劉艷霞，鄭 羽

（山西大同大學(xué)煤炭工程學(xué)院，山西大同 037003）

局域網(wǎng)ARP欺騙原理與抵御的研究

劉艷霞，鄭 羽

（山西大同大學(xué)煤炭工程學(xué)院，山西大同 037003）

在介紹ARP協(xié)議的基礎(chǔ)上，分析了ARP欺騙發(fā)生的原理，討論了ARP欺騙的各種攻擊形式，提出一種通過在局域網(wǎng)內(nèi)架設(shè)基于RouterOS的PPPoE服務(wù)器來抵御ARP欺騙的方法。

局域網(wǎng)；ARP欺騙；RouterOS；PPPoE服務(wù)器

ARP欺騙會導(dǎo)致局域網(wǎng)中計算機(jī)無法和其他計算機(jī)進(jìn)行正常通訊，并且只要局域網(wǎng)中存在一臺感染“ARP欺騙”病毒的計算機(jī)，病毒就會迅速感染局域網(wǎng)內(nèi)其它計算機(jī)，并造成整個局域網(wǎng)通訊中斷。ARP欺騙系列病毒中影響和危害最為惡劣的是“惡意竊聽”病毒，它雖然不會造成局域網(wǎng)內(nèi)通訊中斷，但會使網(wǎng)絡(luò)產(chǎn)生較大的延時，并且中毒主機(jī)會截取局域網(wǎng)內(nèi)所有的通訊數(shù)據(jù)向特定的外網(wǎng)用戶發(fā)送，使得局域網(wǎng)用戶的信息和數(shù)據(jù)安全無法得到保障［1-4］。針對ARP欺騙理，本文提出在局域網(wǎng)內(nèi)架設(shè)基于RouterOS路由的PPPoE服務(wù)器，PPPoE撥號上網(wǎng)方式并不基于ARP協(xié)議，因此可從底層有效杜絕ARP欺騙。

1 ARP協(xié)議概述

1.1 ARP協(xié)議簡介

在局域網(wǎng)內(nèi)，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址，為了保證通信的順利進(jìn)行，需要利用ARP協(xié)議（Address Resolution Protocol：地址解析協(xié)議）通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址。

1.2 ARP協(xié)議的工作原理

ARP協(xié)議工作在TCP/IP協(xié)議的IP層，每一臺安裝有TCP/IP協(xié)議的主機(jī)都設(shè)有一個ARP高速緩存（ARP cache），里面有所在的局域網(wǎng)上的各主機(jī)和路由器的IP地址到硬件地址的映射表。當(dāng)主機(jī)A欲向本局域網(wǎng)上的某個主機(jī)B發(fā)送IP數(shù)據(jù)報時，就先在其ARP高速緩存中查看有無主機(jī)B的IP地址。如有，就可查出其對應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過局域網(wǎng)將該MAC幀發(fā)往此硬件地址。若主機(jī)A的ARP高速緩存中找不到主機(jī)B的信息，它就會向局域網(wǎng)上所有主機(jī)都發(fā)送一個ARP請求，進(jìn)行ARP廣播。主機(jī)A所發(fā)送的ARP請求包含了自身的IP地址（假設(shè)為：192.168.0.1）和MAC地址（假設(shè)為AA-AA-AAAA-AA-AA），以及目標(biāo)主機(jī)B的IP地址（假設(shè)為192.168.0.2）。目標(biāo)主機(jī)B在收到的ARP請求中對比自身的IP地址后，會向主機(jī)A發(fā)送ARP響應(yīng)，并寫入自己的MAC硬件地址（假設(shè)為BB-BBBB-BB-BB-BB）。主機(jī)A收到主機(jī)B的ARP響應(yīng)后，就更新其ARP高速緩存表，寫入主機(jī)B的IP地址到硬件地址的映射。同時，主機(jī)B也將主機(jī)A的IP地址到MAC地址的映射寫入自己的ARP高速緩存中。

ARP協(xié)議并不只在發(fā)送了ARP請求之后才接受應(yīng)答，它是一種無狀態(tài)的協(xié)議，不管A是否發(fā)送請求，只要接收到應(yīng)答，就會更新自己的高速緩存，這種對局域網(wǎng)內(nèi)主機(jī)完全信任的策略，給局域網(wǎng)的安全埋下隱患。

2 ARP欺騙的攻擊方式

ARP欺騙的核心思想利用了ARP協(xié)議的請求應(yīng)答的漏洞，在接收到請求甚至未接收到任何請求的情形下，向目標(biāo)主機(jī)發(fā)送一個偽造的源IP-MAC地址映射的應(yīng)答，使目標(biāo)主機(jī)據(jù)此更新其高速緩存，從而達(dá)到欺騙其它主機(jī)的目的，如圖1所示。

①主機(jī)A本應(yīng)向目標(biāo)主機(jī)C發(fā)送數(shù)據(jù)，但主機(jī)B通過ARP欺騙不斷向主機(jī)A發(fā)送應(yīng)答，提供IP地址為192.168.0.3的MAC地址是BB-BBBB-BB-BB-BB這樣的信息。

②主機(jī)A向主機(jī)C發(fā)送數(shù)據(jù)時，接收到主機(jī)B的應(yīng)答，更新自己的ARP緩存，在A的高速緩存中會有這樣的映射信息：IP地址是192.168.0.3對應(yīng)的MAC地址是BB-BB-BB-BB-BB-BB。

③主機(jī)A根據(jù)自己高速緩存的映射關(guān)系，把本應(yīng)發(fā)給目標(biāo)主機(jī)C的數(shù)據(jù)發(fā)給了主機(jī)B。

在實際中，ARP欺騙會給局域網(wǎng)造成網(wǎng)絡(luò)通信異常、重要數(shù)據(jù)泄露、數(shù)據(jù)被篡改等嚴(yán)重后果，它的主要攻擊手段有：路由器ARP緩存欺騙，網(wǎng)關(guān)欺騙和雙向欺騙［5-6］。

2.1 路由器ARP表的欺騙

攻擊者通過發(fā)送偽造的ARP報文通知路由器一系列錯誤的內(nèi)網(wǎng)主機(jī)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實的地址信息無法通過更新保存在路由器中，因此，外網(wǎng)數(shù)據(jù)經(jīng)過路由器后都被發(fā)送給錯誤的MAC地址，造成正常用戶無法收到信息。

2.2 網(wǎng)關(guān)欺騙

它的原理是冒充網(wǎng)關(guān)，使被欺騙的主機(jī)向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。

2.3 中間人攻擊

欺騙主機(jī)向被欺騙主機(jī)發(fā)送大量偽造的ARP應(yīng)答包進(jìn)行欺騙，當(dāng)通訊雙方被欺騙成功后，自己作為了一個“中間人”的身份。此時被欺騙的主機(jī)雙方還能正常通訊，只不過它們的通訊過程被欺騙者“竊聽”了。

3 架設(shè)PPPoE服務(wù)器

為抵御ARP欺騙，目前主要采用的方法有IP/MAC地址靜態(tài)綁定、設(shè)置ARP服務(wù)器、以及基于硬件的ARP防御，但由于ARP欺騙本身基于IP層協(xié)議，使得方法不足以抵御ARP欺騙及其變種。通過抓取PPPoE認(rèn)證階段的包來分析，認(rèn)證的前2個包是這樣的：客戶端發(fā)出以太網(wǎng)廣播包，尋找PPPoE服務(wù)器（即：PADI包）服務(wù)器用PADO包回應(yīng)，此時不再是廣播了。目的MAC為客戶端，源MAC為PPPoE服務(wù)器?？蛻舳说玫椒?wù)器的MAC，正常的通訊就開始了。由于PPPoE根本就沒用到ARP協(xié)議，而是使用PADI包，所以能夠徹底解決ARP欺騙。在不改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，增加一臺PPPoE服務(wù)器，讓局域網(wǎng)中的用戶通過撥號的方式來訪問網(wǎng)絡(luò)，這樣就可以從底層協(xié)議上直接杜絕ARP欺騙。

3.1 RouterOS系統(tǒng)簡介

MikroTik RouterOS是基于Linux獨立操作平臺的路由器，它可將標(biāo)準(zhǔn)的PC電腦變成功能強(qiáng)大的路由器，特別在無線、認(rèn)證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能，并支持防火墻、PPPoE，VPN等多種服務(wù)器的建立。RouterOS可通過客戶端利用WinBox進(jìn)行連接并進(jìn)行相應(yīng)設(shè)置。

3.2 PPPoE服務(wù)器簡介

PPPoE（Point-to-Point Protocol over Ethernet）協(xié)議可以使以太網(wǎng)的主機(jī)通過一個簡單的橋接設(shè)備連到一個遠(yuǎn)端的接入集中器上，PPPoE服務(wù)器可以通過給內(nèi)網(wǎng)用戶分配賬號來實現(xiàn)對內(nèi)網(wǎng)用戶網(wǎng)絡(luò)使用的管理，結(jié)合有些路由器具備的上網(wǎng)行為管理功能和帶寬管理功能，通常還能對用戶的進(jìn)行上網(wǎng)行為的管理。

3.3 架設(shè)PPPoE服務(wù)器

客戶端通過WinBox連接RouterOS（以RouterOS 3.2為例），設(shè)置方法如下：

①在RouterOS中建立地址池，定義局域網(wǎng)內(nèi)客戶端IP地址范圍，為客戶端動態(tài)分配IP地址。

IP＞Pool

Name：PPPoE-Pool

Address：192.68.0.10～192.168.0.254

②在PPP中為PPPoE服務(wù)添加一個新的Profile配置文件。

PPP＞Profiles

General：

Name：PPPoE-Profile

Local Address：192.168.0.1

Remote Address：PPPoE-Pool（選擇①中建立的地址池）

DNS Server：XXX.XXX.XXX.XXX（輸入當(dāng)?shù)谼NS服務(wù)器IP地址）

圖1 ARP欺騙原理

Use Encryption：yes（加密）

Change TCP MSS：yes（提高傳輸效率）

Limits：Rate Limit（rx/tx）（設(shè)定下載/上傳速度限制）

Only One：yes（相同用戶名只允許連接一次）

③在PPP的Secrets中添加撥號用戶，建立用戶賬戶名和密碼（根據(jù)客戶端數(shù)量建立相應(yīng)的賬戶）。

PPP＞Secrets

Name：ppp01

Password：ppp01

Service：PPPoE

Profile：PPPoE-Profile

④添加PPPoE服務(wù)，如圖2所示。

Service Name：PPPoE

Interface：LAN（選擇內(nèi)網(wǎng)網(wǎng)卡）

Default profile：PPPoE-Profile

勾選“One Session Per Host”，每次只允許一個主機(jī)進(jìn)程。

⑤設(shè)置NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）

圖2 PPPoE服務(wù)器設(shè)置

P＞Firewall＞NAT

Chain：srcnat（對源地址作NAT）

Src。Adress：192.168.0.0/24（地址池的網(wǎng)絡(luò)號和掩碼）

Out.Interface：WAN（選擇外網(wǎng)網(wǎng)卡）

Action：masquerade（IP偽裝，共享上網(wǎng)）。

PPPoE服務(wù)器架設(shè)好后，在客戶端新建寬帶連接，服務(wù)器名填“PPPoE”，用戶名和密碼均為“ppp01”，撥號成功后即可上網(wǎng)，用ipconfig命令可得到如下信息：

Description：WAN（PPP/SLIP）Interface

Physical Address：00-16-EC-DB-D7-6F

Dhcp Enabled：No

IP Address：192.168.0.98

Subnet Mask：255.255.255.255

Default Gateway：192.168.0.98

DNS Servers：202.99.192.68

⑥禁止網(wǎng)絡(luò)共享

為防止局域網(wǎng)內(nèi)由于共享文件引發(fā)ARP欺騙類病毒傳播，還應(yīng)禁止局域網(wǎng)內(nèi)各計算機(jī)的文件共享和打印機(jī)共享等網(wǎng)絡(luò)共享服務(wù)。如需計算機(jī)之間傳送文件，可在服務(wù)器端架設(shè)WWW服務(wù)器或FTP服務(wù)器，提供網(wǎng)絡(luò)硬盤類型的服務(wù)程序等，統(tǒng)一對傳送的文件進(jìn)行管理。

4 結(jié)束語

架設(shè)基于RouterOS的PPPoE服務(wù)器可以從根本上解決ARP欺騙，從而保證了局域網(wǎng)內(nèi)計算機(jī)的正常運行和網(wǎng)絡(luò)訪問，也保護(hù)了計算機(jī)內(nèi)重要數(shù)據(jù)和個人信息不會泄露，而且通過設(shè)置PPPoE，還可以控制用戶的登錄和用戶上傳下載流量，對于數(shù)據(jù)的管理也起到了很好的作用。

［1］李建萍，陸建德.交換網(wǎng)ARP安全防御系統(tǒng)的分析與設(shè)計［J］.微計算機(jī)信息，2010，26（24）：50-52.

［2］金星.基于ARP的網(wǎng)絡(luò)攻擊與防御［J］.計算機(jī)安全，2010（9）：60-61.

［3］樂德廣，郭東輝，吳伯僖.PPPoE技術(shù)及其在寬帶接入系統(tǒng)中的應(yīng)用［J］.計算機(jī)應(yīng)用研究，2003，20（3）：130-132.

［4］馬莉莉，羅繼東.一種PPPoE環(huán)境搭建方法［J］.微計算機(jī)信息，2010，26（21）：184-185.

［5］李兢，許勇.ARP協(xié)議的安全漏洞及抵御分析［J］.計算機(jī)系統(tǒng)應(yīng)用，2010，19（3）：221-225.

［6］秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術(shù)綜述［J］.計算機(jī)應(yīng)用研究，2009，26（1）：30-33.

〔編輯 高?！?/p>

Research of Arp Spoofing and Protection of LAN

LIU Yan-xia，ZHENG Yu
（School of Coal Engineering，Shanxi Datong University，Datong Shanxi，037003）

Based on an introduction to the ARP，this paper analyzed the theory of ARP spoofing and discussed all kinds of the attacking forms.By using RouterOS，it presented a method that erect PPPoE Server in LAN to protect ARP spoofing.

LAN；ARP spoofing；RouterOS；PPPoE Server

TP309

A

1674-0874（2011）03-0014-03

2011-01-20

劉艷霞（1973-），女，山西大同人，講師，研究方向：計算機(jī)應(yīng)用。