王松濱

摘 要

伴隨著網(wǎng)絡(luò)規(guī)模的快速擴(kuò)大，網(wǎng)絡(luò)應(yīng)用越來(lái)越豐富。網(wǎng)絡(luò)安全也成為了影響網(wǎng)絡(luò)效能的重要因素。本文針對(duì)ARP攻擊進(jìn)行了詳細(xì)分析，并就防范ARP攻擊進(jìn)行了一定程度的探討。

【關(guān)鍵詞】ARP 網(wǎng)絡(luò)安全 黑客 防火墻

網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，既給我們提供了方便也帶來(lái)了安全威脅。局域網(wǎng)（LAN）是指在一定區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)互聯(lián)工作組。在局域網(wǎng)內(nèi)，交換機(jī)和服務(wù)器把所有的計(jì)算機(jī)連接起來(lái)，局域網(wǎng)互聯(lián)優(yōu)點(diǎn)是快速、便捷，缺點(diǎn)是技術(shù)單調(diào)、安全策略少，對(duì)病毒傳播沒(méi)有有效的防治方法，缺少應(yīng)對(duì)數(shù)據(jù)信息的破壞的安全策略。

1 ARP協(xié)議

1.1 ARP協(xié)議概述

ARP協(xié)議是Address Resolution Protocol地址解析協(xié)議的縮寫(xiě)，數(shù)據(jù)在局域網(wǎng)中以幀的方式進(jìn)行傳輸，根據(jù)幀中目標(biāo)主機(jī)的MAC地址來(lái)進(jìn)行尋址。

1.2 ARP協(xié)議的工作原理

1.2.1 將本地網(wǎng)絡(luò)的主機(jī)IP地址解析為MAC地址

ARP解析過(guò)程分4步：

（1）初始化ARP請(qǐng)求。通過(guò)在ARP緩存中查找，源主機(jī)獲取目標(biāo)主機(jī)的MAC地址。

（2）若找不到映射，ARP就建立一個(gè)請(qǐng)求，請(qǐng)求中包含源主機(jī)IP地址和MAC地址，此請(qǐng)求在本網(wǎng)段進(jìn)行廣播，所有本地主機(jī)均能接收到并進(jìn)行處理。

（3）本網(wǎng)段主機(jī)都收到廣播并尋找相符的IP地址。

（4）當(dāng)目標(biāo)主機(jī)確定自己的IP地址與請(qǐng)求中的IP地址一致時(shí)，發(fā)送ARP應(yīng)答包（其中包含自己的MAC地址）給源主機(jī)。同時(shí)以源主機(jī)的IP地址和MAC地址更新自己的ARP緩存表。源主機(jī)收到應(yīng)答后也會(huì)將目標(biāo)主機(jī)的IP與MAC地址寫(xiě)入自己的緩存表，相互建立通訊關(guān)系。

1.2.2 將遠(yuǎn)程網(wǎng)絡(luò)的主機(jī)IP地址解析為MAC地址

當(dāng)主機(jī)處于不同網(wǎng)絡(luò)中，相互通訊時(shí)，因目標(biāo)主機(jī)是一個(gè)遠(yuǎn)程IP地址，ARP將廣播一個(gè)路由器（源主機(jī)的缺省網(wǎng)關(guān)）的地址。ARP解析過(guò)程分3步：

（1）通信請(qǐng)求初始化，確定目標(biāo)主機(jī)為遠(yuǎn)程IP地址。源主機(jī)查找本地路由表，如果沒(méi)有找到，源主機(jī)就把它當(dāng)作缺省網(wǎng)關(guān)處理。在ARP緩存中查找符合該網(wǎng)關(guān)記錄的IP的MAC地址。

（2）若此網(wǎng)關(guān)的記錄不存在，ARP將廣播一個(gè)請(qǐng)求，此請(qǐng)求包含網(wǎng)關(guān)地址而非目標(biāo)主機(jī)的地址。

（3）如果網(wǎng)關(guān)的MAC地址不在ARP緩存表中，可進(jìn)行廣播獲取。當(dāng)它獲得MAC地址，ICMP響應(yīng)就發(fā)送到路由器上，傳給源主機(jī)。

2 ARP攻擊的威脅

2.1 ARP的攻擊原理

ARP攻擊是通過(guò)偽造IP地址和物理地址實(shí)現(xiàn)ARP欺騙的，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP數(shù)據(jù)包使網(wǎng)絡(luò)阻塞，攻擊者持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包，更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

感染了ARP木馬的計(jì)算機(jī)，會(huì)通過(guò)“ARP欺騙”等手段獲取其所處網(wǎng)絡(luò)內(nèi)另外計(jì)算機(jī)的通信信息，還會(huì)引起網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。

2.2 ARP攻擊局域網(wǎng)

互聯(lián)網(wǎng)在誕生之初主要供科研、學(xué)術(shù)交流之用，使用地點(diǎn)多是大學(xué)內(nèi)部，采用信任模式，功能強(qiáng)大、速度快捷是其追求目標(biāo)，安全沒(méi)有成為考慮的重點(diǎn)。當(dāng)時(shí)方便查詢的以太網(wǎng)泛洪，使得不懷好意者有了可乘之機(jī)，局域網(wǎng)內(nèi)的ARP Request使其輕易獲取到網(wǎng)內(nèi)所有 （IP，MAC）地址。而節(jié)點(diǎn)對(duì)于收到的ARP Reply也不會(huì)質(zhì)疑，冒充變得輕而易舉。

ARP欺騙的主要表現(xiàn)是：上網(wǎng)時(shí)會(huì)突然掉線，不久又恢復(fù)正常。異?，F(xiàn)象諸如瀏覽器報(bào)錯(cuò)、頻頻掉線、客戶端狀態(tài)出問(wèn)題等。

通常情況下，計(jì)算機(jī)受到ARP攻擊可能出現(xiàn)兩種情形：

（1）出現(xiàn)網(wǎng)絡(luò)地址沖突對(duì)話框，并不斷重復(fù)。

（2）計(jì)算機(jī)掉線，無(wú)法上網(wǎng)。

對(duì)于這種ARP攻擊，防火墻通常不會(huì)攔截。因?yàn)閳?bào)文本身并沒(méi)有違反協(xié)議規(guī)定，只不過(guò)是利用了協(xié)議的弱點(diǎn)，所以一般的防火墻難以抵擋此類攻擊。

2.3 ARP攻擊解決方案

（1）刪除插入ARP或者IP route表（路由表）中錯(cuò)誤記錄的方法。

a. 使用命令進(jìn)行攻擊，促使網(wǎng)絡(luò)中斷

b. 自動(dòng)過(guò)期，由系統(tǒng)刪除

（2）可以采用建立靜態(tài)ARP表的方法，但是對(duì)于動(dòng)態(tài)ARP協(xié)議有所影響。

（3）使用ipconfig interface–arp命令，此方法使得發(fā)送和接受ARP數(shù)據(jù)包都不能進(jìn)行。但是如果計(jì)算機(jī)地址不在靜態(tài)的緩存表中，通信將無(wú)法進(jìn)行。

3 ARP防火墻

3.1 ARP防火墻的概念

ARP防火墻的重要功能是主動(dòng)告知網(wǎng)關(guān)本機(jī)正確的物理地址并且攔截虛假ARP數(shù)據(jù)包。其功能包括：阻斷IP沖突、ARP攻擊、Dos攻擊，并且能夠進(jìn)行ARP數(shù)據(jù)分析。

首先，ARP防火墻通過(guò)攔截虛假ARP數(shù)據(jù)包的方式，使得本主機(jī)獲取正確的網(wǎng)關(guān)MAC地址。其次，ARP防火墻采取主動(dòng)防御，與網(wǎng)關(guān)保持聯(lián)系，使網(wǎng)關(guān)得到的本機(jī)正確的物理地址。

3.2 ARP的防火墻的的主要作用

（1）首先，ARP防火墻能夠?qū)ν獠刻摷貯RP數(shù)據(jù)包進(jìn)行截獲，使系統(tǒng)避免受到ARP欺騙、ARP攻擊，保證內(nèi)網(wǎng)安全；其次，如果本機(jī)感染了惡意程序，防火墻可以截獲對(duì)外發(fā)出的ARP攻擊數(shù)據(jù)包，減輕給其它用戶帶來(lái)的危害；

（2）攔截IP沖突。對(duì)于IP沖突包進(jìn)行有效攔截，保障系統(tǒng)正常運(yùn)行；

（3）Dos攻擊抑制。對(duì)于本機(jī)的對(duì)外攻擊進(jìn)行有效攔截，阻止TCP SYN/UDP/ICMP/ARP DoS等攻擊數(shù)據(jù)包，保障網(wǎng)絡(luò)的通暢；

（4）安全模式。只響應(yīng)網(wǎng)關(guān)發(fā)送的ARP Request數(shù)據(jù)包，隱藏自己，盡量避免受到ARP攻擊；

（5）ARP數(shù)據(jù)分析。對(duì)接收到的所有ARP數(shù)據(jù)包進(jìn)行有效分析，挖出可能存在的攻擊者或中毒的設(shè)備；

（6）監(jiān)測(cè)ARP緩存。對(duì)本電腦的緩存表進(jìn)行監(jiān)視，當(dāng)網(wǎng)關(guān)的物理地址被惡意程序修改時(shí)可發(fā)出警報(bào)并進(jìn)行修復(fù)；

（7）主動(dòng)防御。告知網(wǎng)關(guān)本機(jī)的MAC地址，與網(wǎng)關(guān)時(shí)刻保持通訊；

（8）追蹤攻擊者。

（9）查殺ARP病毒。

ARP防火墻可以在一定程度上解決局域網(wǎng)內(nèi)的ARP攻擊和欺騙問(wèn)題。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，也許還會(huì)出現(xiàn)其它的安全問(wèn)題，但也一定會(huì)有更多針對(duì)它的解決辦法。

參考文獻(xiàn)

[1]單國(guó)杰.基于ARP欺騙攻擊的防御策略研究[D].濟(jì)南：山東師范大學(xué)，2011.

[2]史雋彬，秦科.ARP攻擊現(xiàn)狀分析及一種應(yīng)對(duì)ARP攻擊的方法[J].陜西理工學(xué)院學(xué)報(bào)（自然科學(xué)版），2013（02）：45-49.

作者單位

湖南司法警官職業(yè)學(xué)院管理系 湖南省長(zhǎng)沙市 410008