◆王紹龍 王 劍 馮 超

（國防科學(xué)技術(shù)大學(xué)電子科學(xué)與工程學(xué)院 湖南 410000）

ARP欺騙攻擊的取證和防御方法

◆王紹龍 王 劍 馮 超

（國防科學(xué)技術(shù)大學(xué)電子科學(xué)與工程學(xué)院 湖南 410000）

由于ARP（Address Resolution Protocol，地址解析協(xié)議）協(xié)議是一個無狀態(tài)的協(xié)議，并且對請求/應(yīng)答信號的數(shù)據(jù)源缺少認證機制，任何客戶端可以偽造惡意的ARP報文，毒化目標主機ARP緩存表。基于ARP欺騙的攻擊危害性大，會導(dǎo)致網(wǎng)絡(luò)傳輸效率降低、網(wǎng)絡(luò)阻塞，甚至用戶信息被竊取和隱私泄露。通過分析基于ARP欺騙的中間人攻擊（MITM）、拒絕服務(wù)攻擊（DoS）、MAC泛洪的實現(xiàn)原理和特點，提出ARP緩存檢查、ARP包檢測、流量分析等ARP欺騙攻擊行為取證方法，和防御ARP欺騙的IP地址靜態(tài)綁定、DHCP防護和DAI檢測等方法。

ARP欺騙；ARP欺騙監(jiān)測；取證分析；ARP欺騙防御

0 引言

ARP欺騙是攻擊者發(fā)送偽造的ARP請求或ARP應(yīng)答信號發(fā)起的攻擊行為。當收到一個ARP應(yīng)答的時候，所有的客戶端無論是否發(fā)出過ARP請求，都可能會更新本地ARP緩存表。并且ARP協(xié)議中，對ARP應(yīng)答信號的信號源缺少可靠的認證機制，所以無論收到的ARP請求/應(yīng)答信號是真實的還是偽造的，都會進行處理，這就給網(wǎng)絡(luò)中的數(shù)據(jù)傳輸安全留下了隱患。

1 ARP欺騙攻擊類型

1.1 中間人攻擊（MITM）

中間人攻擊就是攻擊者在目標主機與另一方主機（網(wǎng)關(guān)或服務(wù)器）進行正常通信的過程中，進行攔截、插入、偽造、中斷數(shù)據(jù)包，達到截獲對方敏感數(shù)據(jù)，偽造身份等目的[1]。

1.2 拒絕服務(wù)攻擊（DoS）

拒絕服務(wù)攻擊以阻塞正常網(wǎng)絡(luò)帶寬、耗盡服務(wù)器內(nèi)存資源、干擾及破壞正常通信為主。在傳統(tǒng)的網(wǎng)絡(luò)中，DoS攻擊已成為攻擊者進行惡意破壞大型網(wǎng)站通信、破壞公司網(wǎng)絡(luò)等極具威脅性的途徑 [2]。

1.3 MAC泛洪

交換機依靠對CAM表的查詢來確定正確的轉(zhuǎn)發(fā)接口。攻擊者通過偽造大量的ARP應(yīng)答報文，使CAM表被這些偽造的MA C地址占據(jù)，真實的MAC地址卻無法進入CAM表，當CAM表記錄的MAC地址達到上限后，新的條目將不會添加到CAM表中。此時，任何一個經(jīng)過交換機的正常單播數(shù)據(jù)幀，都會以廣播幀的形式被處理，導(dǎo)致網(wǎng)絡(luò)帶寬資源被大量的數(shù)據(jù)包占用。

2 ARP欺騙的檢測和取證方法

2.1 檢查ARP緩存

受到ARP欺騙攻擊的主機ARP緩存表，會保存錯誤的IP和MAC地址綁定關(guān)系，通過對比ARP緩存和可信IP和MAC地址綁定關(guān)系，可以分析ARP欺騙攻擊類型和攻擊源。

2.2 檢測ARP數(shù)據(jù)包

攻擊者發(fā)起ARP欺騙攻擊需要向網(wǎng)絡(luò)中發(fā)送偽造的ARP報文，這些偽造的ARP報文中會重復(fù)使用合法的IP地址。如果存在ARP欺騙攻擊，ARP報文中IP地址和MAC地址就會出現(xiàn)多對對應(yīng)關(guān)系。并且，ARP應(yīng)答數(shù)據(jù)包的包頭結(jié)構(gòu)中，含有源MA C地址和目的MAC地址等信息，通過分析偽ARP數(shù)據(jù)包，可以定位出ARP欺騙攻擊的主機。

2.3 網(wǎng)絡(luò)流量分析

在受到ARP欺騙攻擊的網(wǎng)絡(luò)中，攻擊者需要持續(xù)發(fā)送偽AR P數(shù)據(jù)包，相比于正常的網(wǎng)絡(luò)，受攻擊的網(wǎng)絡(luò)中ARP數(shù)據(jù)包會增多，將導(dǎo)致整個網(wǎng)絡(luò)中的單播、多播、廣播數(shù)據(jù)包比例發(fā)生明顯變化。

3 受攻擊網(wǎng)絡(luò)取證分析

3.1 檢查ARP緩存表

本地ARP緩存表包含了本地的所有IP地址和MAC地址的對應(yīng)關(guān)系。如果ARP緩存受到中毒攻擊，就會出現(xiàn)偽造的IP和MAC地址對應(yīng)關(guān)系。表1所示是受攻擊主機的ARP緩存表，緩存表中出現(xiàn)了重復(fù)的MAC地址：00-0c-29-f2-3d-a5同時對應(yīng)著192.168.0.1和192.168.0.117兩個IP地址，而網(wǎng)關(guān)的的MAC地址實際是be-53-e5-a4-6f-20，IP為192.168.0.117的主機就是ARP欺騙攻擊的攻擊源，目標是偽裝成網(wǎng)關(guān)。

表1 受攻擊主機ARP緩存表

3.2 分析ARP數(shù)據(jù)包

使用wireshark捕獲到的受攻擊內(nèi)網(wǎng)流量中的ARP數(shù)據(jù)包監(jiān)測顯示結(jié)果為：Duplicate IP address detected for 192.168.0.117（00：0c：29：f2：3d：a5）– also in use by be：53：e5：a4：6f：20。說明IP地址192.168.0.117被重復(fù)使用，說明IP為192.168.0.117的主機發(fā)出偽造的ARP包，并且這些偽ARP包中的IP地地址，B很可能發(fā)起了DoS攻擊或是中間人攻擊。

3.3 網(wǎng)絡(luò)流量分析

通過Ntop分析網(wǎng)絡(luò)流量可以確定網(wǎng)絡(luò)上存在的各種問題，判斷是否存在ARP攻擊行為。表2和表3分別是在正常網(wǎng)絡(luò)和受攻擊網(wǎng)絡(luò)情況下，主機用Ntop得出的網(wǎng)絡(luò)流量統(tǒng)計信息。在受到ARP欺騙攻擊時，廣播流量明顯增大到18.0%。廣播包很可能就是實施ARP欺騙持續(xù)發(fā)出的偽ARP包。

表2 正常網(wǎng)絡(luò)網(wǎng)絡(luò)流量統(tǒng)計

表3 受攻擊網(wǎng)絡(luò)網(wǎng)絡(luò)流量統(tǒng)計

3.4 入侵檢測

除上述幾種措施外，還有很多ARP欺騙檢測工具，如XArp、ARPToxin、snort等[3]都可以對基于ARP欺騙的攻擊行為進行實時檢測。其中，Snort是一個開源的，具有實時流量分析、網(wǎng)絡(luò)IP數(shù)據(jù)包記錄等強大功能的網(wǎng)絡(luò)入侵/防御檢測系統(tǒng)。這種方法首先要根據(jù)具體網(wǎng)絡(luò)手動配置文件，對網(wǎng)絡(luò)的變化適應(yīng)性差。

4 防御措施

4.1 IP地址與MAC地址靜態(tài)綁定

通常，局域網(wǎng)內(nèi)IP地址和MAC地址的對應(yīng)關(guān)系是動態(tài)的，這是ARP欺騙攻擊的前提。如果靜態(tài)綁定受信任的IP地址和M AC地址，當收到已綁定地址的ARP請求/應(yīng)答信號后，ARP緩存表就不會進行更新。

4.2 DHCP防護和DAI檢測

通過交換機的DHCP ack包或者手工指定，建立和維護一張包含受信任的IP和MAC地址生成的DHCP Snooping綁定表，交換機開啟DHCP Snooping后，會檢查非信任端口報文中的M AC地址，根據(jù)綁定表過濾掉不受信任的DHCP信息，與數(shù)據(jù)庫中的借口信息不匹配的DHCP信息同樣也會被丟棄。避免非法冒充DHCP服務(wù)器接入。

5 結(jié)論

為了保障網(wǎng)絡(luò)安全，關(guān)于OSI各層的安全策略已經(jīng)做了大量研究。通過數(shù)據(jù)鏈路層一直面臨著嚴重的安全威脅。利用ARP協(xié)議無狀態(tài)的特性發(fā)起的ARP欺騙攻擊危害極大。通過實驗室環(huán)境驗證檢查ARP緩存表、ARP包監(jiān)測、網(wǎng)絡(luò)流量分析，可以及時發(fā)現(xiàn)并定位ARP欺騙攻擊行為。最后給出IP地址靜態(tài)綁定、DHCP防護和DAI檢測等安全防護措施，對保護局域網(wǎng)安全具有重要意義。

[1]馬軍，王巖．ARP 協(xié)議攻擊及其解決方案[J]．微計算機信息，2006．

[2]李軍鋒．基于計算機網(wǎng)絡(luò)安全防 ARP 攻擊的研究[J]．武漢工業(yè)學(xué)院學(xué)報，2009．

[3]吳蓓．淺論 ARP 攻擊的原理與防范方式[J]．科協(xié)論壇：下半月，2010．

關(guān)閉81端口：

4.2 關(guān)閉和開啟物理端口

4.3 網(wǎng)絡(luò)地址的配置

第一步：ifconfigeth0x.x.x.xnetmaskx.x.x.xbroadcastx.x.x.

第二步：參考配置文件進行設(shè)置，/ect/sysconfig/network-scri pts下進行ifcfg-xx的文件配置，例如ifconfigeth0，其中0表示在一塊網(wǎng)卡上配置地址的數(shù)目，需要多個則對該數(shù)字進行設(shè)定即可：ifconfigeth0：1，ifconfigeth0：2等根據(jù)實際需求進行設(shè)定。

第三步：重新啟動network服務(wù)，/ect/init.d/networkrestart或servicenetworkrestart.

5 修改網(wǎng)絡(luò)配置

修改網(wǎng)絡(luò)配置一般是出現(xiàn)在完成所有配置之后的，當配置完成后發(fā)現(xiàn)其中的某些設(shè)置與原來的設(shè)計不同，或者是不能滿足實際的運行需求，所以需要對其進行相應(yīng)的修改。通常情況下修改網(wǎng)絡(luò)配置，主要針對IP地址、DNS和路由方面的修改，而修改的方式則是通過相應(yīng)的指令來完成操作。

6 結(jié)語

虛擬機下Linux操作系統(tǒng)的網(wǎng)絡(luò)配置步驟總結(jié)為六步：第一，連接 Vnet-PPPoE 實現(xiàn)網(wǎng)絡(luò)共享；第二，選擇合適的連接方式接入互聯(lián)網(wǎng)；第三，根據(jù)實際情況需求進行相應(yīng)的網(wǎng)絡(luò)配置；第四，利用配置文件進行相關(guān)命令的執(zhí)行，保證所設(shè)置的網(wǎng)絡(luò)是有效可執(zhí)行的；第五，用 ifconfig 命令檢測查看已設(shè)置的網(wǎng)絡(luò)配置是否符合要求；第六，利用ping命令對網(wǎng)絡(luò)的通暢情況進行檢測驗證，一般設(shè)置完成的系統(tǒng)，其網(wǎng)絡(luò)運行情況較為良好，但如果是不通暢的情況，則需要關(guān)掉真機上的防火墻，然后繼續(xù)觀察網(wǎng)絡(luò)狀態(tài)，針對存在的問題找出相應(yīng)的解決辦法，保證系統(tǒng)和網(wǎng)絡(luò)的正常。

參考文獻：

[1]李超．虛擬機下Linux操作系統(tǒng)的網(wǎng)絡(luò)配置研究[J]．小作家選刊，2015．

[2]芮雪．虛擬機下Linux操作系統(tǒng)的網(wǎng)絡(luò)配置[J]．電腦與信息技術(shù)，2014．

[3]翟文彬，李爽．虛擬機技術(shù)在Linux操作系統(tǒng)中的應(yīng)用[J]．計算機光盤軟件與應(yīng)用，2013．