局域網(wǎng)中ARP攻擊的防御措施研究

◆王曉妮 段 群

?

局域網(wǎng)中ARP攻擊的防御措施研究

◆王曉妮1段 群2

(1.咸陽(yáng)師范學(xué)院信息中心 陜西 712000；2.咸陽(yáng)師范學(xué)院計(jì)算機(jī)學(xué)院 陜西 712000)

互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展使網(wǎng)絡(luò)攻擊層出不窮，其中ARP攻擊已嚴(yán)重威脅局域網(wǎng)安全。本文研究了ARP協(xié)議的運(yùn)行機(jī)制、存在的缺陷、ARP攻擊原理、造成的危害和常見的ARP防御措施。本文提出了讓局域網(wǎng)用戶和網(wǎng)絡(luò)管理者共同參與，采取多種辦法相結(jié)合，組建多方位立體化防御方案，能夠防御局域網(wǎng)中的ARP攻擊。

ARP協(xié)議；ARP攻擊；網(wǎng)絡(luò)安全；防御措施

0 引言

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)的共享性、互聯(lián)性和開放性程度擴(kuò)大化使人們的生活離不開網(wǎng)絡(luò)。人們?cè)谙硎芷浔憷耐瑫r(shí)也要面臨各種安全威脅，互聯(lián)網(wǎng)安全的重要性日顯突兀。網(wǎng)絡(luò)資源和網(wǎng)絡(luò)服務(wù)共享技術(shù)的發(fā)展增大了網(wǎng)絡(luò)攻擊的概率，更多的攻擊都是基于工作在最底層的網(wǎng)絡(luò)協(xié)議。ARP協(xié)議工作在運(yùn)行機(jī)制簡(jiǎn)單、安全性常被忽視的數(shù)據(jù)鏈路層，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)設(shè)備的IP地址和MAC地址映射[1]。處于數(shù)據(jù)鏈路層上的ARP攻擊隱蔽性很強(qiáng)，利用ARP協(xié)議的設(shè)計(jì)漏洞對(duì)局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備實(shí)施網(wǎng)絡(luò)攻擊，嚴(yán)重時(shí)可造成整個(gè)局域網(wǎng)癱瘓。故仔細(xì)研究ARP協(xié)議的運(yùn)行機(jī)制和ARP攻擊原理，對(duì)有效防御ARP攻擊很有必要。

1 ARP協(xié)議

ARP協(xié)議，全稱為“Address Resolution Protocol”（地址解析協(xié)議），是一個(gè)根據(jù)主機(jī)IP地址獲取其MAC地址的TCP/IP協(xié)議]。在以太網(wǎng)中，會(huì)為每臺(tái)設(shè)備分配一個(gè)固定的IP地址，可是如果兩臺(tái)主機(jī)想要直接通信，源主機(jī)必須知道目標(biāo)主機(jī)IP地址對(duì)應(yīng)的MAC地址，而這個(gè)MAC地址只能通過(guò)ARP協(xié)議獲取。故ARP協(xié)議主要負(fù)責(zé)把LAN中32位IP地址轉(zhuǎn)化成對(duì)應(yīng)的48位MAC地址[3]。

1.1 ARP協(xié)議的工作原理

例如，局域網(wǎng)中有源主機(jī)C與目標(biāo)D準(zhǔn)備通信，必須經(jīng)過(guò)這三個(gè)步驟來(lái)完成：

（1）源主機(jī)C先要在它的ARP cache中查找目標(biāo)主機(jī)D的IP地址。如果其存在，則通過(guò)該IP地址查出D的MAC地址，直接向此MAC地址發(fā)送數(shù)據(jù)包即可。

（2）反之，則向局域網(wǎng)中發(fā)送廣播ARP請(qǐng)求數(shù)據(jù)包（包含C的IP和MAC地址，D的IP地址），尋找D的MAC地址。由于是廣播式發(fā)送，故該網(wǎng)段中所有主機(jī)都會(huì)收到，但別的主機(jī)不予理睬，只有D會(huì)響應(yīng)，并向D發(fā)送ARP Request報(bào)文（包含D的IP和MAC地址）。

（3）主機(jī)C收到該響應(yīng)報(bào)文，立刻更新自己的ARP緩存，然后就發(fā)送通訊數(shù)據(jù)。

1.2 ARP協(xié)議的缺陷

ARP協(xié)議在起初設(shè)計(jì)時(shí)沒有考慮到其安全性，它是以LAN中所有設(shè)備都相互信任和安全為基礎(chǔ)來(lái)實(shí)現(xiàn)的。雖然ARP協(xié)議保證了數(shù)據(jù)的便捷、高效率傳輸，但是其自身卻存在廣播性、無(wú)認(rèn)證、動(dòng)態(tài)性和無(wú)狀態(tài)這些安全隱患[4]。由于源主機(jī)在網(wǎng)絡(luò)中廣播發(fā)送ARP請(qǐng)求報(bào)文，尋求目標(biāo)主機(jī)的MAC地址。這樣非法用戶不斷向源主機(jī)發(fā)送錯(cuò)誤的MAC地址來(lái)響應(yīng)，攻擊者也可以連續(xù)向該網(wǎng)段發(fā)送ARP請(qǐng)求或者響應(yīng)，而源主機(jī)缺乏合法性的驗(yàn)證措施，它一般不檢測(cè)自身是否發(fā)送過(guò)ARP請(qǐng)求和響應(yīng)報(bào)文的合法性，即使它沒有發(fā)送ARP請(qǐng)求，只要收到ARP響應(yīng)，便更新了本地的ARP緩存表，這樣就會(huì)導(dǎo)致網(wǎng)絡(luò)擁擠或出現(xiàn)網(wǎng)絡(luò)中斷。

2 ARP攻擊

2.1 ARP攻擊原理

ARP欺騙正是充分利用了ARP協(xié)議存在廣播性、無(wú)認(rèn)證等這些安全隱患來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的，其進(jìn)行欺騙攻擊的原理就是黑客把自己MAC地址和想要截獲數(shù)據(jù)的目標(biāo)主機(jī)的IP地址構(gòu)成IP/MAC發(fā)送給源主機(jī)，冒充目標(biāo)主機(jī)去響應(yīng)ARP請(qǐng)求，讓收到響應(yīng)的源主機(jī)更新自己的ARP cache，這樣就讓本該發(fā)送給目標(biāo)主機(jī)的數(shù)據(jù)發(fā)給了黑客。

根據(jù)ARP欺騙的攻擊形式一般可將其分為這兩類：

（1）對(duì)網(wǎng)關(guān)的欺騙。中毒主機(jī)將自己的MAC和校園網(wǎng)中其他主機(jī)的IP存放在網(wǎng)關(guān)的ARP cache中，導(dǎo)致網(wǎng)關(guān)要發(fā)送給這些主機(jī)的數(shù)據(jù)全部發(fā)送到了病毒主機(jī)[5]。

（2）對(duì)校園網(wǎng)中所有的主機(jī)進(jìn)行欺騙。中毒主機(jī)將自己的MAC和網(wǎng)關(guān)的IP存放在其它主機(jī)的ARP cache中，結(jié)果其他主機(jī)就把要發(fā)送給網(wǎng)關(guān)的所有數(shù)據(jù)發(fā)送給了病毒主機(jī)。假設(shè)校園網(wǎng)中存在A、B和C三臺(tái)主機(jī)，其中C為ARP攻擊主機(jī)，A、B為正常的主機(jī)。其對(duì)應(yīng)的IP和MAC依次為IP1/MAC1、IP2/MAC2、IP3和MAC3。ARP攻擊原理如圖1所示。

圖1 ARP攻擊原理

2.2 ARP攻擊的危害

局域網(wǎng)中如果存在ARP攻擊欺騙現(xiàn)象，病毒主機(jī)就會(huì)向網(wǎng)絡(luò)中發(fā)送大量的數(shù)據(jù)包，造成網(wǎng)絡(luò)擁塞，出現(xiàn)用戶打開網(wǎng)頁(yè)很慢甚至根本無(wú)法打開，接著發(fā)現(xiàn)整個(gè)局域網(wǎng)中病毒的網(wǎng)段內(nèi)的主機(jī)不停提示IP地址沖突、網(wǎng)速奇慢無(wú)比、頻繁斷網(wǎng)、不停有惡意廣告彈出，重啟設(shè)備、網(wǎng)卡禁用或更換新的IP后網(wǎng)絡(luò)就會(huì)恢復(fù)短暫的正常。這是因?yàn)椴《緯簳r(shí)停止攻擊后用戶發(fā)現(xiàn)網(wǎng)絡(luò)恢復(fù)了正常，可當(dāng)中毒設(shè)備再次攻擊時(shí)用戶又會(huì)掉線，如此反復(fù)，隨后網(wǎng)速時(shí)慢時(shí)快，極不穩(wěn)定，嚴(yán)重影響和干擾校園網(wǎng)用戶的正常使用[6]。隨之而來(lái)的是一些用戶的個(gè)人信息泄露，例如網(wǎng)銀、QQ、游戲等密碼丟失，用戶無(wú)法正常登錄自己賬號(hào)。

3 ARP攻擊的防御措施

目前針對(duì)ARP欺騙防御措施很多，但用戶卻不能徹底擺脫ARP病毒的困擾，這到底是為什么呢？仔細(xì)分析一下如今較為流行的這些防御策略，發(fā)現(xiàn)存在以下這些優(yōu)缺點(diǎn)。

3.1 雙向靜態(tài)綁定

手工將網(wǎng)絡(luò)終端設(shè)備和路由器或交換機(jī)的IP地址及其對(duì)應(yīng)的MAC地址實(shí)行雙向靜態(tài)綁定，這樣能有效防止普通的ARP欺騙攻擊，但僅適應(yīng)于類似網(wǎng)絡(luò)實(shí)驗(yàn)室這樣較小規(guī)模的局域網(wǎng)。但它對(duì)規(guī)模較大的校園網(wǎng)而言，由于用戶需要經(jīng)常更換上網(wǎng)地點(diǎn)，例如把筆記本從辦公室移到會(huì)議室等改變工作地點(diǎn)。除非重新更換綁定IP和MAC，否則就無(wú)法正常上網(wǎng)，有些大型企業(yè)局域網(wǎng)上網(wǎng)用戶數(shù)目龐大，這樣操作起來(lái)就相當(dāng)麻煩、維護(hù)難度很大、可靠性差和存在一定局限性。

3.2 PPPOE技術(shù)

采用點(diǎn)對(duì)點(diǎn)協(xié)議的上網(wǎng)方式，用戶只需輸入賬號(hào)和密碼，通過(guò)PPPOE認(rèn)證后會(huì)二次封裝數(shù)據(jù)包，避免其遭受ARP欺騙。由于存在封裝和解封裝結(jié)果，這樣就降低了網(wǎng)絡(luò)傳輸率，而且局域網(wǎng)之間無(wú)法訪問(wèn)和共享網(wǎng)絡(luò)資源。PPPOE技術(shù)是避開了網(wǎng)絡(luò)底層的ARP協(xié)議，可它是靠犧牲網(wǎng)速來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)穩(wěn)定，用戶數(shù)量大的情況下不可靠。

3.3 交換機(jī)端口綁定

利用那些帶有MAC學(xué)習(xí)功能的網(wǎng)絡(luò)交換機(jī)完成學(xué)習(xí)后關(guān)閉此功能，就能綁定該交換機(jī)端口和其對(duì)應(yīng)MAC，就能防止其地址被ARP病毒篡改，保證了數(shù)據(jù)安全。此法要用具有學(xué)習(xí)功能的交換機(jī)價(jià)格很高，這樣無(wú)疑加大了網(wǎng)絡(luò)建設(shè)成本。而且必須把所有主機(jī)都綁定在某臺(tái)交換機(jī)端口上，使網(wǎng)絡(luò)管理復(fù)雜化，缺乏靈活性，無(wú)法滿足各種移動(dòng)設(shè)備的上網(wǎng)需要。

3.4 采用ARP專殺工具

為了防止數(shù)據(jù)報(bào)文被篡改或竊取，ARP防火墻采用在網(wǎng)絡(luò)終端設(shè)備上綁定網(wǎng)關(guān)來(lái)應(yīng)對(duì)ARP冒充假網(wǎng)關(guān)的攻擊。可問(wèn)題是它無(wú)法識(shí)別所綁網(wǎng)關(guān)的正確性，因此也就存在一定的風(fēng)險(xiǎn)。還有ARP專殺工具僅能保護(hù)其所在主機(jī)自身數(shù)據(jù)的安全，面對(duì)網(wǎng)絡(luò)中的ARP攻擊及其造成全網(wǎng)的網(wǎng)速慢、斷網(wǎng)這些問(wèn)題卻無(wú)能為力。

3.5 VLAN劃分

利用ARP病毒不能跨網(wǎng)段傳播來(lái)劃分VLAN，縮小局域網(wǎng)的范圍，導(dǎo)致ARP攻擊欺騙的活動(dòng)范圍變小，這樣可以避免整個(gè)局域網(wǎng)癱瘓，但是由于缺乏保護(hù)網(wǎng)關(guān)的措施，即使VLAN劃分的再細(xì)，一旦網(wǎng)關(guān)遭受了ARP攻擊就會(huì)前功盡棄，整個(gè)局域網(wǎng)仍會(huì)遭受全網(wǎng)癱瘓的厄運(yùn)。

3.6 ARP服務(wù)器

網(wǎng)絡(luò)中的ARP服務(wù)器將接收和統(tǒng)一處理所有設(shè)備的ARP請(qǐng)求報(bào)文，并給予響應(yīng)，全部主機(jī)只能信任來(lái)自ARP服務(wù)器的響應(yīng)報(bào)文，并丟棄其他主機(jī)的ARP響應(yīng)。這樣ARP服務(wù)器的安全就成了整個(gè)局域網(wǎng)的瓶頸，顯得非常重要，稍有不慎，就會(huì)造成全網(wǎng)癱瘓。

通過(guò)分析可知僅靠某種單一的預(yù)防措施很難徹底根除ARP攻擊，只有根據(jù)企業(yè)局域網(wǎng)的具體的實(shí)際情況，選擇適合自己的幾種防御措施，再把它們有機(jī)結(jié)合起來(lái)，揚(yáng)長(zhǎng)避短，才能有效防御ARP攻擊。但是只靠防御措施是不夠的，還必須進(jìn)行大量的宣傳和做好培訓(xùn)工作，增強(qiáng)用戶的網(wǎng)絡(luò)安全意識(shí)，讓其養(yǎng)成良好的用網(wǎng)習(xí)慣。能夠及時(shí)掃描系統(tǒng)漏洞、升級(jí)病毒庫(kù)和按時(shí)查毒，定期對(duì)重要數(shù)據(jù)進(jìn)行異地備份。只有從底層用戶到高層網(wǎng)絡(luò)管理員共同努力，組建起一個(gè)立體的多方位防御方案，才能較好地防御ARP攻擊。

4 結(jié)語(yǔ)

本文通過(guò)分析局域網(wǎng)中出現(xiàn)的ARP攻擊現(xiàn)象，研究了其形成原因和造成的危害，詳細(xì)分析了當(dāng)前流行的ARP攻擊防御措施，提出了讓局域網(wǎng)用戶和管理者共同努力，采取多種辦法相結(jié)合組建綜合的多方位防御方案，能夠防御ARP攻擊，保證局域網(wǎng)的安全穩(wěn)定運(yùn)行。

[1]王曉妮.高校局域網(wǎng)中ARP攻擊防御策略的分析與實(shí)施[J].航空計(jì)算技術(shù)，2017.

[2]郭征，吳向前，劉勝全.針對(duì)校園網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案[J].計(jì)算機(jī)工程，2011.

[3]Xu Li-wen,Qiao Li-juan.Based On Large Campus Network ARP Virus Prevention[J].Computer CD Software and Applications，2012．

[4]劉曉霞.ARP攻擊與防護(hù)措施及解決方案[J].信息通信，2016．

[5]李延香，袁輝，劉淑英.校園局域網(wǎng)ARP欺騙攻擊的防御方法和實(shí)施[J].自動(dòng)化與儀器儀表，2015.

[6]張文.針對(duì)ARP和PPPoE的攻擊與檢測(cè)技術(shù)研究[D].四川師范大學(xué)碩士學(xué)位論文，2013．

陜西省教育科學(xué)“十三五”規(guī)劃2017年課題（項(xiàng)目編號(hào)：SGH17H196）；咸陽(yáng)師范學(xué)院專項(xiàng)科研基金資助項(xiàng)目（項(xiàng)目編號(hào)：13XSYK087）。