車樹炎 蘇冠東

摘要：在當(dāng)今信息化飛速發(fā)展的時代，網(wǎng)絡(luò)技術(shù)日趨成熟,網(wǎng)絡(luò)上的數(shù)據(jù)信息無時無刻的不被人們廣泛傳播。同時，信息數(shù)據(jù)的安全性往往被大家所忽視，當(dāng)今各種安全措施都顯得“道高一尺、魔高一丈”。該文主要滲透研究arp欺騙攻擊，先從arp協(xié)議開始介紹，再詳細闡述arp協(xié)議在OSI參考模型中請求的工作流程及欺騙技術(shù)的原理。之后，提出了arp欺騙攻擊的防御措施，詳細陳述了幾大安全網(wǎng)絡(luò)設(shè)備強大的安全防御功能，同時，也指出了這些防范措施的共同缺陷。最后，提出了如何優(yōu)化網(wǎng)絡(luò)管理和解決攻擊的幾點措施。

關(guān)鍵詞：arp協(xié)議；arp欺騙；網(wǎng)絡(luò)安全設(shè)備；防御

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2012)24-5795-02

ARP Spoofing Attack Network Security

CHE Shu-yan，SU Guan-dong

（Shunde Polytechnic，Guangdong 528300，China）

Abstract: In the era of rapid development of todays information technology, network technology matures, the data on the network all the time not been widely disseminated. At the same time, network information security technology have been selectively ignored a variety of network security measures is“While the priest climbs a post, the devil climbs ten”. This paper will arp virus attacks as the representative, starting from the analysis of arp protocol described in detail the basic principles of the work process of the arp spoofing. Arp spoofing attack defensive measures proposed, detailed statement of the secure network device security and defense capabilities, while also pointing out the common defect of these precautions. Finally, a few measures of how to optimize network management and resolution of the attack.

Key words: arp protocol; the arp spoofing; network security equipment; defense

隨著網(wǎng)絡(luò)普及化，各種病毒、木馬開始在網(wǎng)絡(luò)中盛行，數(shù)據(jù)安全性也逐漸受到人們重視?，F(xiàn)今的網(wǎng)絡(luò)架構(gòu)中主要采用交換機互聯(lián)，使用路由轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，這種共享交換式網(wǎng)絡(luò)架構(gòu)一直很成熟的技術(shù)，但近幾年在新型網(wǎng)絡(luò)攻擊下顯得毫無力氣，這種新型網(wǎng)絡(luò)攻擊的代表就是ARP欺騙。ARP欺騙攻擊是當(dāng)前遇到的一個非常典型的安全威脅，受到ARP攻擊后會出現(xiàn)無法正常上網(wǎng)、ARP包爆增、或錯誤的MAC地址/IP地址，一個MAC地址對應(yīng)多個IP的情況。絕大多數(shù)網(wǎng)絡(luò)管理人員在日常的網(wǎng)絡(luò)管理工作中都力不從心。那么ARP如何進行欺騙攻擊，我們?nèi)绾斡帜苓M行有效防范呢，這是該文所研究的話題。

1 arp協(xié)議的工作流程

1.1 arp工作流程

Arp協(xié)議，又稱地址解析協(xié)議，在ISO參考模型中，arp協(xié)議屬于數(shù)據(jù)鏈路層協(xié)議，完成將ip地址轉(zhuǎn)換成mac地址的功能，建立ip地址與mac地址對應(yīng)表，從而用來請求目的ip的mac地址進行數(shù)據(jù)包封裝，實現(xiàn)通信的目的。具體過程如下：

當(dāng)網(wǎng)絡(luò)中存在計算機a、b和一臺交換機，a、b在同一vlan中，當(dāng)a要和b通信時，a機首先要在緩存中查找是否有b機的ip地址和mac地址的對應(yīng)關(guān)系；如果沒有，則a機將發(fā)送一個arp報文廣播，將自己的ip地址、mac地址和b機的ip地址發(fā)出，請求b機的mac地址，該arp報文到達交換機后，在同vlan各端口中進行洪泛，并要求ip地址是b機的計算機作應(yīng)答，同時在交換機mac表中寫入a機的mac地址和端口對應(yīng)關(guān)系。接到ARP報文后的b機會以單播的方式給a機回應(yīng)消息，消息內(nèi)包括b機的ip、mac地址作為發(fā)送地址，a機的ip、mac地址作為目標(biāo)地址，同時在交換機mac表中寫入b機的mac和端口對應(yīng)關(guān)系。a機收到b機的回應(yīng)后，將b機的mac地址寫入緩存中，并將目的ip、mac地址封裝到數(shù)據(jù)幀中，從而實現(xiàn)通信。如果計算機a要與網(wǎng)段以外的計算機通信，則由網(wǎng)關(guān)將a計算機的廣播包加以轉(zhuǎn)發(fā)來完成上面的工作。

1.2 arp欺騙的原理

所謂arp欺騙，又被稱為arp重定向，假設(shè)有A、B、C三臺主機，一臺主機A如果要向目標(biāo)主機B發(fā)送數(shù)據(jù)，假設(shè)黑客主機C想竊取這個數(shù)據(jù)包，那么就會向主機A發(fā)送ARP包，其中這個ARP包中MAC地址為主機C的MAC地址，當(dāng)主機A收到這個ARP包，就會立即更改本身的ARP緩存信息，將原本主機B的MAC地址更改為主機C的MAC地址，那么主機A就會把數(shù)據(jù)包直接發(fā)送給黑客主機C，竊取成功，這時，如果黑客主機C為了隱蔽自己，不會讓主機B發(fā)現(xiàn)，“看”過數(shù)據(jù)后，則會再發(fā)送給主機B，從而不影響主機A和主機B的正常通信。但是如果主機C發(fā)送的ARP包中MAC地址是錯誤的MAC地址，那么主機A和主機B就不會正常通信了，所謂的ARP病毒破壞網(wǎng)絡(luò)正常通信的現(xiàn)象。

2現(xiàn)有網(wǎng)絡(luò)防御措施

2.1防火墻

防火墻是一種有效的網(wǎng)絡(luò)安全防護系統(tǒng)，通過它可以隔離不可信區(qū)域（一般指internet）與可信區(qū)域（內(nèi)部網(wǎng)）連接，防火墻可以分為三種應(yīng)用模式：透明模式、路由模式和綜合模式；其中使用最多、最廣泛的就是路由模式。雖然目前防火墻是保護網(wǎng)絡(luò)免遭黑客攻擊的有效手段，但明顯存在著一定的局限性：①對于Web應(yīng)用程序，防范能力不足；②防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊；③不能防范那些偽裝成超級用戶的黑客們勸說沒有防范心理的用戶公開其口令；④普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測；⑤對于繞過防火墻的攻擊，它無能為力。

2.2入侵檢測系統(tǒng)（IDS）

1）入侵檢測的軟件與硬件的組合，是防火墻的合理補充，是防火墻之后的第二道安全閘門，實時檢測網(wǎng)絡(luò)流量，監(jiān)控各種網(wǎng)絡(luò)行為，對違反安全策略的流量及時報警和防護，實現(xiàn)從事前警告、事中防護到事后取證的一體化解決方案。具有三大功能：

①入侵檢測：提供實時的入侵檢測，通過與防火墻聯(lián)動、TCP Killer、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機輸出、運行用戶自定義命令等方式進行報警及動態(tài)防護。

②事件監(jiān)控：系統(tǒng)會對網(wǎng)絡(luò)的流量進行監(jiān)控，對P2P下載、IM即時通訊、網(wǎng)絡(luò)游戲、在線視頻等嚴重濫用網(wǎng)絡(luò)資源的事件提供告警和記錄。

③流量分析：對網(wǎng)絡(luò)進行流量分析，實時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量。

2）雖然入侵檢測系統(tǒng)能夠?qū)Ψ阑饓δ軌驈浹a，但是對arp病毒形式的攻擊行為卻反應(yīng)遲鈍。也存在很多不足之處：①攻擊手段不斷更新，攻擊工具自動化。IDS必須不斷跟蹤最新的安全技術(shù)。②不斷增大的網(wǎng)絡(luò)流量。數(shù)據(jù)實時分析導(dǎo)致對系統(tǒng)的要求越來越高。盡管如此，對百兆以上的流量，單一的入侵檢測系統(tǒng)系統(tǒng)仍很難應(yīng)付。③交換式局域網(wǎng)造成網(wǎng)絡(luò)數(shù)據(jù)流的可見性下降；同時高速網(wǎng)絡(luò)使數(shù)據(jù)的實時分析越發(fā)困難。④大量的誤報和漏報。原因：必須深入了解所有操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議的運作情況和細節(jié)，才能準(zhǔn)確的進行分析，而不同版本對協(xié)議處理都不同；而快速反應(yīng)與力求全面也是矛盾。

2.3入侵防御系統(tǒng)（IPS）

1）入侵防御系統(tǒng)（ips）是針對入侵檢測系統(tǒng)（ids）所存在的不足，借用網(wǎng)絡(luò)防火墻的部分原理而建立的。入侵防御系統(tǒng)有效的結(jié)合了入侵檢測技術(shù)和防火墻原理；依據(jù)一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，一旦發(fā)現(xiàn)攻擊，將會采用相應(yīng)的抵御措施。

2）但同時，我們也認識到：由于ips是基于ids同樣的策略特征庫，導(dǎo)致它無法完全克服ids所存在的缺陷，依然會出現(xiàn)很多的誤報和漏報的情況，而主動防御應(yīng)建立在精確、可靠的檢測結(jié)果之上，大量的誤報所激發(fā)的主動防御反而會造成巨大的負面影響；另一方面，數(shù)據(jù)包的深入檢測和保障可用網(wǎng)絡(luò)的高性能之間是存在矛盾的，隨著網(wǎng)絡(luò)帶寬的擴大、單位時間傳輸數(shù)據(jù)包的增加、ips攻擊特征庫的不斷膨脹，串連在出口位置的ips對網(wǎng)絡(luò)性能的影響會越來越嚴重，最終必將成為網(wǎng)絡(luò)傳輸?shù)钠款i。

綜上所述，我們發(fā)現(xiàn)，當(dāng)今幾種網(wǎng)絡(luò)安全防護設(shè)備一般部署在內(nèi)網(wǎng)出口處，現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)無法百分之百的有效的阻斷黑客的攻擊；由于終端用戶的計算機知識的淡薄和現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的不成熟，一些存在漏洞的計算機容易受到外來黑客的入侵，利用例如ARP欺騙的攻擊，將會到時整個網(wǎng)絡(luò)的癱瘓和數(shù)據(jù)的泄露。所以有效保障數(shù)據(jù)的安全，需要終端用戶有較高的防范意識，還要一定的網(wǎng)絡(luò)安全設(shè)備做保障，同時，還要有一批專業(yè)的網(wǎng)絡(luò)技術(shù)人才。

3如何優(yōu)化網(wǎng)絡(luò)管理和解決攻擊的措施

綜上分析，應(yīng)該將內(nèi)部數(shù)據(jù)作為重點防護對象，應(yīng)該將網(wǎng)絡(luò)監(jiān)控控制在每個網(wǎng)段中，通過必要的網(wǎng)絡(luò)安全設(shè)備對每個網(wǎng)段進行防護，那么，無論是外網(wǎng)發(fā)起的網(wǎng)絡(luò)連接，還是內(nèi)網(wǎng)中類似于arp攻擊所發(fā)出的廣播包，都可以阻斷一些病毒入侵的可能性。內(nèi)網(wǎng)最低概率受到攻擊，首先在建設(shè)網(wǎng)絡(luò)時要做到以下幾點措施：

①內(nèi)網(wǎng)核心交換機應(yīng)部署管理型網(wǎng)絡(luò)交換機，根據(jù)區(qū)域應(yīng)建立多個vlan，阻隔不同vlan間進行廣播，這樣如果其中一臺計算機被入侵，有效阻止全網(wǎng)癱瘓。

②應(yīng)在核心交換機上配置一臺網(wǎng)絡(luò)監(jiān)控計算機，這臺計算機可以與交換機管理網(wǎng)段進行通信。同時在網(wǎng)絡(luò)監(jiān)控計算機上部署一個網(wǎng)絡(luò)交換機的圖形化管理軟件。形成一個對網(wǎng)絡(luò)信息進行收集、分析和反饋的平臺，達到動態(tài)監(jiān)控的目的。

③在內(nèi)網(wǎng)出口處一定要部署相關(guān)的網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測、漏洞掃描等等，通過專業(yè)的網(wǎng)絡(luò)技術(shù)對黑客入侵進行技術(shù)防范，做到事前警告、事中防護和事后取證一體化的解決方案。

④努力開發(fā)收集交換機數(shù)據(jù)的軟件，開發(fā)分析網(wǎng)絡(luò)行為的策略庫，不斷提高網(wǎng)絡(luò)監(jiān)控平臺的故障反應(yīng)速度和故障源定位的準(zhǔn)確性。

4結(jié)束語

保障網(wǎng)絡(luò)正常通信，保護數(shù)據(jù)安全流轉(zhuǎn)于傳輸，是每個網(wǎng)絡(luò)技術(shù)人員的責(zé)任所在，如今網(wǎng)絡(luò)病毒瘋狂傳播，從事網(wǎng)絡(luò)行業(yè)的專家，其任重而道遠，要建設(shè)動態(tài)的、高效智能網(wǎng)絡(luò)監(jiān)控平臺檢測和防護體系，不但要在網(wǎng)絡(luò)安全產(chǎn)品選型部署，還要在網(wǎng)絡(luò)技術(shù)人才配備、網(wǎng)絡(luò)構(gòu)建思想以及各種網(wǎng)絡(luò)資源的整合于一體建立需求，滿足網(wǎng)絡(luò)安全的需要。大力提高內(nèi)網(wǎng)的網(wǎng)絡(luò)安全管理能力，必將為達成上述目標(biāo)起到重要而深遠的影響。

參考文獻：

[1]趙新輝,李祥.捕獲網(wǎng)絡(luò)數(shù)據(jù)包的方法[J].計算機應(yīng)用研究,2004(8).

[2]何欣,王曉鳳.ARP協(xié)議及其安全隱患[J].河南大學(xué)學(xué)報：自然科學(xué)版,2004(2).

[3]樊景博;劉愛軍.ARP病毒的原理及防御方法[J].商洛學(xué)院學(xué)報,2007(0).

[4]呂驥;文靜華.校園網(wǎng)內(nèi)ARP欺騙攻擊及防范[J].福建電腦,2007(5).

[5]楊萍,李杰.基于ARP欺騙的中間人攻擊的分析與研究[J].計算機時代,2007(5).

[6]楊楊,房超,劉輝.基于DoS帶寬攻擊的ARP欺騙及ICMP攻擊技術(shù)的分析[J].中國新通信,2007(5).

[7]羅杰云,倪德明.ARP協(xié)議的安全漏洞及其防范淺析[J].計算機系統(tǒng)應(yīng)用,2003(5).

[8]朱名勛.防范ARP欺騙的網(wǎng)絡(luò)安全性研究[J].衡陽師范學(xué)院學(xué)報,2003(3).