賀武征

摘 要：目前有一種網(wǎng)絡(luò)破壞行為很常見，主要發(fā)生在局域網(wǎng)中，這種破壞行為利用了ARP地址解析協(xié)議的工作過程，故障現(xiàn)象是：忽然整個(gè)內(nèi)部網(wǎng)絡(luò)的電腦全部不能上網(wǎng)了、或者一臺(tái)一臺(tái)掉線。本文檔對(duì)于這種攻擊將進(jìn)行簡單的分析介紹，并給出解決方案。

關(guān)鍵詞：局域網(wǎng)； 破壞行為； 解決方案

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-3315（2014）03-171-002

目前有一種網(wǎng)絡(luò)破壞行為很常見，主要發(fā)生在局域網(wǎng)中，這種破壞行為利用了ARP地址解析協(xié)議的工作過程，一般是內(nèi)網(wǎng)某臺(tái)電腦中了病毒，病毒無規(guī)律的自動(dòng)進(jìn)行破壞，或者是內(nèi)網(wǎng)某臺(tái)電腦的操作者故意發(fā)起攻擊。

一、攻擊原理分析

局域網(wǎng)里每個(gè)節(jié)點(diǎn)都有自己的IP地址和MAC地址。

如果電腦A需要上網(wǎng)，電腦A就需要將數(shù)據(jù)包發(fā)送給局域網(wǎng)網(wǎng)關(guān)路由器，那么電腦A必須知道網(wǎng)關(guān)路由器的MAC地址，所以電腦A就會(huì)發(fā)出詢問的廣播包，詢問網(wǎng)絡(luò)里網(wǎng)關(guān)路由器的MAC地址是多少？

網(wǎng)關(guān)路由器收到電腦A的詢問廣播包后，獲知并記錄了電腦A的MAC地址，然后回復(fù)電腦A（藍(lán)色線條所示），告知電腦A自己的MAC地址是多少？這樣電腦A就獲知了網(wǎng)關(guān)路由器的MAC地址，在相互獲知并記錄了對(duì)方的MAC地址這個(gè)基礎(chǔ)上，兩者才開始正常收發(fā)數(shù)據(jù)包。

電腦A獲知網(wǎng)關(guān)路由器的MAC地址后，將這樣一個(gè)信息動(dòng)態(tài)保存在自己的ARP地址表中，可以動(dòng)態(tài)即時(shí)更新。另外單位時(shí)間內(nèi)電腦A和網(wǎng)關(guān)路由器之間沒有傳輸數(shù)據(jù)包的話，電腦A和網(wǎng)關(guān)路由器都會(huì)將保存的相應(yīng)的ARP表?xiàng)l目刪除掉。等到有需要的時(shí)候，再次通過上面詢問的方式重新獲取對(duì)方的MAC地址就可以了。

上面這樣一個(gè)詢問對(duì)方MAC地址，然后相互發(fā)送數(shù)據(jù)包的過程一直正常運(yùn)轉(zhuǎn)著。忽然，ARP攻擊發(fā)生了。

局域網(wǎng)中某臺(tái)電腦（IP地址為192.168.1.30）發(fā)起ARP攻擊，它向局域網(wǎng)中發(fā)送了一個(gè)ARP廣播包（紅色線條所示），告訴所有的電腦：“現(xiàn)在進(jìn)行廣播，局域網(wǎng)的網(wǎng)關(guān)路由器MAC地址已經(jīng)不是以前的00-00-00-00-00-01了，而是新的MAC地址00-00-00-00-00-30，請(qǐng)各位更新自己的ARP表?！?/p>

就這樣所有的電腦都被欺騙了，將自己的ARP條目條中對(duì)應(yīng)網(wǎng)關(guān)路由器的MAC地址更新為這個(gè)假網(wǎng)關(guān)的MAC地址，更新過以后，這些電腦凡是發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包都不再發(fā)向00-00-00-00-00-01這個(gè)正確的MAC地址，而是發(fā)往了錯(cuò)誤的MAC地址00-00-00-00-00-30（綠色線條所示），因?yàn)樗须娔X都被欺騙并更新了自己的ARP條目。

根據(jù)上面的演示，所有本應(yīng)發(fā)送到正確網(wǎng)關(guān)路由器MAC地址的數(shù)據(jù)包，都發(fā)往錯(cuò)誤的假網(wǎng)關(guān)MAC地址了，而一般發(fā)往網(wǎng)關(guān)路由器的數(shù)據(jù)包都是去往互聯(lián)網(wǎng)的，所以發(fā)生ARP攻擊最常見的現(xiàn)象是：瞬間所有需要上網(wǎng)的電腦都無法上網(wǎng)。這個(gè)時(shí)候無論是PING網(wǎng)關(guān)路由器的IP地址或是嘗試登錄網(wǎng)關(guān)路由器的管理界面，都是失敗的，因?yàn)樗械臄?shù)據(jù)包都發(fā)向了錯(cuò)誤的00-00-00-00-00-30，而不是真實(shí)的網(wǎng)關(guān)路由器的MAC地址。

上面我們簡明扼要的分析了ARP攻擊發(fā)生的過程，既然找到了病因，就可以對(duì)癥下藥了。從上面的分析可以得出，故障出現(xiàn)的原因是每臺(tái)電腦上記錄真實(shí)網(wǎng)關(guān)路由器MAC地址的ARP表是動(dòng)態(tài)的，是允許被動(dòng)態(tài)更新的。如果在每臺(tái)電腦上采用固定的ARP表?xiàng)l目，不允許動(dòng)態(tài)更新，這樣即使有惡意的ARP欺騙包在網(wǎng)絡(luò)里面進(jìn)行廣播，因?yàn)槊颗_(tái)電腦的ARP表中都采用靜態(tài)綁定的方式，將真實(shí)網(wǎng)關(guān)的MAC地址固定了下來，這樣就可以應(yīng)對(duì)ARP攻擊的發(fā)生。

二、ARP攻擊判斷

如何判斷網(wǎng)絡(luò)里面發(fā)生了ARP攻擊呢？

比如您的網(wǎng)絡(luò)出口使用的我司寬帶路由器作為網(wǎng)關(guān)路由器。

登錄路由器管理界面“運(yùn)行狀態(tài)”頁面。

可以看到網(wǎng)關(guān)路由器的IP地址和MAC地址分別是多少？如果顯示網(wǎng)關(guān)路由器的MAC地址是00-0A-EB-B9-5C-CE，那么正常上網(wǎng)的時(shí)候，在內(nèi)網(wǎng)任意一臺(tái)電腦的DOS界面運(yùn)行arp–a這個(gè)命令，可以看到，任意一臺(tái)電腦arp–a的回顯信息中，都有一條對(duì)應(yīng)網(wǎng)關(guān)路由器的IP地址和MAC地址的條目，可以看到其中的Physical Address就是前面在路由器“運(yùn)行狀態(tài)”頁面看到的LAN口MAC地址00-0a-eb-b9-5c-ce，當(dāng)發(fā)生ARP攻擊的時(shí)候，這個(gè)Physical Address就變?yōu)榱硪粋€(gè)MAC地址了，而不是00-0a-eb-b9-5c-ce。

所以說，判斷是否發(fā)生ARP攻擊的辦法就是：

正常情況下，登錄網(wǎng)關(guān)路由器管理界面并記錄網(wǎng)關(guān)面向局域網(wǎng)接口（LAN口）的MAC地址。

發(fā)生異常情況的時(shí)候，在內(nèi)網(wǎng)發(fā)生故障的電腦（/或任意一臺(tái)電腦）上運(yùn)行arp–a命令，在回顯的信息中查看對(duì)應(yīng)網(wǎng)關(guān)IP的MAC地址，還是不是之前記錄的網(wǎng)關(guān)的MAC地址？如果不是，則說明局域網(wǎng)發(fā)生了ARP攻擊。

三、基本配置步驟

在上面第一步“攻擊原理分析”里，我們從理論上簡要描述了ARP攻擊的發(fā)生過程，以及解決的辦法。在第二步“ARP攻擊判斷”里又引入了實(shí)際的參數(shù)界面，如何察看參數(shù)？看到了正常情況的參數(shù)都應(yīng)該是怎樣的？等等。

接下來我們以第二步“ARP攻擊判斷”里面的參數(shù)為例，來說明基本的防護(hù)配置方法：

1．電腦端進(jìn)行ARP條目綁定

下面以Microsoft Windows2000操作系統(tǒng)為例，來說明如何在電腦上綁定靜態(tài)的ARP條目：

（1）“開始”-“程序”-“附件”-“記事本”，

打開“記事本”以后在里面輸入命令，

分別是：“arp”、“–s”、“網(wǎng)關(guān)IP地址”和“網(wǎng)關(guān)MAC地址”，這四個(gè)參數(shù)中間以“空格”隔離開。

可以看到“網(wǎng)關(guān)IP地址”和“網(wǎng)關(guān)MAC地址”這兩個(gè)參數(shù)分別就是路由器的“LAN口IP地址”和“LAN口MAC地址”，也就是說如果您使用我司出品的寬帶路由器作為網(wǎng)關(guān)路由器使用，那么對(duì)于內(nèi)網(wǎng)所有電腦來說，它們的“網(wǎng)關(guān)IP地址”就是路由器的“LAN口IP地址”，“網(wǎng)關(guān)MAC地址”就是LAN口的MAC地址。

輸入完成后點(diǎn)擊記事本菜單欄“文件”-“另存為（A）…”，

選擇保存在桌面（或者別的路徑也可以）。

“文件名（N）”這一欄需要注意，這里舉例取名為“protection.bat”。您可以隨便取名為別的文件名*.bat，這里“bat”是文件名后綴，“*”可以輸入任意數(shù)字或者字母或者兩者的組合，但是不能取為“arp”或者“ARP”，也就是不能輸入，否則會(huì)和系統(tǒng)參數(shù)沖突而不能生效：

填入了文件名以后，就可以點(diǎn)擊“保存”按鈕。

（2）“開始”-“程序”-“啟動(dòng)”，對(duì)著“啟動(dòng)”單擊鼠標(biāo)右鍵，選擇“打開”，單擊后可以將“啟動(dòng)”文件夾打開，然后將剛才建立的“protection.bat”文件復(fù)制進(jìn)去。

（3）復(fù)制完成后，重新啟動(dòng)電腦，上面那個(gè)protection.bat文件將會(huì)被操作系統(tǒng)自動(dòng)執(zhí)行一次，執(zhí)行的結(jié)果就是電腦上記錄網(wǎng)關(guān)路由器MAC地址的ARP條目成為靜態(tài)的，不會(huì)動(dòng)態(tài)改變，這樣就確保了這臺(tái)電腦不會(huì)因?yàn)槭艿紸RP欺騙而動(dòng)態(tài)修改自己的ARP表，導(dǎo)致上不了網(wǎng)。在這臺(tái)電腦DOS界面運(yùn)行arp –a 可以看到ARP表?xiàng)l目已經(jīng)由以前的動(dòng)態(tài)（Dynamic）變?yōu)殪o態(tài)（Static），

上面的配置只是在一臺(tái)電腦上進(jìn)行了ARP綁定，實(shí)際上在局域網(wǎng)里，并不僅僅是電腦A和網(wǎng)關(guān)路由器之間有一個(gè)詢問MAC地址的過程，而是任意兩臺(tái)電腦之間通訊之前，都有一個(gè)詢問對(duì)方MAC地址的過程，所以實(shí)際上內(nèi)網(wǎng)所有的電腦都需要進(jìn)行上面第1步“電腦端進(jìn)行ARP條目綁定”的操作。有一個(gè)簡單的辦法就是將上面這個(gè)protection.bat 文件拷貝到內(nèi)網(wǎng)每臺(tái)電腦上，然后再復(fù)制到各自的“啟動(dòng)”文件夾內(nèi)即可。

2．網(wǎng)關(guān)路由器端進(jìn)行ARP綁定

在上面第1步操作里，對(duì)所有電腦的ARP表進(jìn)行了靜態(tài)綁定，綁定后確保了電腦上面記錄的網(wǎng)關(guān)路由器的地址信息正確不會(huì)改變，那么也就確保了電腦可以將數(shù)據(jù)包正常發(fā)送到路由器。

實(shí)際情況是，網(wǎng)關(guān)路由器也有一張ARP表格，用來記錄內(nèi)網(wǎng)某臺(tái)主機(jī)的IP和MAC地址，如果網(wǎng)關(guān)路由器受到ARP欺騙，那么網(wǎng)關(guān)路由器將不能把數(shù)據(jù)包發(fā)送到正確的主機(jī)，而是發(fā)送到了錯(cuò)誤的假M(fèi)AC地址去了。

網(wǎng)關(guān)路由器為了防止受到ARP欺騙，也需要具備IP和MAC綁定的功能，也就是說在網(wǎng)關(guān)路由器上進(jìn)行配置，將內(nèi)網(wǎng)每臺(tái)電腦的IP地址和MAC地址組合體現(xiàn)出來，綁定以后確保了網(wǎng)關(guān)路由器知道內(nèi)網(wǎng)每臺(tái)電腦正確的IP地址和MAC地址。

在網(wǎng)關(guān)路由器上進(jìn)行綁定后，網(wǎng)關(guān)路由器就可將數(shù)據(jù)包發(fā)送到正確的MAC地址，而不會(huì)因?yàn)槭芷垓_而將數(shù)據(jù)包發(fā)送到錯(cuò)誤的MAC地址去。

經(jīng)過上面兩步，分別在電腦端和網(wǎng)關(guān)路由器端進(jìn)行IP和MAC的綁定，就可以有效防止ARP欺騙的發(fā)生。