設備接收到一個ARP請求報文時，它的做法是：1）先取出該報文的源IP地址和源MAC地址，看自己的ARP緩存中是否有這樣的映射，如果有的話，就更新該條記錄的計時器；如果沒有，就新增一條記錄。2）查看該報文的目標IP地址是否就是自己的IP地址，如果是，就向報文的發送者單播一個ARP響應報文；如果不是，就丟棄該報文。3）ARP請求報文的發送者在接收到ARP響應報文時，就把目標設備的IP地址和硬件地址的映射寫入自己的ARP緩存中。

3 ARP攻擊原理和攻擊模擬

3.1 ARP攻擊原理

ARP協議是建立在信任局域網內所有節點的基礎上，網絡上的設備可以自主發送ARP應答分組，其他設備收到應答分組時不會檢測該報文的真實性就會將其加入或是更新本機ARP緩存[3-5]。由此攻擊者就可以向某一設備發送偽造的ARP應答報文，來達到讓被攻擊對象發送的信息無法到達預期的設備或到達錯誤的設備，這樣就構成了一個ARP欺騙攻擊。

3.2 ARP攻擊模擬

3.2.1 攻擊模擬流程

ARP攻擊模擬的工作流程如圖1所示，描述如下：

（1） 手動輸入要攻擊的兩個設備的IP地址。輸入IP地址后，會校驗輸入的IP地址是否有效。

（2） 如果校驗不通過，則退到上一步。如果校驗通過，則進行下一步。

（3） 判斷要攻擊的兩個對象和本機是否在同一個局域網。如果不是，則退到第一步。否則執行下一步。

（4） 由多線程程序來解析兩個被攻擊的對象以太網地址。

（5） 由多線程程序來向兩個被攻擊對象持續發送偽造的ARP應答分組，不斷刷新兩個被攻擊對象的ARP緩存。

（6） 由多線程程序來收發數據包。

3.2.2 攻擊模擬環境

程序編寫采用Java語言，JDK的版本是jdk1.7.0_80，IDE采用的是eclipse-jee-luna-SR2-win32，Jpacp的版本是0.6，操作系統是Windows 7操作系統。

3.2.3 攻擊模擬結果

本程序成功的實現了局域網內的ARP攻擊，效果如圖2所示。

從上面的攻擊結果圖可以清楚地看到，程序達到了預期想要的結果，實現了局域網內的ARP攻擊模擬。endprint

3.2.4 攻擊模擬分析

從圖2中可以看出實施ARP攻擊后，主機B的ARP高速緩存中同一個硬件地址C8-FF-28-9B-7F-F2對應了兩個不同的IP地址，而該硬件地址就是實施攻擊者的主機的硬件地址。因此，就可以得出結論，當局域網內發生了ARP攻擊的時候，被攻擊的對象的ARP高速緩存中必然會有多個不同的IP地址映射到同一個硬件地址，并且該硬件地址就是實施攻擊的主機的硬件地址。

4 ARP攻擊的檢測及防御

4.1 ARP攻擊的檢測

通過分析可知，要實現ARP欺騙，攻擊者必須持續發送偽造的ARP應答分組，所以，當檢測到局域網存在著大量的ARP應答分組時，就可以斷定，局域網內必然發生了ARP攻擊。

由此，可以通過對整個局域網內的數據包或者是經由某個設備上的數據包進行分析，檢測ARP攻擊。下面以主機為例進行說明。

1） 對經由本機網卡的每一個數據包進行分析。如果該數據包是本機發送的ARP請求分組，就把所請求的IP地址加入請求隊列之中。如果是發送給本機的ARP應答分組，就檢查該應答分組的發送端IP地址是否在請求隊列中，如果在，則該IP地址出隊列；否則，就說明該應答分組是一個偽造的ARP應答分組，也能夠說明本機受到了該ARP應答分組發送者的攻擊。檢測效果如圖3所示。

2） 監視本機的ARP高速緩存，一旦發現ARP高速緩存中出現了同一個MAC地址映射到多個IP地址的情況，就表名本機遭受到了ARP攻擊。檢測效果如圖4所示。

4.2 ARP攻擊的防御

ARP攻擊的實現依賴于設備對ARP應答的無條件信任，從而通過發送偽造的ARP應答來刷新被攻擊對象的ARP高速緩存。

從這一點上來看，可以從以下幾方面來防范局域網內的ARP攻擊。

1） 設置靜態ARP緩存，實現IP地址和MAC地址的靜態綁定。由網絡管理員手動輸入局域網內設備上的ARP緩存記錄，設備就不再接收ARP分組，這樣就能完全避免ARP攻擊。這種方法雖然能夠起到很好的作用，但是有很多缺點[6]。一是局域網內的每一個設備都需要手動輸入，這樣很麻煩，容易出錯。二是局域網內的設備的IP地址并不是固定不變的，IP地址的每變化一次，就要重新輸入ARP緩存。

2） 設置ARP服務器。在局域網內設置專用的ARP服務器，所有與地址解析相關的任務都交給ARP服務器來處理，設備不再接收非ARP服務器發送的ARP應答分組；也不再對非來自ARP服務器的ARP請求分組進行應答[7]。這種方法效果比較好，缺點是不利于維護，并且服務器也很容易被攻擊。

3） 拒收無請求型的應答。設備只在自己發送了ARP請求的情況下才接受ARP應答[8]。

4） 對局域網劃分VLAN或者增加VLAN的數量，減少VLAN中主機的數量。這種方法可以限制ARP廣播域的大小，縮小攻擊范圍，缺點是不利于維護，也無法自動適應網絡的動態變化。

5） 限制主機自主發送ARP應答分組，只有在接收到ARP請求分組時，才允許主機發送相應的ARP應答分組。

5 總結與展望

ARP協議是建立在信任局域網內所有節點的基礎上，網絡上的設備可以自主發送ARP應答分組，正是由于這一漏洞才讓該協議容易被黑客用來進行ARP欺騙攻擊，對局域網安全有效運作產生巨大威脅和損害。本文闡述了ARP攻擊的原理，使用Java網絡和多線程編程模擬了局域網內的ARP攻擊，實現了ARP攻擊的檢測，介紹了幾種ARP攻擊的防范方法。相信在計算機安全領域備受重視的大環境下，這個長期以來沒有得到很好解決的問題一定會一步一步被徹底解決。

參考文獻：

[1] 鄭先偉. CERNET應急響應組2007年5月報告 ARP欺騙是首要威脅[J]. 中國教育網絡，2007（7）：41.

[2] [美]W. Richard Stevens. TCP/IP詳解 卷1：協議[M].范建華，胥光輝，張濤，譯.北京：機械工業出版社，2000（4）：40-41.

[3] 陳英，馬洪濤.局域網內ARP協議攻擊及解決辦法[J].中國安全科學學報，2007（7）：126-131+179.

[4] 秦豐林，段海新，郭汝廷.ARP欺騙的監測與防范技術綜述[J].計算機應用研究，2009，26（01）：30-33.

[5] 智陽光，胡曦明，馬苗. 淺析ARP攻擊原理及其防御[J]. 網絡安全技術與應用，2017（7）：30-32.

[6] 任俠，呂述望. ARP協議欺騙原理分析與抵御方法[J]. 計算機工程，2003（9）：127-128+182.

[7] 黃元培. ARP欺騙在局域網中的分析及防御探究[J]. 現代鹽化工，2016，43（05）：17-18.

[8] 趙均，陳克非. ARP協議安全漏洞分析及其防御方法[J]. 信息安全與通信保密，2006（8）：72-74+77.endprint