論無線局域網(wǎng)中ARP的安全攻防戰(zhàn)

李迎接 查蘊(yùn)初 吳開

【摘 要】在這個信息化發(fā)展迅速的社會，無線局域網(wǎng)在我們生活中的地位日益上升，具有不可替代的特征。無線局域網(wǎng)的速度快，穩(wěn)定，價錢低廉等優(yōu)勢獲得現(xiàn)代人的青睞，現(xiàn)如今無論到哪首先想找的是一個有無線局域網(wǎng)的地方，進(jìn)行休息與工作。但給人們帶來便捷的同時也帶來了諸多危險，無線局域網(wǎng)的安全問題已經(jīng)變得十分嚴(yán)峻，個人私密信息的泄露，支付賬號密碼被盜用，設(shè)備被黑客惡意的操控利用，對我們的正常生活造成了極大的危害。基于此本文將針對當(dāng)前社會無線局域網(wǎng)中多種威脅之一的ARP攻擊分析其原理提出相應(yīng)的防范措施。

【關(guān)鍵詞】ARP攻擊；網(wǎng)絡(luò)安全；無線局域網(wǎng)

一、ARP攻擊原理分析

1、ARP攻擊：這種攻擊方式是歷史悠久的入侵網(wǎng)絡(luò)手段，有著廣泛的操作空間，簡單來說這是一種間接性的攻擊入侵方式，通過篡改攔截和嗅探，可以獲得兩臺電腦之間的所有數(shù)據(jù)信息，然而通信雙方都無法察覺，換言之，利用這種攻擊方式可以獲取到對方的所有發(fā)出的數(shù)據(jù)信息，或者替換對方所有接收到的數(shù)據(jù)信息。這種攻擊方式歷史悠久，分布廣泛，操作簡單，極易上手，而且基本能夠滿足大多數(shù)黑客竊取，阻斷個人私密信息流的目的，依靠的是ARP協(xié)議中互相信任的這一弊端，這也是ARP攻擊方式中區(qū)別于其他攻擊方式的一大特點(diǎn)。在此協(xié)議剛開始的那段時間里，設(shè)計師的目的是要讓電腦與電腦之間能夠快速連接，互相識別與通信，而且在當(dāng)時并不會有人會想到能夠利用ARP協(xié)議中的設(shè)計弊端進(jìn)行攻擊，于是在設(shè)計之初也就忽略了安全性問題，最終反應(yīng)在現(xiàn)實(shí)中的是：在同一個局域網(wǎng)中所有設(shè)備在通信時，都是互相信任的，只要得到了相應(yīng)的應(yīng)答反饋信息，絕不會進(jìn)行校驗(yàn)甄別是否是目標(biāo)主機(jī)發(fā)送的，并存在自己的ARP緩存之中留作下次傳遞數(shù)據(jù)使用。然而隨著社會的不斷發(fā)展，技術(shù)的不斷進(jìn)展更新，逐漸有人發(fā)現(xiàn)了這一弊端并利用了起來。這里舉一個簡單的例子來說明ARP攻擊的原理，首先有三臺電腦端，分別為：A、B、C，它們的IP地址分別為：IPA、IPB、IPC，它們的MAC地址分別為：MACA、MACB、MACC，他們所對應(yīng)的接口分別為：PA、PB、PC，其中電腦B為使用ARP攻擊的黑客電腦，還有一個交換機(jī)X。正常情況下，電腦A想與電腦C進(jìn)行通信時，電腦A會向所在的局域網(wǎng)絡(luò)中交換機(jī)X發(fā)送多個ARP請求包，其中包含著電腦A的IPA和MACA，以及電腦C的IPC、MACC，交換機(jī)X接收到請求后進(jìn)行封包，根據(jù)交換機(jī)中的CAM表（MAC轉(zhuǎn)換為相對應(yīng)的接口協(xié)議），將電腦A發(fā)來的ARP請求包通過對應(yīng)的端口PB、PC發(fā)送給電腦B和電腦C，由于電腦A想與電腦C進(jìn)行通信，正常來說的電腦B會將電腦A所發(fā)送的ARP請求包直接丟掉（因?yàn)檎埱蟀?dāng)中沒有關(guān)于電腦B的MAC和IP地址），而電腦C接收到電腦A已發(fā)出的ARP請求包后會明白電腦A要與電腦C通信，于是乎電腦C也會像之前電腦A發(fā)出請求包給C一樣經(jīng)過交換機(jī)返回一個應(yīng)答包給電腦A，而黑客所操控的電腦B可以對整個過程進(jìn)行監(jiān)聽，那么問題隨之而來了，電腦必會收到電腦A的請求包，根據(jù)請求包可以分析得出電腦C的MAC地址和IP地址，這時，電腦B可以偽造一個其中包含IPC和MACB的應(yīng)答包，反饋給電腦A，如果電腦A這時儲存了電腦B發(fā)出的應(yīng)答包，這是可以稱電腦A的ARP緩存被毒化，然而正確的應(yīng)答包應(yīng)該是IPC和MACC，（注意這里替換了MAC地址），ARP緩存毒化過后的電腦A就會交接下來要發(fā)送的信息全部發(fā)送給電腦B，達(dá)到了所說的竊取數(shù)據(jù)。簡單說：IP地址可以視為一個快遞當(dāng)中收貨方的名字，MAC地址可以視為快遞當(dāng)中的收貨地址，我只是需要知道人是我想要發(fā)的人就行了地址并不會管，但是在這個過程當(dāng)中會有一個問題，電腦B和電腦C會同時向電腦A回饋信息，這時電腦A應(yīng)該把哪個的反饋包緩存到自己的ARP緩存當(dāng)中呢，這里需要遵循一個數(shù)據(jù)傳遞的統(tǒng)一原則：先到先得，后到優(yōu)先，也就是說電腦A最后收到的應(yīng)答包才會儲存在ARP緩存當(dāng)中，層層覆蓋，而且在ARP緩存列表當(dāng)中有兩種形式，一種是靜態(tài)一種是動態(tài)，靜態(tài)緩存列表即使關(guān)機(jī)重新啟動以后才會被清空刪除，而動態(tài)這是每20秒會更新一次，這樣是為了保證通信的順暢以及及時應(yīng)對IP地址更改時的通信問題，那么如何保證電腦B所發(fā)出的請求包會在電腦C的之后呢，這里只需要不斷的向電腦A發(fā)送請求包即可，總會有后與電腦C的請求包將其覆蓋，這一操作可以在滲透軟件當(dāng)中進(jìn)行調(diào)整發(fā)送頻率，達(dá)到目的效果，同時也需要以相同的方式向電腦C進(jìn)行操作，相當(dāng)于電腦B成為了電腦A與電腦C的中間人，這也就是我們常說的中間人攻擊，中間人攻擊如果在操作合理的情況下，被攻擊雙方根本無法察覺。這里只是簡單的偽裝成電腦C，當(dāng)然也可以偽裝成網(wǎng)關(guān)，偽裝成網(wǎng)關(guān)以后可以控制整個局域網(wǎng)對外的聯(lián)絡(luò)，限制速度，也可以當(dāng)個對一個IP地址進(jìn)行封殺網(wǎng)絡(luò)連接。這里舉一個簡單的安卓APP，wIfI殺手，有人曾在高中時段，利用wIfI殺手這一APP將全校網(wǎng)絡(luò)用戶全部封殺，其利用的就是ARP攻擊，而應(yīng)對措施就是，斷開，重新連接，這樣操作可以使得自己的IP地址進(jìn)行變化，收到wIfI殺手需要重新再掃描一次局域網(wǎng)用戶才可以起到封殺作用。

二、ARP攻擊防范措施

由于IP地址是收貨人的姓名，是兩個電腦識別的關(guān)鍵，如果網(wǎng)速變慢或者根本無法上網(wǎng)或者有其他現(xiàn)象證明自己被ARP攻擊，可以嘗試不斷變更自己的IP地址，使得發(fā)送機(jī)和接收機(jī)之間的識別機(jī)制不斷進(jìn)行更新，方可避免ARP攻擊。或者直接使用可以預(yù)防ARP攻擊的第三層交換機(jī)，設(shè)置MAC與IP的靜態(tài)綁定，雖然每次重啟機(jī)器以后需要重新設(shè)置一下，但也是一個簡單的能夠預(yù)防的措施，合理分配VLAN，從根本上阻止盜用MAC地址和IP地址。

【參考文獻(xiàn)】

[1]林宏剛，陳麟，王標(biāo)，吳彥偉.一種主動檢測和防范ARP攻擊的算法研究[J]. 四川大學(xué)學(xué)報（工程科學(xué)版），2008（03）：143-149.

[2]李軍鋒.基于計算機(jī)網(wǎng)絡(luò)安全防ARP攻擊的研究[J].武漢工業(yè)學(xué)院學(xué)報，2009，28（01）：57-59.

[3]史雋彬，秦科.ARP攻擊現(xiàn)狀分析及一種應(yīng)對ARP攻擊的方法[J].陜西理工學(xué)院學(xué)報（自然科學(xué)版），2013，29（02）：45-49.

[4]郭征，吳向前，劉勝全.針對校園網(wǎng)ARP攻擊的主動防護(hù)方案[J].計算機(jī)工程，2011，37（05）：181-183.

[5]郭會茹，楊斌，牛立全.ARP攻擊原理分析及其安全防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（06）：5-6.