ARP欺骗检测方法

ARP欺骗检测方法（精选七篇）

ARP欺骗检测方法篇1

近些年来, 随着我国高校信息化建设的快速发展, 校园内的工作、学习、生活越来越离不开网络, 校园网用户对互联网上进行各种文件的下载与应用, 难免有包含一些不安全的文件, 使得高校校园网存在较多的安全隐患。其中ARP欺骗是最常见的一种病毒攻击方法, 其传播速度快, 影响面积大, 往往造成校园网击大面积用户网络不稳定、上网速度慢或网络中断。因此如何防范ARP欺骗攻击, 已成为网络管理员与用户高度关注的问题。

2 ARP和ARP欺骗的工作原理

2.1 ARP协议工作原理。

ARP是地址解析协议 (Address Resolution Protocol) 的缩写, 它是一个数据链路层协议, 工作在OSI七层模型的第二层, 它将网络层的逻辑地址 (IP) 映射到数据链路层的物理地址 (MAC) , 以便将IP报文封装成以太帧发送, 达到通过IP地址访问以太网的目的[1]。

在网络中, 主机与主机之间的通信, 必须进行MAC地址和IP地址之间的转换来完成。ARP协议的工作原理就是通过广播式的请求和单播应答将目标主机的IP地址转换为MAC地址, 通过目标主机的IP地址, 查询并翻译目标主机的MAC地址, 也就是将网络层的IP地址解析为数据链路层的MAC地址。同时将转换关系分别存放在源主机和目标主机中的ARP缓存表中, 以便查询。

2.2 ARP欺骗工作原理。

ARP欺骗攻击是利用ARP协议本身的运行机制, 可以对局域网上的机器进行攻击, 攻击主机通过发送伪造的ARP应答包来更新目标主机的ARP缓存, 从而赢得目标主机的信任, 然后再实施有效攻击或非法监听网络数据包, 造成目标主机被破坏或机密信息泄漏等一系列灾难性后果, 甚至使整个局域网陷于瘫痪。因此通过分析ARP协议的运行机制和ARP攻击手段, 研究一种准确侦测和安全防御ARP欺骗攻击的方案变得十分必要[2]。

3 ARP欺骗的攻击手段

随着网络技术的不断发展, 校园网给学校的管理、工作、学习、生活带来了方便, 同时也给信息安全提出了更大的挑战。通过近几年对校园网内不同程度爆发的几种典型ARP欺骗深入分析, ARP欺骗的攻击方式也不断变化, 除了众多的ARP攻击工具, 许多病毒也采用了ARP欺骗技术, 其攻击方式更多样化和复杂化, 破坏力也比以前更大。利用ARP欺骗进行攻击的表现方式主要有以下几种:

3.1 冒充主机, 阻碍网络通信。

冒充网内一台主机或是并不存在的IP地址和MAC地址以广播的形式不断向同一子网的其他机器发送假冒的ARP请求包或者ARP应答包, 散播虚假的IP、MAC映射关系, 导致网内其他主机的ARP表混乱, 欺骗网络中主机的正常通信。当冒充的主机是该网段的网关时, 就会导致网内所有机器全部断网。

3.2 数据监听, 篡改数据包。

当一台主机感染带有ARP欺骗功能的病毒后, 会在网内发送正确的ARP协议, 它本身并不是病毒, 所以一般的杀毒软件堵它无效, 但是它会监听局域网内所有主机的数据包, 截取并篡改网络上访问网页的数据包, 在被访问的网页代码里加入包含有木马程序的恶意网页链接。从而导致局域网内其它主机不管访问什么网站都会被导引到含有木马程序的网页。该网页连接会利用多种系统漏洞, 向电脑种植木马病毒, 久而久之导致该网段内所有机器都中病毒。

3.3 以中间人方式截获数据。

该种方式建立于冒充方式的基础上, 非法主机将自己插入两台主机的通信路径之间, 当其中一台主机 (下述主机A) 发送ARP请求后, 非法主机也可以收到主机A的ARP请求, 并且再发送一个几乎与主机A所发送的ARP请求相同的请求。同时非法主机发送的ARP请求更改了另一台主机 (下述主机B) 的ARP缓存表, 使主机B误认为主机A的物理地址为是非法主机的物理地址, 这样非法主机就在主机A和主机B之间充当中间人的角色, 监听主机A和主机B之间的通信。所有A与B之间传输的数据都将经过非法主机, 再由非法主机分别转发给主机A和主机B。特别是当目标主机是一台DHCP服务器时, 非法主机便可以冒充合法的DHCP服务器, 然后为DHCP客户端分配一个经过修改的DNS服务器地址, 在用户毫无察觉的情况下被引导至预先配置好的钓鱼网站, 进而骗取用户的账号和密码[3]。

4 高校校园网状况

目前, 所有国内几乎所有高校都或多或少的出现过ARP欺骗类病毒爆发的现象, 这种现象与高校校园网的管理混乱和复杂的网络用户群体是密不可分的, 具体来说高校校园网有如下几个特点:

4.1 网络基础环境良好。

二十世纪九十年代, 国内各高校相继开始组建校园网络, 百兆、千兆校园网络普遍存在, 万兆校园网络屡见不鲜, 校园网的用户群体一般也比较大, 少则千人多则万人, 高校学生住宿一般比较集中, 由于校园网带宽高用户量大的特点, 网络安全问题尤其是病毒传播比较快, 对网络的影响比较严重。

4.2 校园网管理的混乱。

随着校园网诞生的同时, 高校也相继成立了校一级别的网络管理部门, 负责学校的网络环境的建设和规划, 但校园网中的计算机的购置和管理情况却异常复杂, 学生公寓中的电脑一般是学生自己购买、自己维护, 教师办公用机和学校教学用机都是由各个部门统一采购。在这种情况下不可能做到所有的上网主机实施统一的安全政策。

4.3 用户群体的安全意识差。

在上网用户群体中, 高学学生通常是最活跃的网络用户, 对网络新技术充满好奇, 勇于尝试, 但在求知的同时却往往忽视了安全意识, 有些学生在无意中成为网络病毒的传播者, 更有甚者少数学生会尝试使用网上学到的、甚至自己研究的各种攻击技术, 同样对网络造成一定的影响和破坏。

4.4 网络环境的开放性。

在高校由于教学和科研的特点决定了校园网络环境应该是开放的, 建设了许多多媒体教室和机房, 相对而言这些教室和机房的管理也是较为宽松的。企业网可以限制允许Web浏览和电子邮件的流量, 甚至限制网络访问的端口, 但是校园网一般不能实施过多的限制, 否则一些新的应用、新的技术很难在校园网内部实施。有时却必须为一些特殊的服务开启特别的端口, 这也为黑客和病毒的攻击打开了通道[4]。

5 ARP欺骗的检测

基于ARP所有的攻击都是从PC终端上发起的, 如果能从终端操作平台采取防范措施, 这些不安全因素将从终端源头被控制的思想, 从局域网中的每个终端入手, 提出防范ARP攻击的主要思路:对每个主机发送和接收的ARP报文进行一致性检测, 丢弃ARP头信息不一致的ARP报文;采用主动探测的方式, 对接收的ARP报文实施发送方身份认证, 拒绝未通过认证的报文, 并且告警;接收ARP协议报文的顺序是先发送请求后接收应答, 拒绝无请求型应答, 防范其它主机对本机的ARP攻击;检查其发送的ARP报文中的源MAC地址和IP地址是否与本机一致[5], 这样可有效的杜绝主机被非法操纵发起对其它机器的ARP攻击, 实现了针对本机的攻击行为的拦截。

6 ARP欺骗的防护

针对高校校园网覆盖面积大、应用广、用户多的特点, 对与ARP欺骗的防护不可能从一个个主机做起, 应该从根本上解决问题所在, 所以应利用校园网的路由交换设备的功能来进行彻底的防护。

6.1 建立双向的静态映射。

ARP病毒攻击的最根本原理是改变IP与MAC地址的对应关系。所以, 可以采取静态MAC地址表法防范。主机或交换机的IP--MAC地址映射表使用手工维护, 输入之后不再动态更新, 显然可以避免ARP病毒的攻击。ARP病毒攻击形式有攻击路由器ARP表和攻击计算机ARP表两种, 因此静态IP--MAC地址映射也有路由器ARP表的静态映射和计算机本地ARP表的静态映射。

双向设置静态映射其实需要设置三个, 即局域网内计算机需要设置本机IP地址和对应的MAC地址、网关的IP地址和对应的MAC地址, 然后还要在路由器上设置客户机的IP地址和对应的MAC地址的静态映射。但是, 这种方法的缺陷也很明显, 采用此方式设置静态ARP缓存, 管理员需要定期轮询, 检查主机上的ARP缓存。

6.2 VLAN和端口隔离。

根据校园网用户使用网络的不同, 在交换机上采用VLAN技术, 将局域网内的主机分成若干个网段, 网段之间都不能直接通信, 将ARP的广播风暴控制在最小范围;同时采用端口隔离技术, 将不同的主机隔离, 只有上层VLAN全局可见, 下层VLAN相互隔离。即保证接入用户可以通过VLAN的端口与外网相连, 又将每个端口广播局限在本VLAN内, 隔离用户的广播报文, 防止相互探测, 防止内部用户的ARP欺骗。

6.3 DHCPSnooping技术。

如果校园网内主机的IP地址是由DHCP服务器动态分配的, 同一主机 (MAC地址唯一) 不同时间获得的IP地址并不相同。因此不能在交换机上对IP与MAC地址进行静态绑定, 交换机的ARP缓存表必须是动态可更新的。DHCPSnooping技术是DHCP安全特性, 通过建立和维护DHCPSnooping绑定表过滤不可信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。交换机上连接普通主机的端口在发送ARP报文时受到交换机检测, 报文中IP与MAC地址对必须与DHCPSnooping检测并记录的主机当时动态申请的IP地址相符。这样中毒主机就无法发送虚假的ARP报文了。

6.4 使用ARP服务器。

在局域网内架设ARP服务器, 替代主机应答ARP包。效果较明显, 但配置复杂, 需要改变客户端设置。

7 结论

由于ARP协议制定时间较早, 当时针对协议的缺陷考虑不周, 使得ARP病毒攻击成为校园网中常见的入侵攻击方式。本文仅介绍如何在校园网内进行ARP病毒的检测与其相关防范策略, 但仍未做到完全避免ARP病毒的入侵, 这仍有待于继续探讨。在解决问题的同时, 更重要的是通过发现问题和解决问题去规范校园网的管理, 只有不断积累和总结, 不断发现问题和解决问题, 才能使校园网络安全、顺畅。

参考文献

[1]罗琳.校园网ARP欺骗分析与防范检测技术[J].电脑知识与技术, 2009 (3) .

[2]张昊, 杨静.基于ARP欺骗的网络监听检测技术研究[J].安徽科技学院学报, 2011 (3) :34-38.

[3]孔祥翠, 郭爱章, 耿玉水.校园局域网防ARP病毒的研究和解决[J].计算机安全, 2008 (3) :95-96, 100.

[4]黄玉春, 王自南.浅谈局域网中的嗅探原理和ARP欺骗[J].大众科技, 2006 (8) :84.

arp病毒欺骗查找与预防方法篇2

ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。

二、ARP病毒发作时的现象

网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。

三、ARP病毒原理 3.1 网络模型简介

众所周知，按照OSI(Open Systems Interconnection Reference Model 开放系统互联参考模型)的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能，如图1：

图1 OSI网络体系模型

然而，OSI的模型仅仅是一个参考模型，并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型，将网络划分为四层，每一个层次上也运行着不同的协议和服务，如图2。

图2 TCP/IP四层体系模型及其配套协议

上图中，蓝色字体表示该层的名称，绿色字表示运行在该层上的协议。由图2可见，我们即将要讨论的ARP协议，就是工作在网际层上的协议。3.2 ARP协议简介

我们大家都知道，在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为 12个16进制数，每2个16进制数之间用―-‖或者冒号隔开，如：00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的 MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP协议完成。

ARP全称为Address Resolution Protocol，地址解析协议。所谓―地址解析‖就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就涉及到了另外一个概念，ARP缓存表。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。下面，我们用一个模拟的局域网环境，来说明ARP欺骗的过程。3.3 ARP欺骗过程

假设一个只有三台电脑组成的局域网，该局域网由交换机(Switch)连接。其中一个电脑名叫A，代表攻击方；一台电脑叫S，代表源主机，即发送数据的电脑；令一台电脑名叫D，代表目的主机，即接收数据的电脑。这三台电脑的IP地址分别为192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分别为MAC_A，MAC_S，MAC_D。其网络拓扑环境如图 3。

图3 网络拓扑

现在，S电脑要给D电脑发送数据了，在S电脑内部，上层的TCP和UDP的数据包已经传送到了最底层的网络接口层，数据包即将要发送出去，但这时还不知道目的主机D电脑的MAC地址MAC_D。这时候，S电脑要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台电脑的MAC地址，如果有，那很好办，就将封装在数据包的外面。直接发送出去即可。如果没有，这时S电脑要向全网络发送一个ARP广播包，大声询问：―我的IP是192.168.0.3，硬件地址是MAC_S，我想知道IP地址为192.168.0.4的主机的硬件地址是多少？‖ 这时，全网络的电脑都收到该ARP广播包了，包括A电脑和D电脑。A电脑一看其要查询的IP地址不是自己的，就将该数据包丢弃不予理会。而D电脑一看IP 地址是自己的，则回答S电脑：―我的IP地址是192.168.0.4，我的硬件地址是MAC_D‖需要注意的是，这条信息是单独回答的，即D电脑单独向 S电脑发送的，并非刚才的广播。现在S电脑已经知道目的电脑D的MAC地址了，它可以将要发送的数据包上贴上目的地址MAC_D，发送出去了。同时它还会动态更新自身的ARP缓存表，将192.168.0.4－MAC_D这一条记录添加进去，这样，等S电脑下次再给D电脑发送数据的时候，就不用大声询问发送ARP广播包了。这就是正常情况下的数据包发送过程。

这样的机制看上去很完美，似乎整个局域网也天下太平，相安无事。但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。比如在上述数据发送中，当S电脑向全网询问―我想知道IP地址为 192.168.0.4的主机的硬件地址是多少？‖后，D电脑也回应了自己的正确MAC地址。但是当此时，一向沉默寡言的A电脑也回话了：―我的IP地址是192.168.0.4，我的硬件地址是MAC_A‖，注意，此时它竟然冒充自己是D电脑的IP地址，而MAC地址竟然写成自己的！由于A电脑不停地发送这样的应答数据包，本来S电脑的ARP缓存表中已经保存了正确的记录：192.168.0.4－MAC_D，但是由于A电脑的不停应答，这时S电脑并不知道A电脑发送的数据包是伪造的，导致S电脑又重新动态更新自身的ARP缓存表，这回记录成：192.168.0.4－MAC_A，很显然，这是一个错误的记录（这步也叫ARP缓存表中毒），这样就导致以后凡是S电脑要发送给D电脑，也就是IP地址为192.168.0.4这台主机的数据，都将会发送给MAC地址为MAC_A的主机，这样，在光天化日之下，A 电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程。

如果A这台电脑再做的―过分‖一些，它不冒充D电脑，而是冒充网关，那后果会怎么样呢？我们大家都知道，如果一个局域网中的电脑要连接外网，也就是登陆互联网的时候，都要经过局域网中的网关转发一下，所有收发的数据都要先经过网关，再由网关发向互联网。在局域网中，网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播，大声说：―我的IP地址是 192.168.0.1，我的硬件地址是MAC_A‖这时局域网中的其它电脑并没有察觉到什么，因为局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表，记录下192.168.0.1－MAC_A这样的记录，这样，当它们发送给网关，也就是IP地址为192.168.0.1这台电脑的数据，结果都会发送到MAC_A这台电脑中！这样，A电脑就将会监听整个局域网发送给互联网的数据包！

实际上，这种病毒早就出现过，这就是ARP地址欺骗类病毒。一些传奇木马

（Trojan/PSW.LMir）具有这样的特性，该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒，这样中毒电脑便可嗅探到整个局域网发送的所有数据包，该木马破解了《传奇》游戏的数据包加密算法，通过截获局域网中的数据包，分析数据包中的用户隐私信息，盗取用户的游戏帐号和密码。在解析这些封包之后，再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字：―传奇网吧杀手‖！

四、ARP病毒新的表现形式

由于现在的网络游戏数据包在发送过程中，均已采用了强悍的加密算法，因此这类ARP 病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒，与以前的一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是，它着重的不是对网络游戏数据包的解密，而是对于HTTP请求访问的修改。

HTTP是应用层的协议，主要是用于WEB网页访问。还是以上面的局域网环境举例，如果局域网中一台电脑S要请求某个网站页面，如想请求这个网页，这台电脑会先向网关发送HTTP请求，说：―我想登陆网页，请你将这个网页下载下来，并发送给我。‖这样，网关就会将页面下载下来，并发送给S 电脑。这时，如果A这台电脑通过向全网发送伪造的ARP欺骗广播，自身伪装成网关，成为一台ARP中毒电脑的话，这样当S电脑请求WEB网页时，A电脑先是―好心好意‖地将这个页面下载下来，然后发送给S电脑，但是它在返回给S电脑时，会向其中插入恶意网址连接！该恶意网址连接会利用MS06-014和 MS07-017等多种系统漏洞，向S电脑种植木马病毒！同样，如果D电脑也是请求WEB页面访问，A电脑同样也会给D电脑返回带毒的网页，这样，如果一个局域网中存在这样的ARP病毒电脑的话，顷刻间，整个网段的电脑将会全部中毒！沦为黑客手中的僵尸电脑！案例：

某企业用户反映，其内部局域网用户无论访问那个网站，KV杀毒软件均报病毒：Exploit.ANIfile.o。

在经过对该局域网分析之后，发现该局域网中有ARP病毒电脑导致其它电脑访问网页时，返回的网页带毒，并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个木马下载器，而该木马下载器又会下载10多个恶性网游木马，可以盗取包括魔兽世界，传奇世界，征途，梦幻西游，边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备造成了极大的损失。被ARP病毒电脑篡改的网页如图4。

图4 被ARP病毒插入的恶意网址连接

从图4中可以看出，局域网中存在这样的ARP病毒电脑之后，其它客户机无论访问什么网页，当返回该网页时，都会被插入一条恶意网址连接，如果用户没有打过相应的系统补丁，就会感染木马病毒。

五、ARP病毒电脑的定位方法

下面，又有了一个新的课题摆在我们面前：如何能够快速检测定位出局域网中的ARP病毒电脑？

面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。5.1 命令行法

这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。上文已经说过，当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下：

Internet Address Physical Address Type192.168.0.1 00-50-56-e6-49-56 dynamic 这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址！这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。5.2 工具软件法

现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARP Sniffer（现在已更名为ARP防火墙），下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。

首先打开Anti ARP Sniffer 软件，输入网关的IP地址之后，再点击红色框内的―枚举MAC‖按钮，即可获得正确网关的MAC地址，如图5。

图5 输入网关IP地址后，枚举MAC 接着点击―自动保护‖按钮，即可保护当前网卡与网关的正常通信。如图6。

图6 点击自动保护按钮

当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。如图7。

图7 Anti ARP Sniffer 的拦截记录

这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。5.3 Sniffer 抓包嗅探法

当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。如图8。

图8 用Ethereal抓包工具定位出ARP中毒电脑

从图8中的红色框内的信息可以看出，192.168.0.109 这台电脑正向全网发送大量的ARP广播包，一般的讲，局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。

以上三种方法有时需要结合使用，互相印证，这样可以快速准确的将ARP中毒电脑定位出来。

七、ARP病毒的网络免疫措施

由于ARP病毒的种种网络特性，可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑，在发送欺骗的ARP数据包，其它电脑也不会修改自身的ARP缓存表，数据包始终发送给正确的网关，用的比较多的办法是―双向绑定法‖。双向绑定法，顾名思义，就是要在两端绑定IP－MAC地址，其中一端是在路由器中，把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。令一端是局域网中的每个客户机，在客户端设置网关的静态ARP信息，这叫PC 机IP-MAC绑定。客户机中的设置方法如下：

新建记事本，输入如下命令：

arp-darp-s 192.168.0.1 00-e0-4c-8c-9a-47 其中，―arp –d‖ 命令是清空当前的ARP缓存表，而―arp-s 192.168.0.1 00-e0-4c-8c-9a-47 ‖命令则是将正确网关的IP地址和MAC地址绑定起来，将这个批处理文件放到系统的启动目录中，可以实现每次开机自运行，这一步叫做―固化arp表‖。―双向绑定法‖一般在网吧里面应用的居多。

ARP欺骗原理与防治方法篇3

关键字：ARP协议；ARP欺骗；防治

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2010) 13-0000-01

ARP Spoofing Principle and Control Methods

Yang Guohua

(Yingtan Vocational&Technical College,Yingtan335000,China)

Abstract:ARP spoofing is used by hackers basic principle of ARP protocol flaws,one in the region through the terminal or server spoofing ARP broadcast packets to publish in order to achieve steal user accounts,altering content,embedded malicious code,release negative information,illegal activities such as monitoring data transmission purposes.How to prevent ARP spoofing,network management is now the most urgent task.

Keywords:ARP protocol;ARP spoofing;Prevention

一、ARP工作原理

ARP（Address Resolution Protocol，地址解析协议）协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。以太网不能识别IP包中的IP地址，它是以MAC地址来查找目的地的，因此在以太网中进行IP通信，就需要将IP地址转换成MAC地址，让数据包能发到指定的目的主机上，这就是ARP要解决的。

ARP转换的方式有两种方式：通过主机上的ARP缓存的映射表转换；通过向网络中发送ARP请求，得到目标主机的ARP应答，应答中含有MAC地址，来进行转换。

每台主机都拥有一个ARP缓存（ARP cache），存储内容是IP地址和MAC地址的映射表，通过此表来进行IP与MAC的转换，达到局域网之间主机的数据通信。在主机上可以使用ARP–a命令进行查看。由于ARP缓存中有IP与MAC的映射表，所以主机访问某IP的主机，就可以直接查询获得目标主机的MAC地址，在數据传输中直接将数据封装为MAC帧。这样就可以减少在网络传输中每次发ARP请求，增少网络通信流量。

二、ARP欺骗原理

ARP欺骗的核心就是向目标主机发送一个伪造的ARP应答，应答中的源IP地址和MAC地址映射是伪造的。目标主机获得这种ARP应答之后，就会更新其ARP缓存，这样就建立了一种错误的映射表，当然发送到指定的IP时，就无法封装正确的MAC地址，也就无法到达目标主机。

攻击主机发送ARP欺骗一般通过两种方式：

（一）伪造ARP请求报文。攻击者发送伪造的ARP请求报文，这个伪造的IP地址和MAC地址的映射的报文，目的就是使局域网其它主机接收此报文更新其ARP缓存，来达到欺骗的目的。

（二）伪造ARP应答报文。目前大多数操作系统一旦接收ARP应答报文立即会更新其ARP缓存，而不需去验证是否自己有发送ARP请求。因此，直接伪造ARP应答报文即可实现欺骗。

三、ARP欺骗的防治措施

针对ARP欺骗的核心思想，即是更改IP地址与MAC地址的映射，可以采用以下方面：

（一）设置静态的ARP缓存。给主机添加相应静态的ARP缓存记录，目的是接收到ARP欺骗的应答报文，也不更新本机的ARP缓存，让攻击者无法达到其ARP欺骗的目的。这种方法必须人工设置IP地址和MAC地址的映射，工作量巨大，针对小型的网络比较适用。方法是在主机上使用ARP–s命令来添加静态记录。如图1所示：

（二）交换机端口与主机MAC值的绑定。将局域网中交换机的每一个端口与之相连接的主机MAC地址进行绑定，这就规定了出这个端口的MAC地址是固定的。如果该端口发现与绑定的MAC地址值不同，则交换机自动锁定此端口，使与此端口相连的主机无法连接到局域网。即攻击者发送伪造的ARP欺骗报文，端口立刻可以检测出MAC值不一样，让攻击者无法攻击网络，并中断攻击者连接网络的权利，这样也可以立刻找出攻击主机。这种方法只适合于高端的交换机，对于低端交换机是没有交换机的设置功能，无法实现。同时，如果是人为的变换了主机的连接端口，不通过管理员也无法连接到网络，例如：交换机的某一个端口坏了，连接这个端口的主机更换其他端口连接，也无法连接到网络必须经过交换机的设置才可以实现连网。

（三）使用虚拟局域网技术。虚拟局域网技术已是需要高端的网络设备才可以实现，低端的网络设备是没有网络管理配置功能，也就无法实现虚拟局域网的配置。这种方式可以让ARP欺骗局域于一个其被感染的一个虚拟网内，不会影响整个局域网的运行。由于ARP欺骗不能跨网段实施，那可以将整个局域网划分成各个小的虚拟局域网，不同网段的虚拟局域网就不会同时受到ARP欺骗的攻击，这样就减小了ARP的攻击范围，保证网络的可靠运行。

如图2所示，如A1是攻击主机，则只会影响VLAN10中的A2和A3主机，而VLAN20、VLAN30中的主机不会受影响。

特别是针对具有绝密信息的主机的局域网，更应将其划分到专用的虚拟网中，避免其他未授权终端的攻击。

参考文献：

[1]金涛.公众网络环境中的ARP欺骗攻击与防范方法[D].上海:上海交通大学,2007

ARP欺骗检测方法篇4

近年来, 在校园网上频繁出现A R P欺骗的现象。造成校园网各局域网用户全部或部分断网, 网络时断时通。影响及危害十分严重。那么ARP协议的工作原理及欺骗过程是怎样的呢?应该通过什么方法快速检测ARP欺骗主机?并且采取什么有效的方法预防ARP欺骗行为成为各个高校网络管理人员高度重视的问题。

2 ARP协议的工作原理及欺骗过程

2.1 ARP协议的工作原理

在以太网中, 数据包是通过4 8位MAC地址而不是通过IP地址来传送的, 在局域网中, 一台主机要与另一台主机进行通信, 就必须知道目标主机的MAC地址。ARP协议的作用就是负责将网络层的IP地址转换成数据链路层的MAC地址。在同一个网段中, 每台主机都有一个存放着其它主机IP地址和MAC地址对应关系的ARP缓存, 当一台主机要和另一台主机通信时, 源主机首先查找ARP缓存是否有目标主机的MAC地址, 如果存在目标主机IP地址和MAC地址的对应关系, 就直接构建连接关系并发出数据包, 否则就在局域网中发出ARP请求广播报文, 要求得到目标主机的MAC地址;局域网中的非目标主机并不作相应的应答, 而目标主机得到此广播报后就会将源主机的IP地址和MAC地址添加到自己的ARP缓存中, 并发给源主机一个包含目标主机MAC地址信息的应答报文, 源主机收到这个应答报文后, 将目标主机IP地址和MAC地址的对应关系添加到自己的ARP缓存中并开始通信。

2.2 ARP欺骗过程

从ARP协议的工作原理中我们可以看出, ARP协议设计的前提是运行在彼此相互信任的网络环境下, 那么就很容易实现在以太网上的ARP欺骗。假如对源主机进行欺骗, 当源主机在其ARP缓存中无法找到目标主机的MAC地址, 就在局域网中发一个广播报文进行询问。此时, 假如把目标主机的MAC地址欺骗为一个非目标主机的MAC地址, 那么源主机发送到目标主机上的数据包就都发送到ARP欺骗主机上了。这种欺骗的最终结果就是导致源主机和目标主机之间不能正常进行通讯, 如果欺骗行为表现为对网关MAC地址的欺骗, 就会导致整个网段全部或部分主机断网。

3 ARP欺骗主机的检测

ARP攻击对局域网的正常上网的危害是十分严重的, 对于网络管理人员来说最重要的就是要尽快检测到ARP欺骗主机, 并及时采取相应的措施将ARP欺骗主机从网络中隔离, 从而实现第一时间恢复网络的正常运行。

ARP欺骗行为表现为欺骗局域网内的所有主机和欺骗网关两种。当ARP欺骗行为发作时, 局域网内所有主机的ARP缓存表中的网关的MAC地址表现为ARP欺骗主机的MAC地址, 而在网关的ARP缓存表中, ARP欺骗主机的MAC地址替换了局域网内所有活动主机的MAC地址;前者使得局域网内主机发往网关的数据包均发送给ARP欺骗主机;而后者使得网关发送给局域网内主机的数据包均发送给ARP欺骗主机。

鉴于ARP欺骗行为的表现方式, 检测ARP欺骗主机主要可以通过客户端主机和网络层交换设备来定位。

3.1 通过不能正常上网的客户端主机检测

可以使用几种方法通过不能上网的客户端主机来检测ARP欺骗主机

方法一:在不能正常上网的客户端主机上, 打开MS-DOS窗口, 输入arp–a命令运行。可以看到网关ip地址和网关MAC地址的对应关系, 比较这个MAC地址与真正的网关MAC地址不同, 则拥有这个MAC地址的主机就是ARP欺骗主机。

方法二:在不能正常上网的客户端主机上, 打开MS-DOS窗口, 输入tracert www.sohu.com (任意一个电信网或教育网的地址) 命令运行。在跟踪这个地址的同时, 我们发现第一跳的ip地址并不是网关地址, 则拥有这个非网关ip地址的第一跳地址的主机就是ARP欺骗主机。

方法三:在不能正常上网的客户端主机上, 使用sniffer或其它抓包工具, 发现某个ip地址不断向其发送请求数据包, 那么拥有这个ip地址的主机就是ARP欺骗主机。

3.2 通过网络层交换设备检测

网络层交换设备即是局域网各主机网关地址所在的设备, 可以根据主机的ip地址和MAC地址是否在网络层交换设备上实现静态绑定而采取不同的方法来检测ARP欺骗主机。

本文所涉及的网络配置和命令均以我校使用的Alcatel OmniSwitch系列产品为例。

方法一:当主机的ip地址和MAC地址未在网络层交换设备上实现静态绑定时, 使用show arp命令查看其ARP缓存表, 发现某一个MAC地址同时占用了很多同一局域网的i p地址, 则拥有这个MAC地址的主机就是ARP欺骗主机。

方法二:当主机的ip地址和MAC地址在网络层交换设备上实现静态绑定时, 使用show log swlog命令查看交换机日志, 发现某一个MAC地址试图占用同一局域网的其它ip地址, 从而产生了与原静态地址绑定不匹配的警告信息, 则拥有这个MAC地址的主机就是ARP欺骗主机。

4 隔离ARP欺骗主机

当检测到了ARP欺骗主机之后要迅速采取有效方法将ARP欺骗主机隔离出局域网, 从而尽快恢复其所在局域网的网络通畅。本文在数据链路层和网络层同时采取措施, 从而使ARP欺骗主机完全从局域网中隔离。

在数据链路层进行配置:进入接入层交换机, 找到ARP欺骗主机MAC地址对应的交换机端口, 并且把此端口的工作状态设置为disable或down状态, 这样这个交换机端口将停止传送任何数据, 从而将ARP欺骗主机从本局域网中隔离。

在网络层进行配置:进入网络层交换设备, 定义一条关于MAC地址的ACL (Access Control List) 访问控制规则, 要求将ARP欺骗主机作为源主机发送出来的所有数据包全部丢弃, 这样即使ARP欺骗主机使用者将主机更换了物理端口, 即相当于更换了接入层交换机端口, 也无法正常上网, 从而真正做到了将ARP欺骗主机从校园网中隔离。

5 ARP欺骗的预防

ARP欺骗的预防措施关系到整个校园网是否能够长期稳定运行。本文从客户端主机、数据链路层和网络层同时采取措施, 从而实现了在校园网内全面预防ARP欺骗的局面。

5.1 在客户端主机上实现网关ip地址与MAC地址的静态绑定

在网络正常运行的情况下, 进入MS-DOS窗口, 输入arp-a命令运行, 查看网关IP地址及其对应的MAC地址, 再使用arp-s[网关ip地址][网关MAC地址]命令将其绑定。这样便将网关ip地址与正确的网关M A C地址进行了绑定, 使得局域网内进行ARP欺骗的主机无法对其再进行网关欺骗。

为了防止计算机重启后ARP静态绑定失效, 可以把上述命令做成一个*.bat批处理文件, 并放在操作系统的启动里, 使得系统在启动的同时便将网关i p地址和MAC地址进行了静态绑定。批处理文件内容如下:

arp-s[网关ip地址][网关MAC地址]

对于终端用户, 由于网络知识的缺乏和操作的错误, 往往会将网关的ip地址和MAC地址绑定错误, 为了保证用户能将正确的网关i p地址和M A C地址进行绑定, 我们将每个局域网网段网关的静态绑定批处理文件放在校园网上供用户下载使用。

5.2 在接入层交换机上进行VLAN划分和端口隔离

由于ARP欺骗的行为只能在同一个网段内产生效果, 所以在接入层交换机上按照实际应用划分VLAN对防治ARP欺骗是很重要的。例如:在某一个区域内, 存在普通上网用户以及为全校师生提供某种服务的服务器, 那么要将普通网络用户和服务器划分到不同的VLAN中, 以免发生ARP欺骗行为时, 影响整个学校的网络服务。

而在正常的网络管理和维护中, 细分VLAN是很不现实的, 现在很多接入层交换机都具备端口隔离的功能, 将一台接入层交换机的所有下连端口启用端口隔离功能, 那么这些下连端口之间便不允许直接进行数据通讯, 每个下连端口都只能与上连端口通讯, 从而通过上连端口实现下连端口之间的数据传输。这种方法解决了多种与以太网广播报文相关的安全问题。由于ARP欺骗行为正是通过在局域网内发送广播报文, 所以在接入层交换机上启用端口隔离功能对预防ARP欺骗行为有很好的效果。

5.3 在网络层交换设备上将用户的ip地址与MAC地址进行绑定

我校的上网环境使用静态IP地址, 可以通过绑定用户IP地址和MAC地址解决ARP欺骗主机对同一局域网内其他主机的欺骗行为, 为了切实有效地预防ARP欺骗, 在网络层交换设备上对IP地址和MAC地址进行静态绑定。虽然工作量较大, 但对预防ARP欺骗攻击以及迅速定位ARP欺骗主机都有着明显的效果。

6 结语

目前我校使用了网络用户管理系统, 系统中记录了每一个网络用户的ip地址分配情况、个人信息以及联系方式, 我们在具备端口隔离功能的接入层交换机上启用端口隔离功能, 并在网络层交换设备上对每一个用户的ip地址和MAC地址进行绑定, 然后定时查看交换机日志, 发现某个MAC地址试图占用同一网段的其它ip地址, 确认为ARP欺骗主机后, 在数据链路层和网络层同时将此主机从校园网中隔离, 再从网络层交换设备ARP缓存表中找到这个MAC地址对应的真正ip地址, 最后查看网络用户管理系统找到客户端用户, 通知其处理完病毒后再开通网络。整个过程简单高效, 对各个高校处理ARP欺骗及ip地址盗用行为具有很好的借鉴意义。

参考文献

[1]崔北亮, 杨小健.针对校园网中ARP攻击的防御[J].南京工业大学学报.2007;29 (5) :79-81

[2]杨延朋.校园网络ARP协议欺骗的检测与防御[J].鞍山科技大学学报.2007;30 (2) :164-168

浅谈ARP欺骗原理与解决方法篇5

1 ARP协议简介和工作原理

1.1 ARP协议简介

ARP,中文名为地址解析协议,全称Address Resolution Protocol,工作在数据链路层,将电脑的32位IP地址解析为48位的MAC地址,保证网络通信的顺利进行。具体说来,ARP就是将网络层(OSI的第三层)IP地址解析为数据链路层(OSI的第二层)的物理地址[1]。

1.2 ARP协议的工作原理

装有TCP/IP协议的电脑中都有一个已生成的ARP缓存表,表中的一组IP地址和MAC地址对应一台电脑,如下图。

以电脑A(172.31.50.1)向电脑B(172.31.50.2)发送数据为例,电脑A先在ARP缓存表中寻找是否有电脑B的IP地址。如找到电脑B的IP地址,直接把MAC地址写入帧里面发送;如没有电脑B的IP地址,电脑A会在局域网内发送一个广播,向本网段的所有电脑询问:“172.31.50.2的MAC地址是多少呀?”其他电脑不回应这一询问,只有电脑B接收到才向电脑A作出回应:“172.31.50.2的MAC地址是bb-bb-bb-bb-bb-bb。”电脑A知道了电脑B的MAC地址,就可对电脑B发送信息了。同时,更新了自己的缓存表,下次再对B发送数据时,直接在缓存表找即可。ARP缓存表采用老化机制,删除长时间不用的地址组,可以缩短缓存表的长度,加快查询速度[2]。

2 ARP协议欺骗原理

从ARP协议漏洞分析可知,应答可随意发送,并非只有发送了ARP请求后才回应。当电脑接收到ARP应答数据包时,对ARP缓存表进行更新,将IP和MAC地址对应存储在缓存中。当局域网中的电脑B向电脑A发送一个伪造的ARP应答,此应答是电脑B冒充电脑C伪造出来的,即IP地址为172.31.50.3,对应的MAC地址是bb-bb-bb-bb-bb-bb,当电脑A接收到电脑B伪造的ARP应答后,就会更新ARP缓存,这样电脑B与A之间的通信替代了C与A之间的通信[3]。

ARP攻击是通过伪造IP和MAC地址的对应关系实现ARP欺骗,产生大量的ARP通信数据包使网络阻塞,攻击者只要接连不断地发送伪造的ARP响应包,就可更改目标电脑缓存表中的IP-MAC条目,引起网络中断或中间人攻击等不良后果。

3 ARP欺骗的诊断方法

3.1 利用ARP缓存表查找

任意选两台不能上网的电脑,在DOS窗口下运行arp-a命令。如两台电脑的缓存表中除了有网关的IP-MAC地址对应项外,都包含有172.31.50.3的IP地址,则可断定IP地址是172.31.50.3的电脑就是攻击者。

3.2 利用命令诊断ARP欺骗

如发现电脑上网异常现象,可通过如下操作判断电脑是否被ARP攻击:

点击“开始”按钮—选择“运行”—输入命令“arp–d”—点击“确定”按钮,然后重新上网,如能恢复正常,说明掉线可能是ARP欺骗引起。arp-d命令只能用于清除并重建缓存表,不能抵御ARP欺骗,执行后可能再次遭受攻击。

4 ARP欺骗后的解决办法

(1)对感染ARP病毒者,使用杀毒软件清除病毒,最彻底的办法是对受感染电脑重新安装系统。

(2)对被ARP欺骗者,手动绑定网关mac地址。方法如下:

(a)获得路由器的内网MAC地址(例如网关地址172.31.1.1的MAC地址为aa-aa-aa-aa-aa-aa)。

(b)编写批处理文件AntiArp.bat内容如下:

@echo off

arp -d

@echooffarp-darp-s172.31.1.1aa-aa-aa-aa-aa-aa

将该批处理文件AntiArp.bat拖到“windows—开始—程序—启动”中。开机时该批处理就自动执行了。

(3)安装ARP防火墙软件,主动抵御ARP攻击。可显著防范被ARP欺骗,并能快速检测出感染电脑的MAC地址,找到进程路径后,选择终止该进程,清除病毒文件。

(4)对交换机进行IP和MAC地址的动态绑定

思科Dynamic ARP Inspection(DAI)在交换机中提供IP和MAC地址的绑定技术,可动态建立绑定关系。DAI是以DHCP Snooping绑定表为基础,对没有使用DHCP服务器的个别电脑,可通过静态添加ARP access-list实现绑定。DAI配置是针对VLAN,对同一VLAN内的端口可开启DAI也可关闭。DAI通过控制端口的ARP请求数据包数量,达到防范ARP攻击的目的。

5 结束语

上面谈到ARP欺骗造成局域网网络异常,让被欺骗的计算机不能正常访问内外网,甚至造成大面积的网络瘫痪;现在我们根据ARP协议欺骗原理和攻击方式,对ARP欺骗电脑进行强有力的查杀,彻底处理,让ARP木马程序无处可藏,从而告别ARP欺骗净化网络环境,营造安全文明健康的网络氛围。

摘要：大部分局域网都受到过ARP欺骗的攻击,这严重影响了正常工作和学习。鉴于此现象,本文通过ARP协议原理揭穿ARP欺骗,并提出相应的处理措施。

关键词：ARP协议,欺骗,IP地址,MAC地址,缓存

参考文献

[1]查普尔,蒂特尔.TCP/IP协议原理与应用[M].北京:清华大学出版社,2009.

[2]程秉辉.IP网络安全技术[M].北京:人民邮电出版社,2008.

ARP欺骗的原理及解决方法篇6

在介绍ARP之前, 我们先介绍下什么是MAC地址, MAC地址是烧录在Network Interface Card (网卡, NIC) 里的。MAC地址, 也叫硬件地址, 是由48比特长 (6字节) , 16进制的数字组成.0-23位是由厂家自己分配.24-47位, 叫做组织唯一标志符 (organizationally unique, 是识别LAN (局域网) 节点的标识。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM (一种闪存芯片, 通常可以通过程序擦写) , 它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。

我们知道在互联网当中, IP地址是唯一的, 也就是说一旦确定了IP地址, 即可以向接收端的IP地址发送数据信息, 进行信息的传输。但在局域网 (确切地说是在数据链路层) 中进行数据传输时刚必须通过MAC地址进行通信, 所以就需要一种协议来解决从IP地址到MAC地址的办法。

ARP是解析地址的协议。也就是说, 所获得接收端的IP地址, 只是在想知道下一个接收机器的MAC地址时才加以利用。当接收端主机不在同一条数据链路的情况下, 使用ARP来检查下一个应该发送的网关的MAC地址。

二、ARP工作原理

假设局域网中有主机A和主机B两台计算机, 主机A有向主机B发送数据的需求, 但还不清主机B的MAC地址, 则其先向网络中发送一个包含主机B的IP地址的广播包。同一网段内的所有计算机都会收到这个广播包, 并对该包的内容进行分析, 当主机B发现目标IP地址就是自己的IP地址时, 则将自己的MAC地址附加到ARP应答包中, 返回主机A, 其它主机由于分析这个ARP广播包的IP地址不是自己的IP, 所以丢弃该包。主机A收到主机B发送的应达包后, 会将主机B的MAC地址存入到自己主机的缓存中, 在接下来的一段时间内, 直接从缓存中得到主机B的MAC地址并进行通信即可。

由于ARP协议能够自动地解析地址, 因此, 在使用TCP/IP通信的情况下, 人们并没有意识到MAC地址的存在, 只需考虑IP地址即可, 这也是人们忽略ARP协议存在的原因。

三、ARP协议的缺陷:

ARP协议是建立在互相信任的基础上的, 效率很高, 但存在安全隐患, 因为它只要收到一个ARP报文就会更新自己的缓存, 而不去验证自己是否发了这样的请求。所以就为ARP的欺骗提供了可能, 一些有恶意的站点一旦发布虚假的ARP报文, 就会干扰正常的上网秩序。

例如:局域网当中现有主机A, 主机B, 主机C三台计算机, 主机A有需求和主机B进行通信, 则主机A会发送一个ARP包广播当局域网当中, 主机B会发送应答包, 在主机A收到后, 将主机B的MAC地址存入缓存, 并开始通信。但如果主机C此时也发送一个ARP应答包, 告诉主机A它是主机B, 并将它自己的MAC地址发送给主机A, 则主机A在收到后会不加验证的将主机C的MAC地址存入缓存中并覆盖真正主机B的MAC地址, 这样一来, 主机A发给主机B的信息, 就全部发给了主机C了。

而在实际当中, 攻击者或中了ARP病毒计算机往往会伪装成网关的物理地址, 使得所有发往网关的数据全部发给了攻击者, 从而造成了局域网的瘫痪。

四、解决ARP攻击的方法:

1、绑定

用户在各自上网的计算机当中进行绑定:首先从网管人员那里得到正确的网关IP地址和MAC地址, 或者是在命令提示符下输入arp-a如图

然后继续在命令提示符下输入如下信息:Arp-s IP地址MAC地址。

本例中输入arp-s 192.168.110.251 00-0f-e2-7f-22-58即可。

如果觉得每次输入都较繁琐的话, 那我们可以做个批处理文件, 然后将其放入启动文件夹下, 每次开机后, 都会自动运行绑定网关程序。

批生理文件制作如下:

打开文本程序, 输入下列命令:

@echo off

Arp-d/清空arp缓存

Arp-s 192.168.110.251 00-0f-e2-7f-22-58/绑定网关的IP与MAC地址

最后要保存为BAT文件。

2、交换机绑定

在三层交换机上将所有上网的计算机的IP地址与MAC地址绑定。这样做虽然比较繁琐, 但可以在最大限度上防止ARP台骗以及盗用IP地址情况的发生, 具体操作视不同交换机命令有所不同, 下面以H3C的9508交换机为例进行操作:

3、使用专用软件

目前, 具有防护ARP欺骗功能的软件也较多, 较常见的有瑞星, 360安全卫士卫士, Anti-ARP等都有该功能, 它们的工作原理有的是以一定的频率向网络广播正确的ARP信息, 有的是将网关的IP地址与MAC地址绑定, 一旦收到与原网关MAC地址不同的信息时, 会及时报警。总之, 这些软件在一定程度上都能做到防护ARP欺骗, 所以建议读者务必安装。

本文主要介绍了ARP协议的工作原理, 以及由于设计缺陷而造成的ARP欺骗的解决方法, 目前此类病毒在高校和企事业单位还是比较严重的, 为了更好的防御, 建议还是多用几种防御的方法, 以加强网络的健壮性、安全性。

摘要：近年来, 大学校园网或多或少的会受收到ARP欺骗的侵扰, 这在一定程度上干扰了正常的教学秩序和工作秩序, 本文从ARP协议的工作原理出发, 找出ARP协议的缺陷及ARP欺骗的手段, 结合实际工作提出解决ARP欺骗的方法。

关键词：ARP,ARP欺骗,MAC地址

参考文献

[1].竹下隆史, 村山公保.TCP/IP综合基础篇[M].北京:科学出版社, 2004.

[2].吴小平.基于SNMP的ARP欺骗主动防御机制[J].华中师范大学学报, 2007 (4) .

ARP欺骗检测方法篇7

ARP是Address Resolution Protocol (地址解析协议) 的缩写。在以太网中, 同一网络的两台主机通信, 必须知道目标主机的MAC地址。ARP是将网络层 (OSI第三层) IP地址解析为数据链路层 (OSI的第二层) MAC的物理地址。ARP的基本功能就是通过目标主机的IP地址, 查询目标主机的MAC地址。

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 如表1所示。

本文以主机A (192.168.1.1) 向主机B (192.168.1.2) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么?”网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.1.1的MAC地址是bb-bbbb-bb-bb-bb”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。

2 ARP欺骗的原理

ARP是建立在主机之间相互信任的基础之上, ARP协议没有过多的考虑安全问题, 存在许多的安全隐患, ARP欺骗就是利用协议的漏洞, 通过伪造IP地址与MAC地址来实现的欺骗攻击。

假设一个网络环境中, 网内有三台如表1主机A、B、C。正常情况下A和C之间进行通讯, 但是此时B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了) 。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A被欺骗了) , 这时B就伪装成C了。同时, B同样向C发送一个ARP应答, 应答包中发送方IP地址192.168.10.1 (A的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB (A的MAC地址本来应该是AA-AA-AA-AA-AA-AA) , 当C收到B伪造的ARP应答, 也会更新本地ARP缓存 (C也被欺骗了) , 这时B就伪装成了A。这样主机A和C都被主机B欺骗, A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么。这就是典型的ARP欺骗过程。

ARP欺骗分为二种, 一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是———截获网关数据。它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 结果路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息。第二种ARP欺骗的原理是———伪造网关。利用交换机的MAC地址学习机制, 当局域网内某台已经感染ARP欺骗的木马程序, 就会欺骗局域网内所有的主机和路由器, 让所有上网的流量都必须经过病毒主机。

3 在交换机上定位ARP攻击源

在局域网内发现ARP攻击时, 分以下步聚完成定位和切断ARP攻击源。

第一步:登录到该网段连接的汇聚层交换机, 输入命令Switch#show arp, 查看交换机的动态ARP表中的内容, 交换机会出现不同的用户IP地址对应相同MAC地址, 此MAC地址即为ARP攻击源计算机的MAC地址, 记录下该MAC地址 (假设为aaaa.aaaaaaaa) ;

第二步:登录到该网段的接入层交换机, 输入命令Switch#show mac-add mac aaaa.aaaa.aaaa, 交换机显示该MAC地址对应的端口 (假设为fas0/24) ;

第三步:输入命令Switch (config) _#inter fas0/24, 进入对应的端口;

第四步:输入命令Switch (config-if) #shotdown, 关闭端口切断攻击源;

第五步:找到该MAC地址的计算机, 进行杀毒清除工作, 确认计算机清理干净后, 登录该接入层交换机使用no shutdown命令激活该接口。

4 在交换机上阻止ARP欺骗

在交换机上进行IP地址与MAC地址的绑定既可以有效防范内网用户盗用IP地址, 又可以对ARP攻击起到事半功倍的作用。现介绍两种方案在交换机上实现IP地址与MAC地址绑定。

方案1:

方案2:

5 结论