蔣文浩

該文通過分析ARP協(xié)議的原理及ARP欺騙的原理，設(shè)計(jì)了防御ARP病毒的方法。

地址解析協(xié)議；ARP欺騙；MAC地址

1.ARP協(xié)議簡介

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。它是通過地址解析協(xié)議（AddressResolution Protoco，l ARP）獲得的。ARP協(xié)議是一個網(wǎng)絡(luò)層子協(xié)議，它用于將網(wǎng)絡(luò)中的IP地址解析為硬件地址（MAC地址），以保證通信的順利進(jìn)行。

2.ARP協(xié)議的工作原理

在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如表1所示。

以主機(jī)H（192.168.1.5）向主機(jī)A（192.168.1.1）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)H會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機(jī)H就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：192.168.1.1的MAC地址是什么。網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)A接收到這個幀時(shí)，才向主機(jī)H做出這樣的回應(yīng)：192.168.1.1的MAC地址是00-aa-00-62-c6-09。這樣，主機(jī)H就知道了主機(jī)A的MAC地址，它就可以向主機(jī)A發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)A發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。

ARP協(xié)議安全缺陷。在TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境下，ARP工作時(shí)，送出一個含有所希望的IP地址的以太網(wǎng)廣播數(shù)據(jù)報(bào)。一個IP數(shù)據(jù)報(bào)走到哪里，要怎么走主要是靠路由表定義。但是，當(dāng)IP數(shù)據(jù)包到達(dá)該網(wǎng)絡(luò)后，哪臺機(jī)器響應(yīng)這個IP包卻是靠該IP包中所包含的硬件MAC地址來識別。也就是說，只有機(jī)器的硬件MAC地址和該IP包中的硬MAC地址相同的機(jī)器才會應(yīng)答這個IP包，所以，在每臺主機(jī)的內(nèi)存中，都有一個ARP→硬件MAC地址的轉(zhuǎn)換表。通常是動態(tài)的轉(zhuǎn)換表（該ARP表可以手工添加靜態(tài)條目）。

ARP欺騙原理。典型的ARP欺騙過程如下：

假設(shè)局域網(wǎng)分別有IP地址為192.168.1.1、192.168.1.2和192.168.1.3的A、B、C三臺主機(jī)，假如A和C之間正在進(jìn)行通訊，此時(shí)B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.1.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB，當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存，這時(shí)B就偽裝成C了。同時(shí)，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中為發(fā)送方IP地址192.168.1.1（A的IP地址），MAC地址BB-BB-BB-BB-BB-BB（A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA），當(dāng)C收到B偽造的ARP應(yīng)答，也會更新本地ARP緩存，這時(shí)B又偽裝成了A。這時(shí)主機(jī)A和C都被主機(jī)B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B，主機(jī)B完全劫持目標(biāo)主機(jī)與其他主機(jī)的會話。

ARP欺騙一般分為兩種：主機(jī)型ARP欺騙。欺騙過程：A欺騙B，A告訴B，我（A）就是C，當(dāng)然告訴的是真IP地址和假M(fèi)AC地址，使B不能與C連接。若C是網(wǎng)關(guān)，B就不能上外網(wǎng)Internet了。

網(wǎng)關(guān)型ARP欺騙。欺騙過程：B充當(dāng)中間人角色向兩個方向發(fā)送ARP欺騙包，使A的上網(wǎng)數(shù)據(jù)包經(jīng)過B再到C，又使C的返回?cái)?shù)據(jù)經(jīng)過B再到A，卡在中間，以達(dá)到竊取數(shù)據(jù)的目的。B發(fā)送ARP欺騙包給A，B告訴A，我（B）就是網(wǎng)關(guān)；同時(shí)，B又發(fā)送ARP欺騙包給真正的網(wǎng)關(guān)C，告訴真正的網(wǎng)關(guān)C，我（B）就是A，這樣B就欺騙了雙方，接著B通過劫持A和C之間的通信會話，就可以竊聽數(shù)據(jù)了。

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為兩種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

3.ARP欺騙防范措施

建立DHCP服務(wù)器，另外所有客戶機(jī)的IP地址及其相關(guān)主機(jī)信息，只能由網(wǎng)關(guān)這里取得，網(wǎng)關(guān)這里開通DHCP服務(wù)，但是要給每個網(wǎng)卡，綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機(jī)器IP/MAC一一對應(yīng)的關(guān)系。這樣客戶機(jī)雖然是DHCP取地址，但每次開機(jī)的IP地址都是一樣的或手工清除PC和網(wǎng)關(guān)ARP表項(xiàng)，從新學(xué)習(xí)正確的ARP信息。ARP欺騙發(fā)生后的PC和網(wǎng)關(guān)設(shè)備的ARP表被篡改了，這樣我們可以通過手工方式來清除ARP表項(xiàng)，然后讓雙方重新學(xué)習(xí)。

主機(jī)：arp–d

網(wǎng)關(guān)：clear arp。

建立MAC數(shù)據(jù)庫，把局域網(wǎng)內(nèi)所有網(wǎng)卡的MAC地址記錄下來，每個MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫，以便及時(shí)查詢備案，PC機(jī)上靜態(tài)綁定網(wǎng)關(guān)MAC地址，防止對主機(jī)的欺騙。在主機(jī)上可以使用靜態(tài)的ARP綁定網(wǎng)關(guān)的IP地址和網(wǎng)關(guān)的MAC地址，比如在PC機(jī)上配置autoexec.bat批處理文件：

@echo off

arp–d

arp–s主機(jī)ip地址主機(jī)mac地址//mac地址格式為xx-xx-

xx-xx-xx-xx。

網(wǎng)關(guān)機(jī)器關(guān)閉ARP動態(tài)刷新的過程，使用靜態(tài)路由，這樣的話，即使ARP欺騙攻擊網(wǎng)關(guān)的話，對網(wǎng)關(guān)也是沒有用的，因此可以確保主機(jī)安全。網(wǎng)關(guān)建立靜態(tài)IP/MAC捆綁的方法是：建立/etc/ethers文件，其中包含正確的IP/MAC對應(yīng)關(guān)系，格式如下：192.168.2.3208：00：4E：B0：24：47然后在/etcrc. d/rc. local最后添加： arp -f生效即可。

網(wǎng)關(guān)監(jiān)聽網(wǎng)絡(luò)安全。網(wǎng)關(guān)上面使用抓包程序截取每個ARP程序包，用腳本分析軟件分析這些ARP協(xié)議。ARP欺騙攻擊的包一般有以下兩個特點(diǎn)，滿足之一可視為攻擊包報(bào)警：以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配，或者ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫MAC/IP不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警，查這些數(shù)據(jù)包（以太網(wǎng)數(shù)據(jù)包）的源地址（也有可能偽造），就大致知道哪臺機(jī)器在發(fā)起攻擊了。

使用支持端口隔離的二層交換機(jī)。通過端口隔離特性，可以將不同用戶的端口劃分到同一個VLAN，不同用戶之間不能互通，從而增強(qiáng)了網(wǎng)絡(luò)的安全性，阻止了ARP病毒源的機(jī)器對網(wǎng)絡(luò)的影響，提供了靈活的組網(wǎng)方案，同時(shí)節(jié)省了大量的VLAN資源。

安裝殺毒軟件，及時(shí)升級病毒庫，定期全網(wǎng)殺毒。

[1]陳明.網(wǎng)絡(luò)協(xié)議教程[M].北京：清華大學(xué)出版社，2004

[2]楊義先等.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京：人民郵電出版社，2003

[3]龔儉，楊望.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論（第二版）[M].南京：東南大學(xué)版社，2007