ARP攻击判断及防范

关键词： 网络系统 攻击 欺骗 IP地址

ARP攻击判断及防范（精选八篇）

ARP攻击判断及防范 篇1

人们在尽情享用网络系统的同时,也面临各类安全威胁,如:隐私信息的泄露、网络个人口令信息的非法盗取、各类网络攻击的破坏等[1]。在常见的网络攻击行为中,欺骗技术应用极广,如:依靠IP地址欺骗实现的SYN洪水攻击和smurf攻击,利用ARP欺骗实现的ARP攻击。ARP攻击通过伪造ARP应答包并发送至目标主机,致使目标主机因受欺骗而导致通信内容的泄露或网络访问的受限[2]。

本文通过自主构建协议数据来呈现ARP攻击的原理,并在局域网环境下进行仿真,较为直观地呈现出该攻击的原理与方法,并据此给出防范ARP攻击的常用措施。

1 ARP攻击依赖的协议及原理分析

ARP攻击是通过向目标主机发送大量的ARP虚假信息来欺骗目标主机的,ARP虚假信息是以ARP应答包形式呈现的IP地址与ARP地址的映射关系。由于信息的海量,导致网络拥塞;又由于映射关系的不真实,导致目标主机被骗,进一步作为中间人,可非法获得双方的通信信息或实现信息的非法篡改。

由于ARP攻击是利用ARP协议实施的,使其仅可在局域网范围内传播与相互感染,所以,校园网、企业网极易遭受的网络攻击中,ARP占据较大份额。

1.1 攻击依赖的ARP协议

本文在图1给定的网络结构中介绍和分析ARP协议原理和攻击原理。主机A、B为内网主机,通过网关GW与因特网相连,主机C位于因特网中。设定各个主机及网关接口的IP及MAC信息如表1所列。

以所有主机和网络设备刚开始运行为前提,当主机向外发送信息时,先判断目的主机与自身是否为同一网段,同一网段时,直接取出目的主机的MAC地址构建数据帧并发送;不同网段时,取出网关MAC地址生成数据帧发送出去[3]。

MAC地址会记录在本地主机的ARP缓存中,若缓存中未找到记录信息,需要向本网段广播查询ARP,这一过程使用ARP协议实现。仅有匹配IP的主机回应ARP,该ARP成为响应包。询问主机收到ARP响应包后会立即更新本地ARP缓存。

1.2 ARP攻击原理分析

ARP协议一个致命缺陷是主机接收ARP响应包时,不会验证数据源的真实性,也不核查是否发送过相应的请求,这一漏洞被攻击方挖掘利用,以虚假身份发送IP地址与虚假MAC映射的ARP响应给目标主机,致使ARP攻击产生[4]。

ARP攻击的两个典型例子:因特网接入失效和中间人攻击。

(1)因特网接入失效攻击方法分析

以图1所示网络连接为例,设攻击方为主机A,攻击目标为主机B。导致主机B无法接入因特网,即无法主动与因特网主机通信,实现的关键是让主机B无法与网关GW/0接口通信。如果主机B本地的ARP缓存中,记录的网关GW/0接口的MAC错误,就可实现该要求。

如此,在攻击方主机上,产生网关GW/0接口IP和虚假MAC映射的ARP响应包,发送给主机B,主机B会更新本地ARP缓存,之后的因特网主机访问均会失效。

(2)中间人攻击方法分析

所谓中间人攻击,是指攻击方截获通信双方的数据,并进行篡改。过程示意图如图2所示。对通信数据的简单截获只能泄露,无法篡改。要篡改通信数据,必须改变数据的流向。图2所示的通信过程,B主机发往C主机的通信数据先流向攻击方A主机,再经攻击方发往C主机,另一方向通信也是这样进行的。

该过程中,攻击方需要分别对B主机和C主机进行攻击欺骗:告之B主机,自己是C主机;告之C主机,自己是B主机。在图1所示的网络环境中,B主机与C主机在两个网段,需要经过网关进行数据转发。“告之B主机,自己是C主机”应当设计为“告之B主机,自己是GW/0”,“告之C主机,自己是B主机”应当设计为“告之GW/0,自己是B主机”。

该处的设计与“断网”攻击有所区别,“告之B主机,自己是GW/0”,这样做是为了截获主机B发出的信息,应当让主机B具有GW/0接口IP与A主机MAC的映射信息,可以通过发送ARP响应包来实现。“告之GW/0,自己是B主机”,该欺骗的实现是向网关GW/0接口发送ARP响应包,包含B主机的IP与A主机的MAC。

当两个ARP响应包被海量发往相应主机时,主机A作为通信双方的中间人,可接收主机B发来的通信数据,篡改后以主机B身份转给网关接口GW/0,最终提交给主机C;来自主机C的数据,原本发往主机B,但经网关GW/0接口转发后,交给主机A,主机A进行篡改后再以网关GW/0身份发往主机B,完成了一次完整的双方数据通信,并成功实现了ARP欺骗。

2 ARP攻击实验仿真

2.1 实验仿真涉及的网络命令

在实验仿真过程中,为便于查看和操作本地ARP缓存信息,可以在命令符窗口使用arp命令,下面以三项操作为例:

(1)ARP缓存信息:>arp-a

(2)清空ARP缓存信息:>arp-d

(3)静态绑定IP与MAC映射:

>arp-s IP_address MAC_address

2.2 ARP攻击仿真

本文所述的两种攻击方式的仿真,是借助数据包发送软件(本文使用了Colasoft Packet Builder)来实现的,用户也可以自行开发ARP协议数据发送程序。

(1)因特网接入失效攻击仿真

“因特网接入失效攻击”的仿真极为简单,只需发送一条ARP欺骗数据给目标主机即可。图3以1.2部分的攻击为例,给出了攻击方A应当产生的ARP响应包的相关协议字段信息。

分析图3,为了很好的隐藏自身,主机A常以虚假身份出现,即发送数据帧的源端信息可为伪造(如:66-66-66-66-66-66),目的端信息为主机B的MAC。在ARP响应包的数据部分,将源IP与MAC映射分别写为网关GW/0的IP和虚假MAC。对虚假MAC,可以是根本不存在的值,若攻击方有意要截获目标主机的数据,可将虚假MAC写为自己的,但这样易导致身份暴露。

当目标主机B收到该ARP响应包后,会取出ARP中的源IP(192.168.1.1)和源MAC(66-66-66-66-66-66),并将该映射写入本地ARP缓存中。当该欺骗信息海量地发往目标主机,目标主机将无法再获得正确的映射信息,导致无法接入因特网。

(2)中间人攻击仿真

对于“中间人攻击”,按本文给出的表1和图1信息,以1.2部分的攻击为例,给出了攻击方A应当产生的“告之B主机,自己是GW/0”和“告之GW/0,自己是B主机”的ARP响应包,对应的协议字段信息依次见图4和图5。

主机A在发送欺骗数据前,应当先执行捕包操作,当海量欺骗数据发送出去后,主机B与主机C之间产生的通信数据可被主机A捕获,执行篡改后,以原来数据的身份发送给相应主机(目标主机信息需要修改)。

(3)仿真安全性分析

由于ARP缓存信息设有有效期,若仿真数据仅发送极少的量,仿真效果不明显。仿真期间,建议“循环发送”。另,缓存信息的有效期特点,可以保证仿真结束后,被攻击主机可以很快获得真实的映射信息,进而实现更新。该仿真过程不会对目标主机造成破坏,也不会影响原有配置的。若目标主机的ARP缓存更新不理想,或仍然延续仿真阶段的状况,可在目标主机上运行arp–d命令,以清空缓存并强制更新,但考虑到攻击仿真期间的影响,应尽量在实验室环境中进行。

3 防范ARP攻击技术分析

通过上述攻击原理分析,可以得出:防止ARP欺骗就是在有效防范ARP攻击[5,6]。

3.1 PC机防范ARP攻击常用方法

导致ARP攻击产生的主要原因是ARP协议设计上存在的漏洞,该漏洞无法避免,且系统的ARP缓存更新方法也无法直接改变。

对PC机而言,有效防范的方法包括:

(1)静态绑定关键主机的IP与MAC

可以在PC机上绑定本地网关、网段内服务器等关键主机的地址映射信息。静态绑定映射信息可通过命令arp来完成,现在主机B上执行绑定命令,如下:

>arp–s 192.168.1.1 11-11-11-11-11-11

(2)及时查看ARP缓存以发现ARP攻击

ARP攻击产生时,可通过实时监测本地ARP缓存信息的变化来及时察觉。使用arp–a可查看本地ARP缓存信息。

ARP缓存中,若网关IP映射的MAC发生变化,或者,当出现多个IP与同一个MAC相绑定时,都将预示存在ARP攻击。

(3)使用流量监测软件发现ARP攻击

ARP攻击常会发送大量欺骗响应包至目标主机,在流量监测软件上,若发现大量ARP响应数据,要提高警惕。

(4)使用专门的ARP防范软件

目前,因特网上可以免费获取众多用于防范ARP各类攻击的软件,对于个人用户而言,若不具备较为专业的计算机网络管理知识,可以借助专用软件轻松实现攻击的有效防范。

3.2 对网段有效管理以防范ARP攻击

对整个网段,为有效防范ARP攻击,应将网段关键设备“网关”加以保护,以防范ARP的“中间人攻击”等。

在网关上常用的方法包括:

(1)静态绑定

将网段合法IP与相应MAC静态绑定,可防范非授权的信息访问和中间人攻击等。静态绑定被视为是有效的防范方法,但当绑定主机更换网卡后,需要及时更新绑定信息,因而,人工管理参与较多。

(2)ARP异常流量实时监测

网关时常是ARP攻击的目标,因此,应当具有实时监测ARP异常流量的功能,以及时发现攻击源,并进行有效处理[7]。

网段内一旦有主机感染ARP,极易在局域网内传播,为有效管理网段安全,应当找出ARP攻击源头。通常,当主机被ARP攻击时,缓存地址映射中,多个IP均指向的那同一个MAC,即为攻击的源端。

(3)ARP流量限制

除本文所介绍的两种ARP攻击形式外,当大量ARP响应包(可以不含欺骗信息,但通常是人为构造出来的)发往网关时,也可因大量ARP映射信息的写入导致ARP缓存空间占满而无法再写入其他主机的映射信息,进而导致网关与主机通信失败,该攻击形式称为ARP洪水攻击。因此,可在网关上增加ARP流量限制功能,以有效防范。

(4)选用具备ARP防护技术的网络设备

在众多网络设备厂商中,不少已在相应的网络设备功能中加入了ARP防护功能,可为网络的安全管理提供有利条件。

4 小结

ARP攻击利用了ARP协议的设计漏洞,通过伪造ARP应答包并发送给目标主机,致使目标主机因受欺骗而导致通信内容的泄露或网络访问的受限等。

本文以“因特网接入失效”和“中间人攻击”两种形式,分别在给定的网络结构中,介绍和分析ARP攻击的原理。通过自主构建协议数据,结合局域网结构进行仿真,给出了ARP攻击的协议字段信息,直观呈现出攻击的实施过程,为初学者提供了实践指导。

依据ARP攻击的实施原理,罗列出PC机与网络核心设备上,各自应当采取的常用防范措施,可为企业及校园网等局域网环境下有效防范ARP攻击提供参考与帮助。

参考文献

[1]陈明奇,姜禾,张娟等.大数据时代的美国信息网络安全新战略分析[J].信息网络安全,2012.

[2]Ma H,Ding H,Yang Y,et al.Bayes-based ARP att ack detection algorithm for cloud centers[J].Tsinghua Science a nd Technology,2016.

[3]谢希仁.计算机网络[M].电子工业出版社,2008.

[4]Wei Y,Xiaoliang X.AN ARP ATTACK-RESISTAN CE IMPROVEMENT WITH PRIORITY AND AUTHEN TICATION[J].Computer Applications and Software,2014.

[5]王力,李禹生,胡乐炜.基于SNMP与Win Pcap的ARP攻击实时检测与恢复[J].科技通报,2012.

[6]姚玉开,卢翠荣,孙冠婴等.解析Windows环境中基于ARP的网络攻防技术[J].网络安全技术与应用,2014.

[7]宋若宁.海量数据环境下的网络流量异常检测的研究[D].北京邮电大学,2015.

ARP攻击判断及防范 篇2

本文通过ARP包过滤程序的应用，并在虚拟机Linux系统上对程序和用户程序进行了ARP包过滤测试，测试结果显示成功实现了对ARP欺骗帧的防范。

摘要：ARP协议导致的安全问题较多，找到ARP问题的根源在于接口输入输出时对包检测的不力，以及接收ARP包的操作对ARP高速缓存的处理存在问题。

关键词：ARP欺骗;虚拟机;ARP过滤

网络安全问题一直是网络发展中的突出问题，当前我国信息网络安全事件发生比例为62.7%，计算机病毒感染率下降为85.5%，感染计算机病毒、蠕虫和木马程序的情况依然最为突出，其次是网络攻击、端口扫描、垃圾邮件和网页篡改等安全事件中，攻击或传播源涉及内部人员的达到54%，因此计算机病毒对网络安全的影响仍然很大。

1.ARP病毒欺骗的表现

ARP欺骗技术和黑客技术结合，对网络安全造成了很大的威胁，主要有两种比较明显的表现形式。

1.1 ARP欺骗包

网络连接正常，但有部分或者所有电脑不能上网，无法打开网页或者打开网页速度变慢、局域网连接时断时续、频繁发生IP地址冲突等现象，严重影响网络的正常运行。这种现象主要是由于网络中大量ARP欺骗包的发送，影响了主机和网络的性能。

1.2 ARP病毒

ARP病毒变种较多，会向全网发送伪造的ARP欺骗广播，但病毒把自身伪装成网关，在被害主机与网关之间建立起单向的转发代理，在用户请求访问的网页添加恶意代码，导致杀毒软件在用户访问任意网站均发出病毒警报，有的.用户可能由于杀毒软件更新不及时而导致感染病毒。最明显的就是，所有访问的网站都会出现病毒，页面代码中加了如：

2.ARP包过滤

2.1 ARP包过滤程序流程

ARP包过滤的过程包含了三部分：首先是拒绝伪造包，其次是拒绝本机非目的主机的包，最后是拒绝更改网关。ARP包过滤程序流程见图1。

2.2 ARP包过滤操作

由于ARP包过滤主要是对伪造包的过滤，当伪造包被拒绝后，ARP欺骗就不可能实现，从而基于ARP欺骗的病毒和黑客技术就不会得逞。

ARP包的过滤规则主要是提供本机和网关的IP-MAC映射，这样中间层驱动就可以过滤伪造ARP包，这种过滤相当于增加了输入输出接口中ARP检测的功能，防止了ARP欺骗攻击对网络的欺骗，保护了网络通信的安全。

3.利用虚拟机进行ARP过滤测试

3.1 测试环境搭建

测试采用rh as5版Linux系统，在系统驱动程序齐全的状态下，在内核模式下启动测试操作，所有的保护措施均设置在用户模式下，以防止系统在测试过程中出现进程锁死导致测试失败，因为Linux系统下驱动程序存在设计缺陷，在系统运行中可能导致系统崩溃。另外，ARP欺骗也有可能干扰网络的正常运行，因此利用宿主计算机和虚拟机进行ARP过滤测试。

(1)测试主机的配置

(2)虚拟计算机

4.总结

在整个测试过程中，正常数据包均能顺利通过，而伪造包则被成功地过滤掉，网络通信并没受到过滤驱动程序的阻碍。在用户程序的运行界面中，能显示出过滤驱动程序成功实现了ARP欺骗包的拦截过滤，被攻击计算机的ARP高速缓存没发生溢出、破坏等现象，计算机的网络性能也没有发生明显变化。过滤驱动程序成功实现了ARP数据包的过滤，保护了主机ARP高速缓存的安全，并有效保护了主机不受ARP病毒的侵犯，从而实现了对ARP欺骗攻击的防范。

参考文献：

[1]宋晓辉.ARP病毒攻击机理与防御[J].网络安全技术与应用,.12.

[2]宋显祖,罗军舟.关于ARP协议应用的几点研究和实现[J].现代计算机,.2.

[3]任侠,吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程,:(6).

局域网内ARP攻击及防范实现 篇3

关键词：ARP欺骗,MAC地址,防范

1 攻击原理

要了解攻击原理, 我们先来了解一下ARP (Address Resolution Protocol, ARP) 地址解析协议。它是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用, 其主要用作将IP地址翻译为以太网的MAC地址, 但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层 (IP层, 也就是相当于OSI的第三层) 地址解析为数据链接层 (MAC层, 也就是相当于OSI的第二层) 的MAC地址。

在每台主机的内存中, 都有一个arp-->mac的转换表。通常是动态的转换表 (注意在路由中, 该arp表可以被设置成静态) 。也就是说, 该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。通常主机在发送一个ip包之前, 它要到该转换表中寻找和ip包对应的mac地址。如果没有找到, 该主机就发送一个ARP广播包:“我是主机xxx.xxx.xxx.xxx, mac是xxxxxxxxxxx, ip为xxx.xxx.xxx.xx1的主机请告之你的mac来”ip为xxx.xxx.xxx.xx1的主机响应这个广播, 应答ARP广播为:“我是xxx.xxx.xxx.xx1, 我的mac为xxxxxxxxxx2”于是, 主机刷新自己的ARP缓存, 然后发出该ip包。

一个入侵者想非法进入某台主机, 他知道这台主机的防火墙只对192.0.0.3 (假设) 这个ip开放23端口 (telnet) , 而他必须要使用telnet来进入这台主机, 所以他要这么做: (1) 他先研究192.0.0.3这台主机, 发现这台机器使用一个oob炸弹就可以让他死掉; (2) 他送一个洪水包给192.0.0.3的139端口, 于是, 该机器应包而死; (3) 主机发到192.0.0.3的ip包将无法被机器应答, 系统开始更新自己的arp对应表。将192.0.0.3地址丢去; (4) 这段时间里, 入侵者把自己的ip改成192.0.0.3; (5) 他发一个ping (icmp 0) 给主机, 要求主机更新主机的arp转换表; (6) 主机找到该ip, 然后在arp表中加入新的ip-->mac对应关系; (7) 防火墙失效了, 入侵的ip变成合法的mac地址, 可以telnet了。

2 故障现象

当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有的主机和路由器, 让所有上网的流量必须经过木马主机。其他用户原来直接通过路由器上网现在转由通过木马主机上网, 切换的时候用户会断一次线。

切换到木马主机上网后, 如果用户已经登录了网游服务器, 那么木马主机就会经常伪造断线的现象, 使用户重新登录服务器, 这样木马主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞, 用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时, 用户恢复从路由器上网, 切换过程中用户会再断一次线。

3 在局域网内查找病毒主机

以我校局域网曾经出现的症状, 演示如何查找感染了ARP病毒 (木马) 的主机。

3.1 网络拓扑图

如图1所示, 上行S3206为用户网关, 级联S2826为接入用户交换机, 用户使用静态IP地址。

3.2 故障现象

很多用户反映上网速度慢, ping网关时延抖动严重, 且丢包。

3.3 故障分析

由于故障涉及用户较多, 且分布在不同的接入交换机上, 所以在S3206上用命令show logging alarm查看, 发现如下告警信息:

S3206#show logging alarm

An alarm 19712 level 6 occurred at 15:20:06 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.10 is changed from 0015.58c4.3c48 to 0018.f3d9.ab19

An alarm 19712 level 6 occurred at 15:20:09 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.191.28 is changed from 0014.2ab6.6c53 to 0018.f3d9.ab19

An alarm 19712 level 6 occurred at 15:20:10 05/25/2010 UTC sen by MCP%ARP%The hardware address of IP address 10.40.190.70 is changed from 0018.f3d9.ab19to 0011.435c.7eb3

An alarm 19712 level 6 occurred at 15:20:10 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.41 is changed from 0014.22a1.8c30 to 0018.f3d9.ab19

An alarm 19712 level 6 occurred at 15:20:12 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.172 is changed from 0018.f3d9.ab19 to 0018.f3d9.278c

An alarm 19712 level 6 occurred at 15:20:12 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.78 is changed from 0018.f3d9.ab19 to 0011.4360.b253

An alarm 19712 level 6 occurred at 15:20:12 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.22 is changed from 0018.f3d9.ab19 to 0040.d051.5f5c

An alarm 19712 level 6 occurred at 15:20:16 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.172 is changed from 0018.f3d9.278c to 0018.f3d9.ab19

An alarm 19712 level 6 occurred at 15:20:19 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.191.200 is changed from 0009.6b08.962c to 0018.f3d9.ab19

An alarm 19712 level 6 occurred at 15:20:20 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.65 is changed from 0017.083d.c4a3 to 0018.f3d9.ab19

An alarm 19712 level 6 occurred at 15:20:20 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.191.39 is changed from 0000.f082.b4f7 to 0018.f3d9.ab19

An alarm 19712 level 6 occurred at 15:20:20 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.191.200 is changed from 0018.f3d9.ab19 to 0009.6b08.962c

An alarm 19712 level 6 occurred at 15:20:20 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.97 is changed from 0018.f3d9.ab19 to 0015.c54c.f7f1

An alarm 19712 level 6 occurred at 15:20:22 05/25/2010 UTC sent by MCP%ARP%The hardware address of IP address 10.40.190.70 is changed from 0011.435c.7eb3 to 0018.f3d9.ab19

由上可看到有台计算机 (MAC地址为0018.f3d9.ab19) 在不断地抢占同网段其他计算机的IP, 同时, 该告警出现频次很高, 怀疑应是ARP病毒所为。

3.4 故障排除

在S3206上配置MAC地址过滤, 过滤掉中毒计算机的MAC地址:

S3206 (config) #mac filter source 0018.f3d9.ab19 1

此时, 该中毒计算机无法上网。但其他用户上网正常。对该中毒计算机使用ANTIARP等专杀工具清除ARP病毒后, 再取消MAC过滤配置。该用户上网也正常, 故障解决。

4 解决方法

4.1 用户端绑定

在用户端计算机上绑定交换机网关的IP和MAC地址。

首先, 要求用户获得交换机网关的IP地址和MAC地址, 用户在DOS提示符下执行arp–a命令, 具体如下:C:Documents and Settings user>arp–a

Interface:10.10.100.1---0x2

Internet Address Physical Address Type

10.10.100.254 00-40-66-77-88-d7 dynamic

其中10.10.100.254和00-30-6d-bc-9c-d7分别为网关的IP地址和MAC地址, 因用户所在的区域、楼体和交换机不同, 其对应网关的IP地址和MAC地址也不相同。

编写一个批处理文件arp.bat, 实现将交换机网关的MAC地址和网关的IP地址的绑定, 内容如下:

@echo off

arp-d

arp-s 10.10.100.254 00-40-66-77-88-d7

用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址, 填入arp–s后面即可, 同时需要将这个批处理软件拖到“windows xp开始———程序———启动”中, 以便用户每次开机后计算机自动加载并执行该批处理文件, 对用户起到一个很好的保护作用。

4.2 网管交换机端绑定

在核心交换机上绑定用户主机的IP地址和网卡的MAC地址, 同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

4.2.1 IP和MAC地址的绑定

在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以很大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。

4.2.2 MAC地址与交换机端口的绑定

根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号, 将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址, 该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网, 自然也就不会对局域网造成干扰了。

4.3 采用VLAN技术隔离端口

局域网的网络管理员可根据本单位网络的拓扑结构, 具体规划出若干个VLAN, 当管理员发现有非法用户在恶意利用ARP欺骗攻击网络, 或因合法用户受病毒ARP病毒感染而影响网络时, 网络管理员可利用技术手段首先查找到该用户所在的交换机端口, 然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离, 以避免对其它用户的影响。

参考文献

[1]刘晓晖, 窦卉.浅析局域网ARP病毒的原理和应对方法[J].科协论坛, 2009 (11) .

校园网环境下ARP攻击及防范措施 篇4

关键词：ARP协议,ARP欺骗,防御

1、引言

随着计算机网络的发展, 网络安全问题显得越来越重要, 各种网络安全问题也层出不穷。现在人们普遍采用防火墙和将校园网与互联网隔离的方法来保证局域网的安全, 但是对于来自内网的攻击和欺骗以及利用一些局域网协议的漏洞进行的攻击和欺骗则没有很好的对策, 也容易被网络管理者忽视。地址解析协议ARP (Address Resolution Protocol) 是TCP/IP协议族中的底层协议, 用它来完成IP地址到硬件地址的转换。ARP由于其本身的特点, 如果被恶意利用, 就用对局域网产生严重的危害, 我们必须予以足够的重视, 本文针对目前比较常见的ARP欺骗进行了较深入的分析并提出了解决对策。

2、ARP协议

ARP (Address Resolution Protocol) 即地址解析协议, 该协议将网络层的IP地址转换为数据链路层地址。TCP/IP协议中规定, 每一台接入局域网的主机都要配置一个IP地址, 而局域网内主机之间的通信是靠MAC地址来确定目标的, 在通信过程中必须把IP地址转换成MAC地址。ARP把基于TCP/IP的软件使用的IP地址解析成LAN硬件使用的媒体访问控制地址, 并在这两种地址之间建立某种静态的映像。

3、ARP协议的工作原理

⑴、首先, 每台主机都会在自己的ARP缓冲区中建立一个ARP列表, 以表示IP地址和MAC地址的对应关系。

⑵、当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己ARP表中是否存在该IP地址对应的MAC地址, 如果有﹐就直接将数据包发送到这个MAC地址;如果没有, 就向本地网段发送一个ARP请求的广播包, 查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

⑶、网络中所有的主机收到这个ARP请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的MAC地址。

⑷、源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包, 表示ARP查询失败。

4、ARP欺骗攻击

从ARP协议的工作原理可以看出, ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答, 使目标主机接收应答中伪造的IP与MAC间的映射对, 并以此更新目标主机ARP表。

假设局域网中有三台主机分别为A, B, C, 其IP地址及MAC地址如下图所示:

若主机A (源主机) 要与主机B (目标主机) 通信, 当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有主机B的IP地址。如果找到了, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是"FF.FF.FF.FF.FF.FF", 这表示向同一网段内的所有主机发出这样的询问:"192.168.10.2的MAC地址是什么?", 正常情况下, 网络上其他主机并不响应ARP询问, 只有主机B接收到这个广播时, 才向主机A做出这样的回应:"192.168.10.2的MAC地址是00-E0-3C-09-4E-09"。这样, 主机A知道了主机B的MAC地址, 就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。此时若主机C运行了ARP欺骗的木马程序, 就会向A发送一个自己伪造的ARP应答, 这个应答中的IP地址是192.168.10.2, MAC地址是00-E0-3C-09-4F-10 (C的MAC地址, 本来应该是00-E0-3C-09-4E-09) , 当A接收到C伪造的ARP应答后, 就会更新本地的ARP缓存, 而主机A并不知道这是伪造的。主机C只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC对, 造成网络中断或中间人攻击。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网拥塞, 用户会感觉上网速度越来越慢, 并且上网时断时续。5"软硬"兼施防范ARP欺骗攻击

⑴、最简单的办法, 是将IP地址和硬件地址进行静态绑定。

第一步:获得网关IP地址和网关MAC地址

例如:网关IP地址为192.168.66.1, 网关MAC地址为00-30-02-08-08-68

第二步:编写一个批处理文件arp.bat, 实现将交换机网关的MAC地址和网关的IP地址的绑定:

编写完以后, 点击"文件"→"另存为"。注意文件名一定要是*.bat如arp.bat保存类型注意要选择所有类型。

将这个批处理软件拖到"windows--开始--程序--启动"中, 以便用户每次开机后计算机自动加载并执行该批处理文件, 对用户起到一个很好的保护作用。但是, 静态绑定有违ARP动态解析和更新地址对应关系的原则, 而且增加了管理网络的成本, 不太适用于经常变动的网络环境和大规模的网络, 但是对于小规模的安全网络来说, 还是有效而且可行的。

⑵、通过专门的防ARP的软件

通过安装ARP防火墙、金山ARP防火墙、360安全卫士带的ARP防火墙、ARP终结者等专业的ARP防护软件, 可以有效的防范ARP攻击。

⑶、在网管交换机端绑定

在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。同时根据网络用户所对应的交换机端口号, 将用户计算机网卡的MAC地址和交换机端口绑定。可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址, 该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网, 自然也就不会对局域网造成干扰了。

6、结束语

ARP欺骗是一种典型的欺骗攻击类型, 它利用了ARP协议存在的安全隐患, 只要发送和接受ARP报文, 就可能会受到虚假信息的欺骗, 这种攻击非常普及并有较高的成功率。本文通过分析ARP协议的工作原理, 提出了几种常规可行的解决方案, 如在用户计算机上绑定交换机网关的IP地址和MAC地址、利用专业的ARP防护软件、在交换机上绑定用户主机的IP地址和网卡的MAC地址或绑定用户计算机网卡的MAC地址和交换机端口等技术。尽管有一定困难, 但根据ARP的工作原理, 以及网络系统的具体情况, 采取一些相应的防护措施来防范ARP欺骗, 还是可行有效的。

参考文献

[1].邓清华, 陈松乔.ARP欺骗攻击及其防范[J].微机发展, 2004, 14 (8) :126-128.

[2].周增国.局域网络环境下ARP欺骗攻击及安全防范策略[J].计算机与信息技术, 2006.

[3].吴功宜.计算机网络[M].第2版.北京:清华大学出版社, 2007.

[4].仇多利.ARP攻击及防御策略[M].电脑知识与技术.2006.

ARP攻击判断及防范 篇5

1. 局域网中的ARP欺骗病毒

1.1 ARP欺骗病毒的症状

近几年, 高校中的局域网时常会断线, 一段时间过后又能恢复正常通讯。具体表现为:客户端计算机瞬间与服务器通讯中断, 无法正常运行;IE浏览器频繁报错或访问网页的速度变得极其缓慢;一些常用软件出现运行故障自动关闭等;若通过802.1X身份认证接入局域网, 会突然遇到用户认证成功但无法访问网络的情况。当重启计算机后又能恢复正常的网络通讯。

1.2 ARP欺骗病毒的危害

这类病毒可能会使局域网内的用户无法正常上网, 最严重的情况下将导致整个局域网瘫痪。这类木马病毒除了让用户不能正常访问网络, 还会窃取用户的个人资料与隐私, 如上网账号、密码等。这将给用户带来经济上的损失。

1.3 ARP欺骗病毒的欺骗方式

当下, 这类病毒可以分为两种:仿冒网关攻击病毒和欺骗网关攻击病毒。

1.4 ARP欺骗病毒的工作原理

1.4.1 仿冒网关攻击病毒

这类病毒利用局域网内中毒计算机的MAC地址 (网卡物理地址) 来取代网关的MAC地址, 让被它欺骗的计算机向假网关发送数据, 而不是通过正常的网络设备 (如交换机、路由器等) 来上网, 从而造成网络内部互通, 但用户上不了网。如图1所示。

当这类病毒运行时, 网关的MAC地址就彻底发生了改变, 真实的网关MAC地址就被中毒计算机的MAC地址所取代。如图2所示。

现在来看一下该病毒的工作原理和机制。当局域网中的计算机PC-A打开一个网页时, 正常情况下, 计算机PC-A发出的通信数据包直接流向网关。但当局域网内感染了该病毒后, 计算机PC-A发出的数据包在流经网关之前必须经过计算机PC-B。

根据图3, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B发出ARP欺骗病毒广播包, 对外称自己就是网关。第二步:局域网内每一台计算机都能接收到计算机PC-B发出的ARP欺骗病毒广播包并更新ARP表, 所以ARP缓存就会中毒。第三步:局域网内任意一台计算机通过中毒的计算机PC-B访问因特网, 可能导致整个局域网通讯中断。

1.4.2 欺骗网关攻击病毒

这类病毒首先会截获网关的通讯数据, 然后通知网络设备 (如交换机、路由器等) 一系列错误的内部MAC地址并不断重复上述过程, 使真实的MAC地址信息无法通过更新保存在网络设备中, 最终导致网络设备发送传出的数据包只能传送到错误的MAC地址上。

仍以图三为例, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B (见表1) 仿冒计算机PC-A (见表2) 向网关发送伪造的ARP报文 (其MAC地址为CC-CC-CC-CC-CC-CC) 。

第二步:网关的ARP表 (见表3) 中记录了错误的计算机PC-A的地址映射关系, 从而导致正常的数据报文无法正确地被PC-A接收。

2. ARP欺骗病毒的防范方法

2.1 提高电脑用户安全防范意识水平

接入局域网中的用户应不断提升网络安全防范意识。建议如下:⑴给管理员账户设置相对复杂的权限密码;⑵禁用操作系统的自动播放功能;⑶经常更新杀毒软件的病毒库, ⑷安装网络防火墙;⑸定期更新操作系统和相关应用软件补丁;⑹关闭一些不必要的服务, 例如一些共享服务, 如单机用户可彻底关闭server服务。

2.2 使用专业软件防护

使用ARP防护软件, 例如AntiARP Sniffer。该软件有2个功能。第一, 防止用户通讯时数据包被第三方截取;第二, 防止ARP病毒发送地址冲突数据包。该软件操作起来也很方便, 如果该软件频繁地提示用户IP地址冲突, 则说明局域网中存在ARP欺骗病毒。用户只要将计算机中的[事件查看器]打开就可以获取到冲突的MAC地址, 将它们复制到该软件的[本地MAC地址栏], 完成后点击[防止地址冲突]。再禁用本地网卡, 然后启用。用CMD命令打开MS-DOS窗口输入Ipconfig/all指令查看当前MAC地址是否与本地MAC地址匹配, 如果符合将不再显示地址冲突。

2.3 上网客户端静态地址绑定

编写一个批处理文件, 将其命名为antiarp.bat。该文件的功能是将交换机的网关IP地址和网关MAC地址进行绑定。用户可使用[arp–a]命令查看交换机网关IP地址和网关MAC地址。将这个批处理文件拖到[windows—开始—程序—启动]中, 之后用户每次开机都会自动加载该文件。代码:@echo off;arp-d;arp-s网关IP地址网关MAC地址;

2.4 局域网划分VLAN (虚拟局域网) 隔离ARP欺骗病毒

局域网中的网管员应根据单位网络拓扑结构划出若干个VLAN。当网管员发现有用户的计算机向局域网发送大量地址冲突数据包时, 应该利用技术手段对该用户的交换机端口定位, 然后将该端口划分到一个单独的VLAN隔离该用户, 以避免对其他用户造成影响或者直接屏蔽该用户的上网端口。

3. 结束语

局域网内部防御ARP病毒攻击的方法是在客户端、网络接入设备和服务器端建立立体防御机制。但这些办法无法从根本上根治ARP病毒, 因为ARP病毒是基于ARP协议的安全缺陷产生的。今后随着Ipv6的应用与普及, ARP病毒将被根治。

摘要：近几年, APR欺骗病毒在局域网内大量出现导致用户上网非常不稳定。该文章将详细介绍这类病毒的攻击原理及预防措施。

关键词：ARP病毒,工作原理,预防方法,局域网

参考文献

[1]谢希仁.计算机网络 (第四版) [M].大连:大连理工大学出版社, 2004.

[2]黄剑飞.构建网络安全的几点设想[J].教育与职业, 2004 (20) :66～67

ARP攻击判断及防范 篇6

校园网内的ARP攻击及网络资源盗用一直以来都是比较头疼的问题。针对这些问题的出现, 校园网络管理人员当然要对网络进行相应的调整。但要想彻底的防范这些问题的发生, 就必须先了解其产生的原理, 在这里我首先介绍一下ARP攻击。

2 ARP攻击

2.1 ARP的定义

我首先来介绍一下什么是ARP。ARP的英文全称是Address Resolution Protocol, 意思是地址解析协议, 它是TCP/IP协议栈中的一个底层的协议, 主要负责将IP地址解析成对应的MAC地址。

2.2 ARP中毒表象

ARP的中毒表象为:在使用局域网上网时会突然掉线, 但过一段时间后又会自动恢复正常。具体的表现为PC客户端无法获取到地址、网络使用时断时续、IE浏览器访问页面出错等故障。

2.3 ARP攻击的严重后果

ARP病毒木马只要感染一台PC终端, 就会造成同一个VLAN下的局域网无法正常上网, 严重的会导致整个网络瘫痪。同时也会窃取用户的资料, 比如QQ、网银、网游的账号密码, 从而进行非法的交易, 给用户带来巨大的经济损失。

2.4 ARP病毒攻击原理

ARP病毒的原理就是伪造和欺骗。通过伪造IP地址和用户终端的MAC地址实现ARP的欺骗, 然后通过伪造的地址在网络中产生大量的通信量从而导致网络阻塞。攻击端只要不断发出伪造的ARP响应包就可以更改目标PC的ARP缓存中的IP-MAC信息, 造成网络终端和中间PC的攻击。其主要是存在于局域网中。

打个打个比方, 中了木马的电脑屏蔽掉路由器将自己伪装成路由器, 当路由器突破屏障并夺回控制权时, 网络进行切换, 用户会掉线。ARP共计越厉害, 掉线越频繁。

2.5 ARP攻击的防范

说到ARP攻击, 那肯定要说一下如何对ARP攻击进行防范。对ARP攻击完全的防范是比较困难的, 如果要通过修改ARP协议的方式也不大可能。但可以对本机进行一些设置, 将被ARP病毒入侵的几率降到最小。这里简单介绍两种方法。

1) 安装ARP防火墙。目前比较流行的就是360ARP防火墙, 360ARP防火墙解决ARP攻击问题采用的方案是:主要是通过在系统内核层拦截ARP攻击数据包, 采取措施保证网关的MAC地址不被修改, 保证数据正确流向, 通讯数据不被第三者控制。如图1。

2) 也就是最原始的办法, 即“双向绑定”+“ARP广播”。在路由器上绑定客户机的IP和MAC地址, 在客户机上绑定路由器的IP和MAC地址, 同时开启路由上的ARP广播, 不停地广播正确网关的ARP信息。步骤如下:

在客户机上绑定路由的IP和MAC地址, 可以通过DOS命令, 如arp-s 172.31.24.239 0013-026F-CF06来实现绑定;在路由上绑定客户机的IP和MAC地址:

进入路由的Web控制→“防火墙”→“访问控制 (ACL) ”→“MAC与IP绑定”, 开启MAC与IP绑定, 并将内网所有主机的IP和对应MAC地址加入到绑定列表中即可。

我们学校目前使用的即是双向绑定, 特别是针对学生网, 为每个合法的学生用户都分配了一个IP地址, 并在核心交换上进行IP-MAC的绑定。这种方法固然能对ARP攻击进行一定防范, 但对一些通过非法软件扫描他人网络资源, 进而盗用的“非法用户”, 就无法进行防范。下面我来介绍一些校园网中常见的IP地址的盗用。

3 网络资源的盗用

网络管理员解决网络资源被盗用问题, 是保证网络安全的众多工作中的一项非常重要而又棘手的工作。ARP协议是将网际互连中的IP地址与网络接口卡的物理地址 (MAC) 相关联起来的协议。前几年IP地址绑定MAC地址即可解决IP地址被盗用的问题, 然而随着计算机网络技术的不断进步, 全球唯一的MAC地址, 同样可以随意进行修改, 这样通过IP地址与MAC地址绑定已无法凑效。

目前在校园网中, 特别是学生公寓, 盗用IP地址的现象非常的多, 很多学生用户通过盗用别人地址的方法来隐藏自己的身份。IP地址的盗用行为严重扰乱了校园网络的正常运行, 侵害了网络用户的利益, 给网络管理人员带了很大的麻烦, 因此解决IP地址盗用问题成为校园网络安全建设的一个重要课题。

3.1 两种常见的盗取IP地址的方法

第一种方法:人为修改机器的IP地址。

用户电脑终端配置IP地址时不是自动获取, 也没有设置网络管理人员制定的IP地址, 而是人为修改本机的IP地址, 产生IP地址盗用。

第二种方法:同时修改IP地址和MAC地址的方法。

针对第一种方法可以通过IP+MAC绑定技术进行解决。然而现在一些兼容型网卡的MAC地址可以通过配置程序和第三方软件进行修改, 非法用户通过将自己的电脑终端的IP和MAC地址同时修改成另一台合法终端对应的IP和MAC地址, 则IP+MAC捆绑失效。我们学校学生公寓网发生的数起盗用网络资源事件, 就是通过这种方法进行盗用的。

3.2 防范IP地址盗用的方法

3.2.1 定期扫描及防范机制

定期扫描网络中路由器的ARP表, 将扫描到的IP-MAC的对照关系与合法的IP-MAC表进行比对, 如果发现有的信息不一样, 则说明IP地址有可能被盗用。也可以通过用户投诉的故障现象来判断是否出现IP地址盗用的行为。常用的几种防范机制有:代理服务器技术、IP+MAC绑定技术, IP-MAC-USER认证授权技术以及透明网关技术等等。

但这几种防范技术都存在一定的局限性。例如IP-MAC绑定技术, 很难对用户进行管理;透明网关技术需要专用的机器转发数据, 所有数据都通过此节点, 造成这个专用机器的性能很大程度上可能成为网络运行的瓶颈。最重要的局限在于, 这些防范技术只是阻止了盗用IP地址的终端直接访问外部的网络资源, 没有从本质上规避和解决盗用IP地址而产生危害的风险。盗用了IP地址的终端仍然可以在此IP所在的子网中进行网络访问, 干扰了其他正常用户的使用, 同时也可能造成子网中的其他终端和网络设备被IP地址盗用者攻击, 带来危害。

3.2.2 利用端口定位技术及时终止IP地址盗用

很多情况下需要利用端口技术来阻止IP地址盗用行为, 此技术是根据交换机的工作原理而采取的策略。一般的二层交换机都是通过MAC地址来过滤和转发数据包, 在数据链路层上工作。根据交换机的设计, 工作中的交换机需要自动创建一个与端口对应的MAC地址表, 此表存储的信息就是与其有信息交换的并处于同一个子网中的所有主机MAC地址。交换机通过SNMP协议与其他交换机进行信息交换, 获取其他交换机存储MAC地址信息, 生成一个实时的Switch-Port-MAC对应表, 将此表与原来合法的完整表进行比对, 可以找出与之连接的不合法MAC地址, 通过深入一步工作后, 即可判定是否存在IP地址盗用的情况发生。如果在不同的交换机非级联端口上都有一个相同的MAC地址, 则存在IP-MAC的成对盗用。

通过以上的工作确定了网络中有人盗用IP地址, 可以直接锁定到交换机的端口, 再检索Switch-Port-MAC对应表, 就可以确定发生盗用行为的物理地点。

确定IP地址盗用后, 应立即采取预案响应, 将此行为的影响和损失降到最低。从技术层面上, 可以通过SNMP管理站向交换机代理发送SNMP消息, 切断有IP地址盗用情况的端口, 从而使得盗用IP地址的终端不能与网络中其他设备产生信息的互通, 保证整个网络正常运行。如图2所示。

关闭出现异常的交换机端口, 找到相应的用户, 进行处理是否发现异常, IP-MA-交换机端口地址对应采集各交换机非级联端口ARP Cache数据分析采集的ARP Cache数据是否正常。

通过改变端口管理状态来切断对应端口。给在MIB中代表端口管理状态的可读写对象if Admin Status (对象标识符号为1.3.6.1.2.1.2.2.1.7) 赋不同的值, 可以改变端口的管理状态 (“1”代表开启端口, “2”代表关闭端口, “3”代表供测试用) 。

开启和关闭响应端口, 需要由管理站向交换机发送赋值信息。例如要关闭某一交换机 (172.31.34.5) 的2号端口, 可以向该交换机发出如下信息:

因此, 在现实的网络管理工作中, 快速有效地发现和阻止IP地址盗用行为的方法是:科学管理交换机端口, 结合IP-MAC绑定技术;此方法有效解决IP-MAC成对盗用问题, 并且不影响网络的运行效率。

4 结束语

以上介绍了校园网中常见的两种比较严重的问题。其中对ARP攻击的防范, 使用目前比较流行的IP-MAC双向绑定较为普遍, 当然安装ARP防火墙更是必不可少。网络资源的盗用可以通过IP-MAC绑定+交换机端口管理进行防治, 效果是非常显著的。校园网的稳定与和谐要靠大家共同来维护, 了解掌握一些网络安全的知识, 会给大家在使用网络资源工作的过程中减少一些不必要的麻烦, 更大地提高工作效率。

参考文献

[1]曹丹海, 孙公达.校园网IP地址管理系统的设计与实现[J].西安邮电学院学报, 1998 (1) .

[2]张尧学, 王晓春, 赵艳标.计算机网络与Internet教程[M].北京:清华大学出版社, 1999.

ARP攻击判断及防范 篇7

1.1ARP协议

ARP欺骗, 一个让我们耳熟能详的网络安全事件, 普遍的存在于校园网、企业网等网络环境中, 给我们的工作、学习和生活带来了很大的不变, 轻则网络变慢、时断时续, 重则直接无法上网、重要信息被窃取, 可以说, ARP欺骗是网络的一块顽疾。分析ARP欺骗, 就不得不研究一下ARP协议, 因为这种攻击行为正是利用了ARP协议本身的漏洞来实现的。

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写, 它的作用, 就是将IP地址转换为MAC地址。在局域网中, 网络中实际传输的是“数据帧”, 数据帧如果要到达目的地, 就必须知道对方的MAC地址, 它不认IP的。但这个目标MAC地址是如何获得的呢?它就是通过ARP协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。

我们以主机A向主机B发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问。网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

以上就是ARP协议的作用以及其工作过程, 看来是很简单的, 也正因为其简单的原理, 没有其他措施的保障, 也就使得ARP欺骗产生了。下面我们来看看ARP欺骗到底是怎么回事。

1.2ARP欺骗原理

为什么会有ARP欺骗, 这还要从ARP协议说起, 前面我们介绍了, 当源主机不知道目标主机的MAC地址的话, 就会发起广播询问所有主机, 然后目标主机回复它, 告知其正确的MAC地址, 漏洞就在这里, 如果一个有不轨图谋的主机想收到源主机发来的信息 (可能是用户名、密码、银行账号之类的信息) , 那么它只需也向源主机回复一下, 响应的IP地址没错, 但MAC地址却变成了发起欺骗的主机的, 这样, 信息就发到它那里去了 (前面说了, 数据帧只认MAC地址) 。这是一种欺骗的方式, 还有一种方式, 是利用了“免费ARP”的机制。所谓免费ARP就是不需要别人问, 一上来就先告诉别人, 我的IP地址是多少, 我的MAC地址是多少, 别的主机无需广播, 就已经知道了该主机的IP和MAC, 下次需要发到这个IP的时候, 直接发就行了。既然是主动发起的, 就可以被别有用心的人利用了, 用一个假冒的IP地址 (可能是网关的或者重要服务器的地址) 加上自己的MAC出去骗别人, 就把重要的信息都骗到这里来了。下面我们来看看ARP欺骗的具体操作过程。

1.2.1 局域网主机冒充网关进行ARP欺骗

欺骗过程:如下图所示, PC A跟网关GW C通讯时, 要知道GW的MAC地址, 如果PC B假冒GW告诉PC A, GW的Mac地址是MACB;或者干脆告诉PC A, GW的Mac地址是MACX, 那么, PC A就受骗了, PC A的数据就到不了网关, 造成断线。

1.2.2 局域网主机冒充其他主机欺骗网关

欺骗过程:网络通讯是一个双向的过程, 也就是说, 只有保证PC A-> GW C以及GW C->PC A 都没问题, 才能确保正常通讯。假如, PC B冒充主机PC A, 告诉GW C:PC A的MAC是MAC B, 网关就受骗了, 那么, PC A到GW C没有问题, 可是, GW C到不了PC A, 因而造成网络断线。

以上两种欺骗, 尤其是第二种类型的欺骗, 现在更为常见。从本质上说, 同一局域网内 (这里指在同一网段) 的任何两个点的通讯都可能被欺骗, 无论是主机到网关, 网关到主机, 主机到服务器, 服务器到主机, 还有主机之间都是一样, 都可能产生进行ARP欺骗, 欺骗本质都是一样。

1.2.3 其他欺骗类型

主机冒用其它主机, 欺骗其它主机的方式:如主机A冒用主机B的MAC, 欺骗主机C, 以达到监听主机B和主机C的目的.并且导致主机B到主机C之间的网络连接中断。

外网欺骗:外网冒用路由器A的MAC, 欺骗更上一级的路由器B, 导致更上一级的路由器被骗, 将内网信息全部转发给外网恶意主机。

2ARP的主要欺骗及攻击方式

2.1ARP欺骗

网络欺骗是黑客常用的攻击手段之一, 网络ARP欺骗分为两种, 一种是对路由器ARP表的欺骗, 另一种是对内网主机的网关欺骗。前一种欺骗的原理是攻击者通过截获分析网关数据, 并通知路由器一系列错误的内网IP地址和MAC地址的映射, 按照一定的频率不断进行使真实的地址信息映射无法通过更新保存在路由器中, 结果路由器转发数据到错误的MAC地址的主机, 造成正常主机无法收到信息;后一种ARP欺骗的原理是伪造网关, 它的原理是把真实网关的的IP地址映射到错误的MAC地址, 这样主机在向网关发送数据时, 不能够到达真正的网关, 如果假网关不能上网, 那么真实的主机通过假网关也不能上网。

2.2中间人攻击

按照ARP协议的设计, 一个主机即使收到的ARP应答并非自身请求得到的, 也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信, 但也为ARP欺骗创造了条件。如图1所示, PC-X为X主机, MAC-X为X主机的物理地址, IP-X为X主机的IP地址。PC-A和PC-C通过交换机S进行通信。此时, 如果有攻击者 (PC-B) 想探听PC-A和PC-C之间的通信, 它可以分别给这两台主机发送伪造的ARP应答报文, 使PC-A中的ARP缓存表中IP-C和MAC-B所对应, PC-C中的ARP缓存表中IP-A和MAC-B所对应。此后, PC-A和PC-C之间看似直接的通信, 实际上都是通过攻击者所在的主机间接进行的, 如图1虚箭头所示, 即PC-B担当了中间人的角色, 可以对信息进行窃取和篡改。这种攻击方式就称作中间人攻击。

2.3ARP泛洪攻击

攻击主机持续把伪造的IP地址和MAC地址的映射对发给受害主机, 对于局域网内的所有主机和网关进行广播, 抢占网络带宽并干扰正常通信。导致网络中的主机和交换机不停地来更新自己的IP地址和MAC地址的映射表, 浪费网络带宽和主机的CPU, 使主机间都不能正常通信。除了中间人攻击、ARP泛洪攻击外, 还有Dos攻击等。

目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等, 这些软件中, 有些是人为手工操作来破坏网络的, 有些是做为病毒或者木马出现, 使用者可能根本不知道它的存在, 所以更加扩大了ARP攻击的杀伤力

3ARP攻击的主要防范措施

3.1IP地址和MAC地址的静态绑定

3.1.1 在用户端进行绑定

ARP欺骗是通过ARP的动态刷新, 并不进行验证的漏洞, 来欺骗内网主机的, 所以我们把ARP表全部设置为静态可以解决对内网的欺骗, 也就是在用户端实施IP和MAC地址绑定, 可以再用户主机上建立一个批处理文件, 此文件内容是绑定内网主机IP地址和MAC地址, 并包括网关主机的IP地址和MAC地址的绑定, 并把此批处理文件放到系统的启动目录下, 使系统每次重启后, 自动运行此文件, 自动生成内网主机IP地址到MAC地址的映射表。这种方法使用于小型的网络中。

3.1.2 在交换机上绑定

在核心交换机上绑定用户主机IP地址和网卡的MAC地址, 同时在边缘交换机上将用户计算机网卡的IP地址和交换机端口绑定的双重安全绑定方式。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取, 可以防止非法用户随意接入网络, 网络用户如果擅自改动本机网卡的IP或MAC地址, 该机器的网络访问将被拒绝, 从而降低了ARP攻击的概率。

3.2采用VLAN技术隔离端口

局域网的网络管理员可根据需要, 将本单位网络规划出若干个VLAN, 当发现有非法用户在恶意利用ARP欺骗攻击网络, 或因合法用户受病毒ARP病毒感染而影响网络时, 网络管理员可先找到该用户所在的交换机端口, 然后将该端口划一个单独的VLAN, 将该用户与其它用户进行隔离, 以避免对其它用户的影响, 当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。

3.3采取802.1X认证

802.1X认证可以将使未通过认证的主机隔离, 当发现某台主机中毒时, 将禁止其认证从而达到将中毒主机隔离网络的目的。

例如, 在本人所在学校就是需要上网的用户要提前到网络管理中心登记, 也就是在网关中心申请一个用户名, 并创建密码, 并且把自己的MAC地址和用户名进行绑定, 如果自己的换网卡后, 还需要去网络管理中心进行重新绑定。用户上网前首先运行一个客户端软件, 输入用户名密码后, 通过认证服务器认证成功后才能上网。

3.4防火墙和杀毒软件

可以安装ARP防火墙或者开启局域网ARP防护, 比如360安全卫士等ARP病毒专杀工具, 并且实时下载安装系统漏洞补丁, 关闭不必要的服务等来减少病毒的攻击。

摘要：通过介绍ARP协议的概念和工作原理, 分析了当前ARP攻击的主要类型和特点, 提出了一些具体的防范措施, 来解决网络管理中出现的ARP的欺骗和攻击。

论如何防范ARP的攻击 篇8

关键词：网络,ARP病毒攻击,MAC,防范

一、什么是ARP

ARP, 全称Address Resolution Protocol, 即地址解析协议, 实现通过IP地址得知其物理地址。在TCP/IP网络环境下, 每个主机都分配了一个32位的IP地址, 这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送, 必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例, 为了正确地向目的主机传送报文, 必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址, 这组协议就是ARP协议。

二、ARP的攻击原理分析

ARP工作在数据链路层, 在本层和硬件接口联系, 同时对上层提供服务。ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗, 和对内网PC的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址, 并按照一定的频率不断更新学习进行, 使真实的地址信息无法通过更新保存在路由器中, 造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制, 当局域网内某台主机已经感染ARP欺骗的木马程序, 就会欺骗局域网内所有主机和路由器, 让所有上网的流量都必须经过病毒主机。

简单的来说, ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中。局域网中若有一台计算机感染ARP病毒, 中毒的机器的网卡不断发送虚假的ARP数据包, 告诉网内其他计算机网关的MAC地址是中毒机器的MAC地址, 使其他计算机将本来发送网关的数据发送到中毒机器上, 导致整个局域网都无法上网, 严重乃至整个网络的瘫痪。

三、如何防范ARP的攻击

1、网管员采取的防范措施

(1) 学会使用Sniffer抓包软件。

ARP病毒最典型的现象就是网络时通时断, 用Sniffer抓包分析, 会发现有很多的ARP包。

(2) 在全网部署安装ARP防火墙服务端及客户端软件

(3) 使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议, 以往的链路层的MAC地址和ARP协议失效, 因而ARP欺骗攻击在这种交换环境下起不了作用。

2、个人用户端防范措施:

安装ARP防火墙或者开启局域网ARP防护, 比如360安全卫士等ARP病毒专杀工具, 并且实时下载安装系统漏洞补丁, 关闭不必要的服务等来减少病毒的攻击。

如果在没有防范软件安装的情况下, 也可以通过编写简单的批处理程序来绑定网关来防止ARP欺骗, 步骤如下:

(1) 首先, 获得安全网关的内网的MAC地址。以windows xp为例。点击“开始”→“运行”→输入cmd, 点击“确定”后, 将出现相关网络状态及连接信息, 输入arp–a, 可以查看网关的MAC地址

(2) 编写批处理文件arp.bat内容如下:

@echo off

arp–d

arp–s 10.216.96.3 (安全网关) 00-09-ac-82-0d (网关的MAC地址) 注:arp-s是用来手动绑定网络地址 (IP) 对应的物理地址 (MAC)

(3) 编写完以后, 点击“文件”→“另存为”。注意, 文件名一定要是*.bat, 点击保存就可以。

(4) 将这个批处理文件拖到“windows→开始→程序→启动”中, 最后重起电脑即可。

四、结束语

ARP欺骗在相当长的时间内还会继续存在, ARP欺骗也在不断的发展和变化中, 希望广大网络管理员密切注意它, 从而减少对我们网络的影响。网络的安全问题越来越受到人们的重视, 网络安全不仅仅是技术问题, 同时也是一个安全管理问题。我们必须综合考虑安全因素, 制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统, 随着计算机网络技术的进一步发展, 网络安全防护技术也必然随着网络应用的发展而不断发展。

参考文献

[1]王奇:《以太网中ARP欺骗原理与解决办法》, 《网络安全技术与应用》, 2007年第2期。

[2]谢希仁:《计算机网络》, 人民邮电出版社, 2006年。