ARP攻击防范

ARP攻击防范（精选十篇）

ARP攻击防范篇1

ARP协议是Address Resolution Protocol (地址解析协议) 的缩写。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

2 ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。以主机A (168.168.10.1) 向主机B (168.168.10.2) 发送数据为例。当发送数据时, 主机A的ARP缓存表如果有B的MAC地址则直接把目标MAC地址写入帧里发送就可以了;如果没有, 主机A就会在网络上发送一个目标MAC地址是“FF.FF.FF.FF.FF.FF”的广播, 这表示向同一网段内的所有主机发出这样的询问:“168.168.10.2的MAC地址是什么?”网络上其他主机并不响应ARP询问, 只有主机B才向主机A做出这样的回应:“168.168.10.2的MAC地址是00-aa-00-62-c6-09”。这样, 主机A就知道了主机B的MAC地址, 并自动更新自己的ARP缓存表。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除以加快查询速度。

3 常见ARP攻击类型

常见的ARP攻击有两种类型:ARP扫描和ARP欺骗。

3.1 ARP扫描 (ARP请求风暴)

通讯模式:请求→请求→请求→请求→请求→请求→应答→请求→请求→请求……

描述:网络中出现大量ARP请求广播包, 几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。

出现原因:

(1) 病毒程序, 侦听程序, 扫描程序;

(2) 如果网络分析软件部署正确, 可能是只镜像了交换机上的部分端口, 所以大量ARP请求是来自与非镜像口连接的其它主机发出的;

(3) 如果部署不正确, 这些ARP请求广播包是来自和交换机相连的其它主机。

3.2 ARP欺骗

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中, 有人发送一个自己伪造的ARP应答, 网络可能就会出现问题。

假设一个网络环境中, 网内有三台主机, 分别为主机A、B、C。主机详细信息如下描述:

A的地址为:IP:192.168.10.1

MAC:AA-AA-AA-AA-AA-AA;

B的地址为:IP:192.168.10.2

MAC:BB-BB-BB-BB-BB-BB;

C的地址为:IP:192.168.10.3

MAC:CC-CC-CC-CC-CC-CC。

正常情况下A和C之间进行通讯, 但是此时B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A被欺骗了) , 这时B就伪装成C了。同时, B同样向C发送一个ARP应答, 应答包中发送方IP地址四192.168.10.1 (A的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB, 当C收到B伪造的ARP应答, 也会更新本地ARP缓存 (C也被欺骗了) , 这时B就伪装成了A。这样主机A和C都被主机B欺骗, 这就是典型的ARP欺骗过程。

4 遭受ARP攻击后的现象

ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线, 过一段时间后又会恢复正常。比如客户端状态频频变红, 用户频繁断网, IE浏览器频繁出错以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的, 会突然出现可认证, 但不能上网的现象 (无法ping通网关) , 重启机器或在MS-DOS窗口下运行命令arp-d后, 又可恢复上网。

ARP欺骗木马只需成功感染一台电脑, 就可能导致整个局域网都无法上网, 严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外, 还会窃取用户密码, 给用户造成了很大的不便和巨大的经济损失。

5 常用的防护方法

目前对于ARP攻击防护问题出现最多是绑定IP、MAC和使用ARP防护软件, 也出现了具有ARP防护功能的路由器。

5.1 静态绑定

最常用的方法就是做IP和MAC静态绑定, 在网内把主机和网关都做IP和MAC绑定。

欺骗是通过ARP的动态实时的规则欺骗内网机器, 所以把ARP全部设置为静态可以解决对内网PC的欺骗, 同时在网关也要进行IP和MAC的静态绑定, 这样双向绑定才比较保险。

方法:对每台主机进行IP和MAC地址静态绑定。通过命令, arp-s可以实现, 格式为“arp-s IP MAC地址”。

例如:“arp-s 192.168.10.1

AA-AA-AA-AA-AA-AA”。

如果设置成功会在PC上面通过执行arpa可以看到相关的提示:

Internet Address Physical Address Type

192.168.10.1

AA-AA-AA-AA-AA-AA static (静态)

说明:对于有很多主机的网络, 如果这样每一台都去做静态绑定, 工作量是非常大的, 这种静态绑定, 在电脑每次重启后, 都必须重新再绑定, 虽然也可以做一个批处理文件, 但是还是比较麻烦的!

5.2 使用ARP防护软件

目前关于ARP类的防护软件出的比较多了, 使用比较多的ARP工具有欣向ARP工具、Antiarp等, 以金山ARP防火墙为例来介绍ARP防护软件的使用。金山ARP防火墙能够双向拦截ARP欺骗攻击包, 监测锁定攻击源, 时刻保护局域网用户PC的正常上网数据流向, 是一款适于个人用户的反ARP欺骗保护工具。

金山ARP防火墙软件特点:

(1) 网关动态探测+识别——识破伪造的网关地址。

(2) 网关动态通知——受到ARP欺骗攻击时主动向网关发送数据包, 表明合法身份。

(3) 双向拦截ARP攻击:

拦截来自外部接受或是由本机发出的ARP攻击数据包并提醒用户, 保障本机及其它PC的网络通畅。

(4) 拦截IP冲突攻击, 保护本机不受IP冲突攻击的影响。

(5) 攻击源追踪锁定。

(6) 安全模式——让受保护PC在局域网隐身, 攻击源无法察觉。

摘要：ARP协议用来实现IP地址到MAC地址的转换, 它对网络的安全有着重要意义。通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量从而导致网络阻塞。主要介绍了ARP的概念、工作原理、常见的ARP攻击类型及防范方法。

关键词：ARP,ARP扫描,ARP欺骗,静态绑定

参考文献

[1][美]史蒂文斯 (W.Richard Stevens) 著, 范建华等译.TCP/IP详解 (卷1:协议) [M].北京:机械工业出版社.

[2][美]多伊尔, 卡罗尔著, 葛建立, 吴剑章译.TCP/IP路由技术 (第一卷) [M].第二版.北京:人民邮电出版社.

[3]王达.网管员必读——网络测试、监控和实验[M].北京:电子工业出版社.

ARP攻击防范篇2

本文通过ARP包过滤程序的应用，并在虚拟机Linux系统上对程序和用户程序进行了ARP包过滤测试，测试结果显示成功实现了对ARP欺骗帧的防范。

摘要：ARP协议导致的安全问题较多，找到ARP问题的根源在于接口输入输出时对包检测的不力，以及接收ARP包的操作对ARP高速缓存的处理存在问题。

关键词：ARP欺骗;虚拟机;ARP过滤

网络安全问题一直是网络发展中的突出问题，当前我国信息网络安全事件发生比例为62.7%，计算机病毒感染率下降为85.5%，感染计算机病毒、蠕虫和木马程序的情况依然最为突出，其次是网络攻击、端口扫描、垃圾邮件和网页篡改等安全事件中，攻击或传播源涉及内部人员的达到54%，因此计算机病毒对网络安全的影响仍然很大。

1.ARP病毒欺骗的表现

ARP欺骗技术和黑客技术结合，对网络安全造成了很大的威胁，主要有两种比较明显的表现形式。

1.1 ARP欺骗包

网络连接正常，但有部分或者所有电脑不能上网，无法打开网页或者打开网页速度变慢、局域网连接时断时续、频繁发生IP地址冲突等现象，严重影响网络的正常运行。这种现象主要是由于网络中大量ARP欺骗包的发送，影响了主机和网络的性能。

1.2 ARP病毒

ARP病毒变种较多，会向全网发送伪造的ARP欺骗广播，但病毒把自身伪装成网关，在被害主机与网关之间建立起单向的转发代理，在用户请求访问的网页添加恶意代码，导致杀毒软件在用户访问任意网站均发出病毒警报，有的.用户可能由于杀毒软件更新不及时而导致感染病毒。最明显的就是，所有访问的网站都会出现病毒，页面代码中加了如：

2.ARP包过滤

2.1 ARP包过滤程序流程

ARP包过滤的过程包含了三部分：首先是拒绝伪造包，其次是拒绝本机非目的主机的包，最后是拒绝更改网关。ARP包过滤程序流程见图1。

2.2 ARP包过滤操作

由于ARP包过滤主要是对伪造包的过滤，当伪造包被拒绝后，ARP欺骗就不可能实现，从而基于ARP欺骗的病毒和黑客技术就不会得逞。

ARP包的过滤规则主要是提供本机和网关的IP-MAC映射，这样中间层驱动就可以过滤伪造ARP包，这种过滤相当于增加了输入输出接口中ARP检测的功能，防止了ARP欺骗攻击对网络的欺骗，保护了网络通信的安全。

3.利用虚拟机进行ARP过滤测试

3.1 测试环境搭建

测试采用rh as5版Linux系统，在系统驱动程序齐全的状态下，在内核模式下启动测试操作，所有的保护措施均设置在用户模式下，以防止系统在测试过程中出现进程锁死导致测试失败，因为Linux系统下驱动程序存在设计缺陷，在系统运行中可能导致系统崩溃。另外，ARP欺骗也有可能干扰网络的正常运行，因此利用宿主计算机和虚拟机进行ARP过滤测试。

(1)测试主机的配置

(2)虚拟计算机

4.总结

在整个测试过程中，正常数据包均能顺利通过，而伪造包则被成功地过滤掉，网络通信并没受到过滤驱动程序的阻碍。在用户程序的运行界面中，能显示出过滤驱动程序成功实现了ARP欺骗包的拦截过滤，被攻击计算机的ARP高速缓存没发生溢出、破坏等现象，计算机的网络性能也没有发生明显变化。过滤驱动程序成功实现了ARP数据包的过滤，保护了主机ARP高速缓存的安全，并有效保护了主机不受ARP病毒的侵犯，从而实现了对ARP欺骗攻击的防范。

参考文献：

[1]宋晓辉.ARP病毒攻击机理与防御[J].网络安全技术与应用,.12.

[2]宋显祖,罗军舟.关于ARP协议应用的几点研究和实现[J].现代计算机,.2.

[3]任侠,吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程,:(6).

ARP欺骗攻击原理与防范篇3

关键词:ARP;欺骗;网络攻击

中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 03-0031-02

Principles and Precautions of ARP Spoofing Attack

Fang Song,Wang Yanxian

(hunan radio & TV university,ChangSha410004,China)

Abstract: With the development of Internet,Network Attack is increasing more and more with each passing day.We will face the situation that Internet is breaken off without any reason when we use Local Area Network.Most of the Network Administrators may firstly think that there is something wrong with the computer,instead of ignoring the safety of Network. At the present time,the Network Attack depended on ARP in Local Area Network is very prevalent and harmful/dangerous.Internet bars and computer rooms of colleges and universities are the frequently-occurred fields of ARP Spoofing Attack.Therefore,it’s vital/essential for us to understand the principles of ARP Spoofing Attack so that we can take some kind of precautionary measures.

Keywords: Arp;Spoofing;Network Attack

一、ARP协议的作用

数据在网络中传输是通过IP地址来进行路由寻址和确定主机位置的,数据通过物理线路传送到达目的主机,最终是通过MAC地址来完成的,因为IP地址无法被物理网络识别,所以数据通信要解决的问题就是如何获取目的端主机MAC地址以及如何将IP地址转换为MAC地址的问题。ARP(Address Resolution Protocol)地址解析协议就是将计算机的IP地址转化为MAC地址的协议。

二、ARP的工作原理

当计算机通过ARP协议得到目的主机的MAC地址后,会将目的主机的MAC地址保存到自己的ARP缓存表中一段时间,以便下次通信时直接使用。所以当源主机需要将数据包发送到目的主机时,会首先检查自己ARP缓存表中是否存在与目的主机IP地址所对应的MAC地址记录。如果记录存在就直接将数据包发送到这个MAC地址;如果记录不存在,就会向本地网段发起一个ARP查询的广播包查询目的主机所对应的MAC地址。目的主机收到广播包后会应答这个ARP查询请求。同时,当网络中其它主机收到ARP广播包后,会将源主机的IP地址与MAC地址的对应记录保存到自己的ARP缓存表中。

三、ARP欺骗的过程

了解ARP的工作原理后,现在来理解ARP欺骗就不难了。下面以一个具体实例来加深大家对ARP欺骗的理解。

假设局域网中有3台主机,它们分别由交换机连接。拓扑结构、IP地址和MAC地址如图所示。其中主机A为源主机,主机B为目的主机;主机C为ARP欺骗源。

正常情况下,当主机A向主机B发送信息时,必须先获取主机B的MAC地址MAC-B。主机A会查询自己的ARP缓存表,看是否存在IP地址为192.168.1.2对应MAC地址为MAC-B的这条记录。如果存在,便直接发送信息给主机B。如果不存在,主机A将发送一个ARP查询的广播包。这一过程就好比是向网络上所有主机询问:“我的IP地址是192.168.1.1,MAC地址是MAC-A,我现在想知道IP地址是192.168.1.2的主机它的MAC地址是多少?”当网络中其它主机都将收到这条广播信息,但是只有主机B会对这条广播信息作出应答,因为它的IP地址为192.168.1.2。之后它们之间的通信便开始了。

如果这时主机C将自己的IP地址伪装成主机B的IP地址,同时也向主机A发送一个ARP应答,那情况就会变得很糟糕了。主机A将会把保存在ARP缓存表中原本正确的主机B的IP地址与MAC地址对应记录,更新为与主机C的MAC地址对应的记录。即192.168.1.2→MAC-C。这样将导致主机A发往主机B的所有数据都将被发往主机C,这就是ARP欺骗。

四、ARP欺骗的危害

ARP协议为了得到目的主机的MAC地址,会采取广播ARP查询的方式。正是因为ARP协议这种不安全的询问与应答机制,对网络构成很很多危害。

(一)假冒ARP应答缺陷

假设现在有两台主机,分别为主机A和主机B。主机A尚未发送ARP查询,而此时主机B却主动向主机A发送ARP应答。这时主机A也会更新其ARP缓冲表中主机B的MAC地址。这个缺陷将导致任何主机都可以向主机A发送假冒主机B的ARP应答包,如果欺骗成功,主机A和主机B之间的通讯都将被中断。

(二)对网关的干扰

如果欺骗是针对一个局域网当中的网关。例如像学校机房和网吧中所使用的接入层网关,那么局域网中的所有主机将会与外界失

去联系。这种危害是非常大的,不仅使学校的正常教学受到了严重的影响,而且也让网吧蒙受了巨大的经济损失。

(三)大量广播包占用带宽

保存在主机ARP缓存表中的MAC地址与IP地址对应记录,一般会经过一段时间后自动更新。所以被欺骗的主机在经过更新时间后仍然会恢复正常的通信。为了达到ARP欺骗的目的,欺骗方只能在MAC地址更新后再次发送ARP欺骗包。如此反复将导致大量的数据包在网络中传输,耗费网络带宽。

五、防范ARP欺骗的方法

目前对于ARP攻击的防护主要是通过软件和硬件来实现,下面我们来介绍几种常用方法:

(一)IP与MAC绑定法

此方法不需要使用第三方软件,直接利用windows系统自带的ARP命令便可完成。命令行法将网关的IP地址和其对应的MAC地址做静态的绑定,人为阻止ARP缓存的自动更新。我们可以在命令行中输入“ARP-S本地网关的IP地址,本地网关的MAC地址”。例如:“ARP-S192.168.1.1 00-13-32-33-12-11”。一般都是将此命令做成为批处理文件,以便系统每次启动时都能自动绑定。

(二)采用Super VLAN

Super VLAN又称为VLAN聚合,其原理是一个VLAN内包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间相互隔离,不能通信。所有的Sub VLAN都使用Super VLAN的默认网关IP地址与外界联系。如果将交换机的每个端口都设置为一个Sub VLAN,那么便可以实现所有端口的隔离,也就避免了ARP欺骗。

(三)使用第三方软件

目前防范ARP欺骗的软件有很多。如Anti ARP Sniffer、360安全卫士等。360安全卫士是目前使用比较广泛的一款免费杀毒软件,启动该软件提供的ARP防火墙功能后,系统会自动将本机的IP地址和MAC地址、本地网关的IP地址和MAC地址进行绑定。在受到ARP欺骗攻击时还会发出警告。

虽然ARP欺骗危害很大,但当我们知道了它的工作特性后,也能很好的防范它。如果我们能提前做好ARP欺骗的防治工作,相信能将ARP的危害减少到最小的程度甚至杜绝。

参考文献:

[1]计算机网络(第4版)(中文版)

[2]TCP/IP详解卷1:协议

[3]网管员必读--网络安全(第2版)

作者简介

方颂(1978- ),男,中南大学在职研究生,工程师。

论如何防范ARP的攻击篇4

关键词：网络,ARP病毒攻击,MAC,防范

一、什么是ARP

ARP, 全称Address Resolution Protocol, 即地址解析协议, 实现通过IP地址得知其物理地址。在TCP/IP网络环境下, 每个主机都分配了一个32位的IP地址, 这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送, 必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例, 为了正确地向目的主机传送报文, 必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址, 这组协议就是ARP协议。

二、ARP的攻击原理分析

ARP工作在数据链路层, 在本层和硬件接口联系, 同时对上层提供服务。ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗, 和对内网PC的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址, 并按照一定的频率不断更新学习进行, 使真实的地址信息无法通过更新保存在路由器中, 造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制, 当局域网内某台主机已经感染ARP欺骗的木马程序, 就会欺骗局域网内所有主机和路由器, 让所有上网的流量都必须经过病毒主机。

简单的来说, ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中。局域网中若有一台计算机感染ARP病毒, 中毒的机器的网卡不断发送虚假的ARP数据包, 告诉网内其他计算机网关的MAC地址是中毒机器的MAC地址, 使其他计算机将本来发送网关的数据发送到中毒机器上, 导致整个局域网都无法上网, 严重乃至整个网络的瘫痪。

三、如何防范ARP的攻击

1、网管员采取的防范措施

(1) 学会使用Sniffer抓包软件。

ARP病毒最典型的现象就是网络时通时断, 用Sniffer抓包分析, 会发现有很多的ARP包。

(2) 在全网部署安装ARP防火墙服务端及客户端软件

(3) 使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议, 以往的链路层的MAC地址和ARP协议失效, 因而ARP欺骗攻击在这种交换环境下起不了作用。

2、个人用户端防范措施:

安装ARP防火墙或者开启局域网ARP防护, 比如360安全卫士等ARP病毒专杀工具, 并且实时下载安装系统漏洞补丁, 关闭不必要的服务等来减少病毒的攻击。

如果在没有防范软件安装的情况下, 也可以通过编写简单的批处理程序来绑定网关来防止ARP欺骗, 步骤如下:

(1) 首先, 获得安全网关的内网的MAC地址。以windows xp为例。点击“开始”→“运行”→输入cmd, 点击“确定”后, 将出现相关网络状态及连接信息, 输入arp–a, 可以查看网关的MAC地址

(2) 编写批处理文件arp.bat内容如下:

@echo off

arp–d

arp–s 10.216.96.3 (安全网关) 00-09-ac-82-0d (网关的MAC地址) 注:arp-s是用来手动绑定网络地址 (IP) 对应的物理地址 (MAC)

(3) 编写完以后, 点击“文件”→“另存为”。注意, 文件名一定要是*.bat, 点击保存就可以。

(4) 将这个批处理文件拖到“windows→开始→程序→启动”中, 最后重起电脑即可。

四、结束语

ARP欺骗在相当长的时间内还会继续存在, ARP欺骗也在不断的发展和变化中, 希望广大网络管理员密切注意它, 从而减少对我们网络的影响。网络的安全问题越来越受到人们的重视, 网络安全不仅仅是技术问题, 同时也是一个安全管理问题。我们必须综合考虑安全因素, 制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统, 随着计算机网络技术的进一步发展, 网络安全防护技术也必然随着网络应用的发展而不断发展。

参考文献

[1]王奇:《以太网中ARP欺骗原理与解决办法》, 《网络安全技术与应用》, 2007年第2期。

[2]谢希仁:《计算机网络》, 人民邮电出版社, 2006年。

ARP攻击是什么篇5

ARP攻击原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障，

ARP攻击防范篇6

关键词：网络管理；ARP欺骗；ARP病毒攻击；IP地址管理；排查与防控手段

中图分类号：TP393.18 文献标识码：A 文章编号：1006-8937（2012）26-0076-04

回顾企业网络安全运行维护工作，有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验，有效利用网络管理防范与处理ARP欺骗、攻击相关经验。

从近年的网络运维，网络管理人员不断接到网络用户反映——“所在的网络在上网应用时网络时断时通，有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生，所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位，从而给网络管理与网络维护提出了新挑战。

由于这种网络故障来的较突然，既没有可以参考的经验，又没有可用的网络协议分析仪等条件进行客观数据的实地采集，所以我们一开始采用的方法就是在网络交换机处对网段进行人为手工的“再细分”，用逐段排除法对有问题的PC机进行定位后再采取整治方法，但这种方法费时费力，排除故障时间长。通过对故障网络现场观察和体会，加上对网络TCP/IP协议的分析后，得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别，采取有效的防控手段来遏制这些网络安全威胁。

1 ARP欺骗分析

ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议，或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vlan中，以太网的每一帧有两种方式传输。一种对外传，就是用户有一个需求，当需要透过路由将网络帧转发到别的Vlan时，需要通过本地Vlan的网关。另外一种是内传，当有用户需求就在本身这个Vlan网络中时就不需要网关了。

当遇到ARP欺骗的时候，我们就会发现原本发送给本地Vlan网关的数据帧，没有得到本地Vlan网关MAC正确的回应。从而导致用户任何应用都没有办法使用了，就感觉到反复“掉线”或者“断线”，网络好像处在“震荡”中，迫使网络用户重新启动自己的计算机以期重新获得联网的需求，此时正好中了欲进行ARP欺骗计算机的“招”，当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时，进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址，以至于给用户一个重新获得上网的感觉，其实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机，这就是ARP欺骗在一个Vlan中的基本原理。

进行网络ARP欺骗的计算机在进行MAC欺骗的过程中，会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法，网络欺骗计算机改写了CAM表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写，以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网段中是否存在这样的欺骗计算机了。

网络欺骗——MAC的欺骗从来不会停止于只在本网段内进行“欺骗”，它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的——“地址解析协议（ARP）攻击”。

当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时，就发生了ARP攻击。通过这种方式，黑客们可以伪造MAC或IP地址，以便实施如下的两种攻击：“服务拒绝”和“中间人攻击”。

目前以“服务拒绝”演变出来的攻击以网络上多种病毒为主，它们会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成网络断线了。

这就是ARP地址欺骗攻击，造成内部PC和外部网的断线，该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏，由于它与网络病毒相结合，所以无论在传播的速度和攻击特性都有较大的“聚变”，ARP 地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时，能够在网络中产生大量的ARP通信量，使网络阻塞或者实现“中间人攻击”（man in the middle），进行ARP重定向和嗅探攻击。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中机器ARP缓存的崩溃。

下面给出ARP欺骗攻击在Vlan229网络交换机上所看到的特征。

3 原因分析

从对感染ARP欺骗的欺骗攻击病毒计算机进行现场查杀和计算机系统安全基本要求方面的检查来看，这些计算机大多存在如下的共同特征：

①系统安全补丁严重缺失，有的Winxp在SP2后只有一个补丁，所以补丁缺少很多（约两年）。

②计算机开机进入系统时几乎都缺少系统应有的“口令”。有的只有弱口令。

③大部分这样的计算机系统无防病毒软件或没有及时对防病毒软件升档，特别是企业网络中使用的Symantec通知升级后不执行升级就导致防病毒策略与防病毒代码无法及时更新。

浅谈机房ARP攻击及其防范篇7

1 ARP协议的工作原理

ARP是Address Resolution Protocal (地址转换协议) 的简称, 是TCP/IP协议中最底层的协议之一。它的作用是完成IP地址到MAC (物理地址) 的转换。

假设:主机A的IP为:192.168.1.2 (MAC地址为50-78-4C-F0-05-47) ;主机B的IP为:192.168.1.3 (MAC地址为50-78-4C-F0-05-48) 。

当主机A向主机B发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址, 如果能找到, 就知道了主机B的MAC地址, 直接把B的MAC地址封装在帧里面进行发送;如果在ARP缓存中没有找到对应的IP地址, 主机A就会在网络上发送一个广播包, 向同一网段内的所有主机发出这样的询问:“192.168.1.3的MAC地址是什么?”网络上其他机器并不响应ARP询问, 只有主机B接收到这个帧时, 才向A做出这样的回应:“192.168.1.3”的MAC地址是“50-78-4C-F0-05-48”。这样A就知道B的MAC地址。它就可以向B发送数据。进行通信时它还更新自己的ARP缓存表。当再向主机B发送信息时, 直接从ARP缓存表里查找即可。

2 ARP欺骗的种类

通过对ARP协议的工作原理的了解我们可以想到, 当局域网内一台主机的MAC地址发生变化后, 如果其他主机知道其IP与MAC的对应关系, 再次收到该主机的IP与MAC对应关系时会更新ARP列表中这个对应关系;如果不知道其没有变动以前的对应关系, 会在收到这个对应关系的时候, 将此IP与MAC的对应关系记录进ARP的缓存列表。简单说来就是, 当局域网内主机收到其他机器的IP与MAC的对应关系时, 不管此对应关系是否正确, 它都会将此对应关系记录进自己的ARP缓存列表中, 或者是更新以前记录的对应关系。这样局域网内某主机就可能伪造自己的MAC地址进行ARP广播或者应答某个ARP的广播。最常见的就是主机伪造局域网网关的物理地址, 这样所有流经网关的数据在被欺骗之后就会流经发起欺骗的主机, 达到盗取用户某些机密信息的目的。

ARP欺骗可以大致分成两类, 一类是对网关的欺骗, 即篡改网关的ARP缓存表。首先伪造IP地址及其对应的MAC地址, 通知网关做修改, 其中IP地址是正确的但其对应的MAC地址是错误的, 然后按照一定频率不断刷新网关的ARP缓存表, 使得真实的MAC地址无法保存在网关的ARP缓存表中, 结果通过网关的所有数据都被送到错误的地址, 该网段的网络瘫痪。大多数学校机房的计算机都安装有还原精灵, 每次开机就将硬盘还原成初始状态, 用于保证病毒不会存留在计算机硬盘上, 但是这样的设置却使得防毒软件的病毒库没法及时更新, 因此无法阻拦新的病毒.一些同学将携带ARP病毒的U盘连接到机房的计算机上, 在使用计算机的过程中, 这些ARP病毒会攻击所在机房的网关, 从而造成该网段内所有用户都上不了网。网关欺骗的危害是巨大的, 会严重影响教学的正常进行, 也为网络管理带来很大的麻烦。

另一类ARP欺骗专门针对局域网内的主机。欺骗者首先将自己的主机伪造成网关, 然后刷新其他主机的ARP缓存表, 这样该网段内所有主机发出的数据都会通过欺骗者的主机, 欺骗者可以通过一些嗅探软件窃取被欺骗者的密码和访问信息, 欺骗者在接收被欺骗者发出的数据后将其转发给真正的网关, 得到的反馈数据则通过网关先传给欺骗者的主机, 然后再由欺骗者的主机转发给被欺骗者的主机, 如果欺骗者选择不转发被欺骗者的数据, 则被欺骗者无法上网, 从而欺骗者的主机独享了整条线路的带宽。

3 找出ARP病毒源的方法

3.1 使用tracert命令:

在任意一台受影响的主机上, 在DOS命令窗口下运行如下命令:tracert www.baidu.com。假定设置的缺省网关为10.200.0.1, 在跟踪一个外网地址时, 第一跳却是10.200.0.14, 那么, 10.200.0.14就是病毒源。原理:中毒主机在受影响的主机和网关之间扮演了“中间人”的角色, 所有本应该到达网关的数据包, 由于错误的MAC地址, 均被发到了中毒主机。此时, 中毒主机起了网关的作用。

3.2 使用arp-a命令:

任意选两台不能上网的主机, 在DOS命令窗口下运行arp-a命令。假设在结果中, 两台电脑除了网关的IP, MAC地址对应项之外, 都包含了192.168.1.144的这个IP, 则可以断定192.168.1.144这台主机就是病毒源。原理:一般情况下, 网内的主机只和网关通信, 一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址, 说明本地主机和这台主机最后有过数据通信发生。如果某台主机既不是网关也不是服务器, 但和网内的其他主机都有通信活动, 且此时又是ARP病毒发作时期, 那么病毒源也就是它了。

3.3 使用Sniffer抓包:

在网络内任意一台主机上运行抓包软件, 捕获所有到达该主机的数据包。如果发现有某个IP不断发送ARP Request请求包, 那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种, 行为方式有两种:一是欺骗网关, 二是欺骗网内的所有主机。最终的结果是, 在网关的ARP缓存列表中, 网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存列表中, 网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包均发送到中毒主机, 后者相反, 使得主机发往网关的数据包均发送到中毒主机。

4 机房ARP攻击安全防范策略

众所周知, 高校公共机房具有教学任务繁重、机器使用频率高、超负荷运作、学生用户网络安全意识淡薄以及网络管理难度大等特点.因此, 仅靠专杀工具来清除某台机器的ARP病毒是远远不能解决问题的.基于此原因, 针对ARP欺骗攻击技术原理以及高校公共机房的特点, 提出了以下解决方案:

4.1 做好用户自身的网络安全防护。

增强学生用户的网络安全意识, 建议学生最好不要轻易下载、使用存在安全隐患的软件;不要随便点击打开QQ、MSN等聊天工具上发来的链接信息;不要随便打开来历不明的电子邮件, 尤其是邮件附件;不要随便共享文件和文件夹。

4.2 双向地址绑定。

这是一种常用的ARP攻击安全策略, 即IP地址和MAC地址的双向绑定。ARP欺骗主要是通过伪造IP地址和MAC地址实现的。因此安全策略应该建立在IP+MAC基础上, 强行让MAC地址和IP地址一一对应、一一映射, 保证ARP表不被更改, 这样就可以防止了ARP欺骗的发生。在能上网的情况下, 在运行里输入“arp-s”查看网关的IP和MAC。假设网关的IP是192.168.1.1, MAC是00-0f-e2-66-d9-c9。那么绑定的具体操作是:编写一个批处理文件killarp.bat, 内容如下:

将批处理文件killarp.bat拖到启动组中每次开机或重启后会自动运行ARP绑定的命令。

4.3 使用ARP服务器。

即在局域网内部设置一台机器作为ARP服务器, 专门保存并且维护网络内的所有主机的IP地址与MAC地址的映射记录.当有ARP请求时, 该服务器通过查阅自己缓存表的静态记录并以被查询主机的名义响应ARP局域网内部的请求, 从而防止了ARP欺骗攻击的发生。

4.4 基于交换机的端口与MAC地址绑定。

此方案是在交换机端口上实施MAC地址与端口绑定和IP地址与端口的绑定相结合, 从而达到在端口上应用IP与MAC地址绑定的功能。绑定之后, 交换机的ARP表就固定了, 无论接收到来自任何计算机的ARP欺骗都无法修改交换机的ARP表, 同时也就保证了路由的准确性。以此来避免ARP病毒各式各样的攻击或欺骗。这是最行之有效的方法。

4.5 采用VLAN (虚拟局域网) 技术隔离端口。

VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中, 从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。我们应用VLAN技术, 根据用户实际应用需求, 把同一物理局域网内的不同用户逻辑地划分成不同的子网, 每一个子网都包含一组有着相同需求的计算机工作站, 与物理上形成的LAN有着相同的属性。VLAN技术将ARP攻击报文限制在同一个广播域内, 与此同时, 控制同一VLAN内节点的数量, 可以有效抑制ARP广播风暴, 减小因受ARP攻击影响的范围。

4.6 软件防护。

除了采用上述的解决方案外, 还可利用第三方软件对网络进行实时监控、扫描, 如果发现ARP病毒, 就及时锁定病毒源和进行处理, 从而保证网络的畅通。

结束语

通过以上几种方法来解决ARP对机房网络的攻击是比较有效的。由于ARP病毒版本在不断更新和升级中, 这就需要网络管理员时刻保持高度警惕, 并不断跟踪防范欺骗攻击的最新技术, 做到防患于未然。

摘要：针对学院机房内流行的ARP病毒, 分析了ARP协议的工作原理和欺骗的种类, 并提出了解决方案。

关键词：机房,ARP病毒,防范策略

参考文献

[1]谢希仁.计算机网络 (第五版) [M].北京:电子工业出版社, 2008.

[2]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报, 2009, 28 (1) :57-59.

ARP攻击实验仿真及防范技术分析篇8

人们在尽情享用网络系统的同时,也面临各类安全威胁,如:隐私信息的泄露、网络个人口令信息的非法盗取、各类网络攻击的破坏等[1]。在常见的网络攻击行为中,欺骗技术应用极广,如:依靠IP地址欺骗实现的SYN洪水攻击和smurf攻击,利用ARP欺骗实现的ARP攻击。ARP攻击通过伪造ARP应答包并发送至目标主机,致使目标主机因受欺骗而导致通信内容的泄露或网络访问的受限[2]。

本文通过自主构建协议数据来呈现ARP攻击的原理,并在局域网环境下进行仿真,较为直观地呈现出该攻击的原理与方法,并据此给出防范ARP攻击的常用措施。

1 ARP攻击依赖的协议及原理分析

ARP攻击是通过向目标主机发送大量的ARP虚假信息来欺骗目标主机的,ARP虚假信息是以ARP应答包形式呈现的IP地址与ARP地址的映射关系。由于信息的海量,导致网络拥塞;又由于映射关系的不真实,导致目标主机被骗,进一步作为中间人,可非法获得双方的通信信息或实现信息的非法篡改。

由于ARP攻击是利用ARP协议实施的,使其仅可在局域网范围内传播与相互感染,所以,校园网、企业网极易遭受的网络攻击中,ARP占据较大份额。

1.1 攻击依赖的ARP协议

本文在图1给定的网络结构中介绍和分析ARP协议原理和攻击原理。主机A、B为内网主机,通过网关GW与因特网相连,主机C位于因特网中。设定各个主机及网关接口的IP及MAC信息如表1所列。

以所有主机和网络设备刚开始运行为前提,当主机向外发送信息时,先判断目的主机与自身是否为同一网段,同一网段时,直接取出目的主机的MAC地址构建数据帧并发送;不同网段时,取出网关MAC地址生成数据帧发送出去[3]。

MAC地址会记录在本地主机的ARP缓存中,若缓存中未找到记录信息,需要向本网段广播查询ARP,这一过程使用ARP协议实现。仅有匹配IP的主机回应ARP,该ARP成为响应包。询问主机收到ARP响应包后会立即更新本地ARP缓存。

1.2 ARP攻击原理分析

ARP协议一个致命缺陷是主机接收ARP响应包时,不会验证数据源的真实性,也不核查是否发送过相应的请求,这一漏洞被攻击方挖掘利用,以虚假身份发送IP地址与虚假MAC映射的ARP响应给目标主机,致使ARP攻击产生[4]。

ARP攻击的两个典型例子:因特网接入失效和中间人攻击。

(1)因特网接入失效攻击方法分析

以图1所示网络连接为例,设攻击方为主机A,攻击目标为主机B。导致主机B无法接入因特网,即无法主动与因特网主机通信,实现的关键是让主机B无法与网关GW/0接口通信。如果主机B本地的ARP缓存中,记录的网关GW/0接口的MAC错误,就可实现该要求。

如此,在攻击方主机上,产生网关GW/0接口IP和虚假MAC映射的ARP响应包,发送给主机B,主机B会更新本地ARP缓存,之后的因特网主机访问均会失效。

(2)中间人攻击方法分析

所谓中间人攻击,是指攻击方截获通信双方的数据,并进行篡改。过程示意图如图2所示。对通信数据的简单截获只能泄露,无法篡改。要篡改通信数据,必须改变数据的流向。图2所示的通信过程,B主机发往C主机的通信数据先流向攻击方A主机,再经攻击方发往C主机,另一方向通信也是这样进行的。

该过程中,攻击方需要分别对B主机和C主机进行攻击欺骗:告之B主机,自己是C主机;告之C主机,自己是B主机。在图1所示的网络环境中,B主机与C主机在两个网段,需要经过网关进行数据转发。“告之B主机,自己是C主机”应当设计为“告之B主机,自己是GW/0”,“告之C主机,自己是B主机”应当设计为“告之GW/0,自己是B主机”。

该处的设计与“断网”攻击有所区别,“告之B主机,自己是GW/0”,这样做是为了截获主机B发出的信息,应当让主机B具有GW/0接口IP与A主机MAC的映射信息,可以通过发送ARP响应包来实现。“告之GW/0,自己是B主机”,该欺骗的实现是向网关GW/0接口发送ARP响应包,包含B主机的IP与A主机的MAC。

当两个ARP响应包被海量发往相应主机时,主机A作为通信双方的中间人,可接收主机B发来的通信数据,篡改后以主机B身份转给网关接口GW/0,最终提交给主机C;来自主机C的数据,原本发往主机B,但经网关GW/0接口转发后,交给主机A,主机A进行篡改后再以网关GW/0身份发往主机B,完成了一次完整的双方数据通信,并成功实现了ARP欺骗。

2 ARP攻击实验仿真

2.1 实验仿真涉及的网络命令

在实验仿真过程中,为便于查看和操作本地ARP缓存信息,可以在命令符窗口使用arp命令,下面以三项操作为例:

(1)ARP缓存信息:>arp-a

(2)清空ARP缓存信息:>arp-d

(3)静态绑定IP与MAC映射:

>arp-s IP_address MAC_address

2.2 ARP攻击仿真

本文所述的两种攻击方式的仿真,是借助数据包发送软件(本文使用了Colasoft Packet Builder)来实现的,用户也可以自行开发ARP协议数据发送程序。

(1)因特网接入失效攻击仿真

“因特网接入失效攻击”的仿真极为简单,只需发送一条ARP欺骗数据给目标主机即可。图3以1.2部分的攻击为例,给出了攻击方A应当产生的ARP响应包的相关协议字段信息。

分析图3,为了很好的隐藏自身,主机A常以虚假身份出现,即发送数据帧的源端信息可为伪造(如:66-66-66-66-66-66),目的端信息为主机B的MAC。在ARP响应包的数据部分,将源IP与MAC映射分别写为网关GW/0的IP和虚假MAC。对虚假MAC,可以是根本不存在的值,若攻击方有意要截获目标主机的数据,可将虚假MAC写为自己的,但这样易导致身份暴露。

当目标主机B收到该ARP响应包后,会取出ARP中的源IP(192.168.1.1)和源MAC(66-66-66-66-66-66),并将该映射写入本地ARP缓存中。当该欺骗信息海量地发往目标主机,目标主机将无法再获得正确的映射信息,导致无法接入因特网。

(2)中间人攻击仿真

对于“中间人攻击”,按本文给出的表1和图1信息,以1.2部分的攻击为例,给出了攻击方A应当产生的“告之B主机,自己是GW/0”和“告之GW/0,自己是B主机”的ARP响应包,对应的协议字段信息依次见图4和图5。

主机A在发送欺骗数据前,应当先执行捕包操作,当海量欺骗数据发送出去后,主机B与主机C之间产生的通信数据可被主机A捕获,执行篡改后,以原来数据的身份发送给相应主机(目标主机信息需要修改)。

(3)仿真安全性分析

由于ARP缓存信息设有有效期,若仿真数据仅发送极少的量,仿真效果不明显。仿真期间,建议“循环发送”。另,缓存信息的有效期特点,可以保证仿真结束后,被攻击主机可以很快获得真实的映射信息,进而实现更新。该仿真过程不会对目标主机造成破坏,也不会影响原有配置的。若目标主机的ARP缓存更新不理想,或仍然延续仿真阶段的状况,可在目标主机上运行arp–d命令,以清空缓存并强制更新,但考虑到攻击仿真期间的影响,应尽量在实验室环境中进行。

3 防范ARP攻击技术分析

通过上述攻击原理分析,可以得出:防止ARP欺骗就是在有效防范ARP攻击[5,6]。

3.1 PC机防范ARP攻击常用方法

导致ARP攻击产生的主要原因是ARP协议设计上存在的漏洞,该漏洞无法避免,且系统的ARP缓存更新方法也无法直接改变。

对PC机而言,有效防范的方法包括:

(1)静态绑定关键主机的IP与MAC

可以在PC机上绑定本地网关、网段内服务器等关键主机的地址映射信息。静态绑定映射信息可通过命令arp来完成,现在主机B上执行绑定命令,如下:

>arp–s 192.168.1.1 11-11-11-11-11-11

(2)及时查看ARP缓存以发现ARP攻击

ARP攻击产生时,可通过实时监测本地ARP缓存信息的变化来及时察觉。使用arp–a可查看本地ARP缓存信息。

ARP缓存中,若网关IP映射的MAC发生变化,或者,当出现多个IP与同一个MAC相绑定时,都将预示存在ARP攻击。

(3)使用流量监测软件发现ARP攻击

ARP攻击常会发送大量欺骗响应包至目标主机,在流量监测软件上,若发现大量ARP响应数据,要提高警惕。

(4)使用专门的ARP防范软件

目前,因特网上可以免费获取众多用于防范ARP各类攻击的软件,对于个人用户而言,若不具备较为专业的计算机网络管理知识,可以借助专用软件轻松实现攻击的有效防范。

3.2 对网段有效管理以防范ARP攻击

对整个网段,为有效防范ARP攻击,应将网段关键设备“网关”加以保护,以防范ARP的“中间人攻击”等。

在网关上常用的方法包括:

(1)静态绑定

将网段合法IP与相应MAC静态绑定,可防范非授权的信息访问和中间人攻击等。静态绑定被视为是有效的防范方法,但当绑定主机更换网卡后,需要及时更新绑定信息,因而,人工管理参与较多。

(2)ARP异常流量实时监测

网关时常是ARP攻击的目标,因此,应当具有实时监测ARP异常流量的功能,以及时发现攻击源,并进行有效处理[7]。

网段内一旦有主机感染ARP,极易在局域网内传播,为有效管理网段安全,应当找出ARP攻击源头。通常,当主机被ARP攻击时,缓存地址映射中,多个IP均指向的那同一个MAC,即为攻击的源端。

(3)ARP流量限制

除本文所介绍的两种ARP攻击形式外,当大量ARP响应包(可以不含欺骗信息,但通常是人为构造出来的)发往网关时,也可因大量ARP映射信息的写入导致ARP缓存空间占满而无法再写入其他主机的映射信息,进而导致网关与主机通信失败,该攻击形式称为ARP洪水攻击。因此,可在网关上增加ARP流量限制功能,以有效防范。

(4)选用具备ARP防护技术的网络设备

在众多网络设备厂商中,不少已在相应的网络设备功能中加入了ARP防护功能,可为网络的安全管理提供有利条件。

4 小结

ARP攻击利用了ARP协议的设计漏洞,通过伪造ARP应答包并发送给目标主机,致使目标主机因受欺骗而导致通信内容的泄露或网络访问的受限等。

本文以“因特网接入失效”和“中间人攻击”两种形式,分别在给定的网络结构中,介绍和分析ARP攻击的原理。通过自主构建协议数据,结合局域网结构进行仿真,给出了ARP攻击的协议字段信息,直观呈现出攻击的实施过程,为初学者提供了实践指导。

依据ARP攻击的实施原理,罗列出PC机与网络核心设备上,各自应当采取的常用防范措施,可为企业及校园网等局域网环境下有效防范ARP攻击提供参考与帮助。

参考文献

[1]陈明奇,姜禾,张娟等.大数据时代的美国信息网络安全新战略分析[J].信息网络安全,2012.

[2]Ma H,Ding H,Yang Y,et al.Bayes-based ARP att ack detection algorithm for cloud centers[J].Tsinghua Science a nd Technology,2016.

[3]谢希仁.计算机网络[M].电子工业出版社,2008.

[4]Wei Y,Xiaoliang X.AN ARP ATTACK-RESISTAN CE IMPROVEMENT WITH PRIORITY AND AUTHEN TICATION[J].Computer Applications and Software,2014.

[5]王力,李禹生,胡乐炜.基于SNMP与Win Pcap的ARP攻击实时检测与恢复[J].科技通报,2012.

[6]姚玉开,卢翠荣,孙冠婴等.解析Windows环境中基于ARP的网络攻防技术[J].网络安全技术与应用,2014.

[7]宋若宁.海量数据环境下的网络流量异常检测的研究[D].北京邮电大学,2015.

ARP攻击防范篇9

关键词：局域网,ARP攻击,攻击防范

1 引言

在大型局域网中,ARP攻击非常严重。当ARP攻击泛滥的时候,大批计算机无法正常上网。为了对抗ARP攻击,网络中心采取了多种技术措施,例如要求所有上网电脑安装杀毒软件和ARP防火墙,封禁ARP攻击者的交换机端口,对进行ARP攻击的计算机断网、对机主进行通告批评等行政措施。即使如此,ARP攻击现象仍然泛滥成灾。现实应用中局域网往往是非常庞大与复杂的:例如某高校有上万个网络节点,网络拓补结构中,接入层用Cisco二层交换机,然后汇聚到Cisco三层路由器,核心层则是两台Cisco6509(配交换和路由模块)。同时,用户使用计算机随意性强(特别是宿舍区),要求每台机器都安装ARP防火墙非常困难。大家都知道MAC地址与IP地址的绑定是最简单有效的ARP攻击防御方法,然而,在这样的大型上网环境中使用静态IP地址和MAC地址的绑定会带来巨大的管理负荷,无法有效对每一台终端、服务器与网络设备都使用静态ARP表。大型局域网的基本组成结点是用户主机、交换机以及连接不同网段的路由器。从用户的角度看,路由器就是TCP/IP配置中的网关,因此可以从用户主机、交换机和网关这三个组成部分来分析ARP攻击的方式和采取新的更有力的集中监控管理方法来有效防治ARP病毒。

2 ARP协议的缺陷

ARP攻击的突破口是ARP协议缺陷,来源于协议自身设计的不足。因为协议设计者认为局域网是可信赖的,同时考虑传输效率,所以ARP协议开始被设计成一个无状态的、可信任协议,缺乏合法性验证手段。由于存在这样重大的缺陷,所以每台主机的ARP表的更新是信任广播域内所有机器的回应包的,也就是在说在ARP协议中,接受回应帧的主机无法验证回应包的真伪。因此,在ARP协议中就很容易实现在以太网中的ARP欺骗。利用ARP协议漏洞进行攻击的方式有多种,但主要都是依靠篡改ARP协议包的方法来实施欺骗,达到攻击的目的。常见的利用协议缺陷的攻击方式,主要有中间人(man-in-the middle)攻击与拒绝服务攻击等。

3 基于网络结点的ARP攻击分析

3.1 针对用户主机的攻击

病毒主机以代理计算机的身份插入两台计算机之间,获取与篡改用户的数据,使用户上网的速度变慢或者上不了网。这种ARP欺骗最常见的形式就是病毒主机将自己伪造成网关:病毒主机使用网关的IP地址和自己的MAC地址伪造一个ARP应答帧,并将该帧以一定的频率发送给被欺骗主机;ARP协议的原理决定了无论一台计算机是否发送过ARP请求帧,当它收到一个ARP应答帧时都会检查并更新自己的ARP缓存表,于是被欺骗主机的ARP缓存表中网关的IP地址就指向了假网关的MAC地址,以后该用户计算机发往网关的数据帧则全部发给了这台病毒主机。

3.2 针对路由器网关的攻击

病毒主机向网关发送伪造的ARP应答帧,造成网关ARP缓存表中的错误记录,使网关将原本发送给用户计算机的数据发送给了错误的机器,严重时网关将无法工作。这种ARP欺骗最常见的形式就是病毒主机将自己伪造成用户计算机。病毒主机用伪造的IP地址和自己的MAC地址伪造一个ARP应答帧,并将该帧以一定的频率发送给网关;网关检查并更新自己的ARP缓存表;于是网关的ARP缓存表中伪造的IP地址就指向了病毒主机的MAC地址;以后,网关发往该IP地址的数据帧则全部发给了这台病毒主机。病毒主机有时会做的更“过分”一些,直接冒充网关。在局域网中,网关的IP地址一般为192.168.0.1。如果病毒主机向全网不停的发送ARP欺骗广播,大声说:“我的IP地址是192.168.0.1,我的硬件地址是MAC-A”这时局域网中的其它主机并没有察觉到什么,因为局域网通信的前提条件是信任任何主机发送的ARP广播包。这样,局域网中的其它电脑都会更新自身的ARP缓存表,记录192.168.0.1-MAC-A这样的记录,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到病毒主机中,病毒主机就将监听整个局域网发送出的数据包。

3.3 针对交换机的攻击

3.3.1 对交换机的MAC欺骗

交换机上同样维护着一个动态的MAC缓存。交换机的一般工作原理是:首先,交换机内部有一个对应的列表,交换机的端口对应MAC地址表Port to Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,交换机从来往数据帧中学习。与对计算机的ARP欺骗相类似,如果把交换机上的MAC-PORT表修改了,那么对应的MAC to PORT就一样跟着改变,本来不应该发送到探测器的数据结果发送过来了,这样也达到了探测的目的。

3.3.2 对交换机的泛洪攻击

由于MAC-Port缓存表是动态更新的,那么让整个交换机的接口表都改变的方法是对交换机进行MAC地址欺骗的洪泛攻击,不断发送大量假MAC地址的数据包让交换机更新MAC-Port缓存。如果能通过这样的办法把以前正常的MAC和Port对应表更换。那么交换机就会进行洪泛发送给每一个接口,让交换机基本变成一个Hub,向所有的接口发送数据包,A造成交换机MAC-Port缓存的崩溃。

4 基于网络结点的防范

4.1 改进的路由器与主机双向绑定法

在主机和路由器面对攻击时,常使用双向绑定法。顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。另外一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机的IP-MAC绑定。“双向绑定法”一般在网吧里面应用的居多。如:华为的H3C-AR-18-6X系列全千兆以太网路由器就是采用这样的机制防范ARP病毒的。

但是,这种方法也有许多的缺陷:一是构建这张完全静态ARP缓存表工作量非常大,而且更改了IP地址或更换了网卡,就必须修改这张静态ARP缓存表;二是所有的主机上绑定网关的IP+MAC地址并非易事,假设在一个200台电脑的网络中,网络管理员就会不停的来回在200台电脑上奔波,费时费力,对网络管理员的忍耐力绝对是个考验;三是网关会因缓存表过大而使查询时间变长、处理能力下降。实践表明,局域网内的数据通信绝大多数时间是用户计算机与网关之间在进行通信,因此我们可以采用静态与动态相结合的方式来维护正确的ARP缓存表:1)用户计算机的ARP缓存表中只需设置一条静态的网关IP地址和MAC地址条目;2)网关采用ARP协议动态维护ARP缓存表,只要用户按照一个适当的频率向网关发送ARP应答,报告自己的IP地址与MAC地址对应关系,或者网关(路由器)定时定向的向局域网广播正确的网关(路由器)IP+MAC信息,那么网关就能维护一张正确的ARP缓存表。

4.2 基于交换机的MAC地址管理

Cisco交换机中可以在具体的交换机端口上绑定特定的主机的MAC地址,或是在端口上绑定MAC地址扩展访问列表。例如融合科技推出的交换机,可以实现IP+MAC+端口的绑定。另外在全部是Cisco交换网络里,可以用思科Dynamic ARP Inspection机制解决。DAI在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这样配置,可以有效防止各VLAN间的攻击,更好提高网络安全性和稳定性。

4.3 基于路由器的MAC-IP变化数据的管理

病毒主机一般不会改变其MAC地址,因为在接入层实现了MAC和交换机端口的绑定,因此不可能存在仿冒的MAC地址。病毒主机往往会假冒成被攻击者的IP,或者修改本机的TCP/IP协议实现,否则即使其他计算机上当,改向攻击者的MAC地址发送数据,攻击者提取IP报文时,会发现目的IP不是自己而抛弃掉。同时,攻击者会针对网关以及许多台计算机,因此攻击者往往表现为同一个MAC地址对应许多IP,并且对应的IP不断的变化。

不论是以广播方式发送的ARP欺骗,还是针对网关的非广播欺骗,路由器都能够接收到,并且记录在其ARP缓存中。路由器同计算机一样,都会在ARP缓存中保存当前所知道的MAC-IP条目,ARP缓存默认保存时间是20分钟,会不断的根据接收到的ARP应答包更新缓存表内容。因此,如果建立一台MAC-IP变化数据的监控服务器同路由器相连,每隔一个时间段向路由器发送指令,取出路由器的MAC-IP表并保存起来,就能根据同一个MAC对应IP的变化记录来发现ARP攻击。图1就是依据此方法开发的基于路由器检测ARP攻击的系统。

5 结束语

ARP病毒是一种很顽固,在不断发展进化中的病毒,新的变种不断出先现,当然新的防护设备,新的防范措施也在不断涌现。新的IPv6协议的使用,将有可能从根本上遏制这一病毒,因为在IPv6定义了邻机发现协议(NDP),把ARP纳入NDP并运行于因特网控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容,而且不用为每种链路层协议定义一种ARP。

参考文献

[1]张琦.交换机与ARP病毒间的对决[N].中国计算机报,2008-07-14.

[2]谢希仁.计算机网络[M].4版.北京:电子工业出版社,2003.

浅谈校园网ARP攻击原理与防范篇10

1. ARP病毒简介

1.1 ARP病毒

ARP病毒是一类特殊的病毒, 该病毒一般以木马病毒的形式出现, 不具备主动传播的特性, 不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包, 干扰全网的运行, 因此它的危害比一些蠕虫还要严重得多。其危害主要表现在:局域网内的部分或所有电脑不能上网;无法打开网页或打开网页慢;在打开的网页顶部和底部插入恶意广告;不断提示IP地址冲突 (非IP共用产生的IP地址冲突) ;局域网时断时续并且网速较慢等。

1.2 ARP协议介绍

ARP协议是一个不安全的协议, 因为是直接和用户使用的网络设备交互的协议, 所以很容易被仿冒、篡改、复制和非法获取。从其衍生出来的问题也越来越严重。ARP协议是建立在信任局域网内所有结点的基础上的, 所以效率很高, 但却不太安全。该协议是无状态的协议, 不会检查自己是否发过请求包, 也不管 (其实也不知道) 是否是合法的应答, 只要收到目标MAC是自己的ARP reply包或ARP广播包 (包括ARP request和ARP reply) , 都会接受并缓存。这就为ARP欺骗提供了可能。恶意节点可以发布的ARP报文从而影响网内结点的通信, 甚至可以做“中间人”。有的利用该协议造成ARP攻击, 使网络变慢, 客户机不能正常上网。进而严重影响校园网的正常运转。ARP协议的具体的工作过程如下:假设网络中有四台主机A、B、C和D, 他们的IP地址和对应的硬件地址如表1-1所示。

2. ARP病毒攻击的表现形式

一般来说, ARP攻击的后果非常严重, 大多数情况下会造成大面积掉线。有些网管员对此不甚了解, 出现故障时, 认为主机没有问题, 交换机不可能是导致掉线的原因, 电信服务商也不承认宽带故障。而且如果第一种ARP攻击发生时, 只要重启路由器, 网络就能全面恢复, 那问题一定是在路由器了。实际上这是错误的。ARP协议是一种很特殊也很重要的协议。因此ARP病毒的发作也给网络的正常传输带来了各种各样破坏。其表现形式基本上分为以下几点:

2.1 网络频繁掉线

网络频繁掉线主要表现为用户在使用网络的过程中, 网页打开速度慢、时断时续甚至根本打不开以及其它的网络应用处于断线状态。这种现象是因为感染ARP病毒的主机一旦收到ARP请求包后, 它就会向源主机发送伪造的ARP包, 导致源主机无法与真正的目的主机通讯。当伪造的ARP包中包含错误的网关信息时, 源主机会误认为中毒主机就是网关, 便会通过中毒主机连接外网, 如果中毒主机性能很差, 无法胜任“网关临时代理”功能就会表现为用户网络连通, 但延时太大, 所以用户上网才会觉得慢、时断时续, 甚至根本无法连接网络。

2.2 弹出恶意广告

ARP病毒在伪装网关的基础上, 还会对HTTP请求访问进行篡改。HTTP是应用层的协议, 主要用于WEB网页访问。当源主机的请求通过访问某个网站的时候, 中毒主机仍然会担任“网关临时代理”之职, 仍然会给源主机下载所请求的web网站内容, 但不同的是, 在将web内容传送给源主机的同时, 会在下载的web内容中插入恶意网址连接, 该恶意网址连接会利用多种系统漏洞, 向源主机种植木马病毒, 破坏用户的操作系统以及网络环境。

2.3 提示IP地址冲突

ARP病毒还会造成用户IP地址冲突, 并不断的提示, 干扰用户正常使用网络。正常情况下, 当主机A在连接网络 (或更改IP地址) 的时候就会向网络发送ARP包广播自己的IP地址, 也就是free ARP。如果网络中存在相同IP地址的主机B, 那么B就会通过ARP来reply该地址, 当A接收到这个reply后, A就会跳出IP地址冲突的警告, 当然B也会有警告。但如果网内存在ARP攻击病毒, 那么中毒主机便可以伪造这个ARP reply, ARP reply的内容就是“我的地址和主机A一样”, 主机A就误认为自己的IP和别人冲突了, 就会不断的出现IP地址冲突警告, 也就无法与网络通信。

3. 校园网ARP病毒防范的实现

3.1 系统配置

ARP攻击者本身有其正常使用的IP, 当攻击某台计算机时, 他会假冒成被攻击者的IP, ARP攻击会针对网关以及同一个网段的许多台计算机 (跨网段的ARP欺骗除此之外还要利用ICMP重定向欺骗) 。因此在网络上, ARP攻击者表现为同一个MAC地址, 对应许多IP, 且对应的IP不断的变化。不论是以广播方式发送的ARP欺骗, 还是针对网关的非广播欺骗, 路由器都能够接收到, 并且记录在其ARP缓存中。校园网络的发展有个一个实际的好处是, 在申请上网的时候保存了相应的用户信息。这就为本文提供了一个非常有效的资源, 我们可以根据绑定的IP和MAC地址来检测相应的IP地址和MAC地址映射的正确性从而判定ARP攻击的发生。

3.2 病毒检测模块

主程序接受到返回的字符串后, 调用ARP_Cache的execute () 方法执行后, 获取数据流中的IP和MAC映射对。返回一个ARP_Cache类型的数组。execute () 方法的具体实现如下:

3.3 病毒防御策略

通过对返回的数据处理和检测, 得到了病毒的样本, 保存到error_data数据库中, 通过访问该数据库可以知道校园网中ARP病毒的基本情况。在每次telnet之前先查询temp_table, 该交换机的ip是否在表中。如果没找到, 直接进行检测;否则提取相应的端口号和危险等级, 威胁最高的修改认证服务器使其不能连接到网络, 禁用该端口, 不再对该端口进行检测;危险等级的较高的, 禁用该端口, 不再对该端口进行检测;危险等级普通的, 清空该端口的缓存信息, 不再对该端口进行检测。在完成本次telnet后, 删除temp_table中相应的表项。

思科Dynamic ARP Inspection (DAI) 在交换机上提供IP地址和MAC地绑定, 并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础, 对于没有使用DHCP服务器的个别机器可以采用静态添加ARP access-1ist实现。DAI配置针对VLAN, 对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI控制某个端口的ARP请求报文数量。通过这样的配置, 可以在一定程度上解决ARP攻击问题, 提高网络安全性和稳定性。通过这些技术可以防范“中间人”攻击。

结论

校园网的飞速发展, 为学生和教职员工的生活、工作、学习提供了良好的环境。在发展的同时, 校园网面临着严峻的挑战, ARP病毒是主要的威胁之一。ARP病毒爆发的时候, 造成重要信息的泄露和网络大面积掉线等危害。针对这种情况, 本文在校园网ARP病毒的检测定位与防范方面进行了研究, 设计了一个用于ARP病毒检测定位与防范的系统。

摘要：当今的信息社会是建立在计算机网络的基础之上的, 网络信息安全形势十分严峻。网络协议安全是网络安全的重要环节, 对网络协议的分析、利用越来越受到人们的关注。本文分析了ARP协议及其存在的漏洞, ARP病毒的攻击原理和方式方法, 并设计实现了一个检测、定位和防范ARP病毒的系统。

关键词：校园网,ARP,攻击,防范

参考文献

[l]凌捷.计算机数据安全技术[M].北京:科学出版社, 2004.

[2]秦宗全, 于咏梅, 郭大春.校园网络安全防范体系研究[J].计算机时代, 2007 (2) :16-18.

[3]Stephen Northeutt.深入剖析网络边界安全[M].北京:机械工业出版社, 2003.8:4-11.

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处