郭潔

摘要：該文通過對公共上網(wǎng)領域ARP攻擊現(xiàn)象的分析，結(jié)合目前研究得出ARP的攻擊原理，對諸如偵聽、拒絕服務、掛載病毒等常用攻擊手法進行深入剖析。通過對ARP數(shù)據(jù)幀格式進行展開分析，找出ARP協(xié)議漏洞的危害性，查明惡意攻擊人員利用該漏洞進行ARP欺騙攻擊的主要手段。最后，文章從ARP攻擊的手段和常用防御措施進行分類研究，重點對MAC地址的集中管理、ARP數(shù)據(jù)包探測以及操作系統(tǒng)自身的防護安全加固角度進行嚴格細致的論述，并且對公眾上網(wǎng)計算機環(huán)境中存在的、一些潛在的、可能被利用ARP協(xié)議攻擊的漏洞進行了相關的分析，同時對整體安全防御構架進行了針對性的探索。

關鍵詞：ARP協(xié)議；ARP攻擊；防護措施

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）13-0041-03

1 緒論

隨著網(wǎng)絡安全意識的缺乏和相關管理措施的不到位，一些企業(yè)或者學校公共機房出現(xiàn)大量的ARP攻擊。這種ARP攻擊有時候會迅速蔓延，在擁有大批量的上網(wǎng)計算機的公共上網(wǎng)環(huán)境中，同一網(wǎng)段中往往擁有不同的使用人群，網(wǎng)絡安全責任點比較分散，上網(wǎng)人員流動性相對比較大，在網(wǎng)絡安全管理方面存在著很大的漏洞，從而為ARP攻擊提供了滋生的空間和條件。

目前為止，針對ARP協(xié)議漏洞攻擊，很多研究者已經(jīng)進行了大量的攻擊測試實驗，同時給出了具有針對ARP協(xié)議欺騙行為的惡意攻擊防治方法，這些防范措施和病毒防御方法大多是根據(jù)ARP協(xié)議的原理，通過在某種程度上保護ARP高速緩存避免惡意侵擾的方式來成功避免ARP惡意攻擊，對一些簡單的攻擊模式還是十分有效的，但是由于這些方法沒有從根本上解決ARP惡意攻擊的欺騙問題，從而導致了更加高級或者變種的ARP欺騙問題仍然發(fā)生，追究其原因是由于ARP協(xié)議本身存在的，允許在不可信網(wǎng)絡中運行的規(guī)則漏洞。本文將從ARP協(xié)議原理本身的特點出發(fā)考慮，從多方面分析ARP協(xié)議自身存在的各種不安全因素，并針對目前已經(jīng)存在的ARP攻擊問題，給出具有針對性的ARP攻擊解決方案，為解決ARP病毒的繁衍和變異提供一定的理論支撐。

2 ARP攻擊原理

ARP欺騙攻擊采用的常用手段主要是通過成功地偽造對應的IP地址和MAC地址映射實現(xiàn)，通過該手段可以在一定程度上造成目標主機的ARP高速緩存信息發(fā)生不可預期的錯誤，從而使整個局域網(wǎng)的信息數(shù)據(jù)通信發(fā)生故障，從而達到惡意實施網(wǎng)絡欺騙的卑劣行為?！癆RP”協(xié)議攻擊和欺騙技術不僅僅被用作了局域網(wǎng)通信故障方面，而是正在日漸的被越來越多的黑客和惡意人員用在了或者輔助用在了其他電腦病毒中，逐漸地衍生或者變異成為新的局域網(wǎng)攻擊病毒和網(wǎng)絡安全的新威脅和新殺手。有些具有“ARP欺騙”性質(zhì)和特征的惡意木馬程序成功地入侵到某個單位的局域網(wǎng)后，它會通過發(fā)送一些數(shù)據(jù)包的方式，試圖通過采用“ARP欺騙”手段順利地截獲該病毒所在局域網(wǎng)內(nèi)的其他計算機系統(tǒng)的數(shù)據(jù)資料和通信信息，導致該局域網(wǎng)數(shù)據(jù)通信不穩(wěn)定，頻繁地出現(xiàn)“掉線”現(xiàn)象。同時，受到攻擊的局域網(wǎng)內(nèi)的其他計算機也會受到不同程度的影響，大面積的出現(xiàn)本機IP地址與局域網(wǎng)內(nèi)的其他機器沖突、斷網(wǎng)現(xiàn)象層出不窮，應用軟件莫名其妙地出現(xiàn)報錯故障等現(xiàn)象。除此之外，在某些觸發(fā)條件下，它會自動地對局域網(wǎng)中截獲的其他數(shù)據(jù)包進行惡意分析和暴力破解，別有用心地過濾出用戶客戶端網(wǎng)頁瀏覽請求和服務器端的應答數(shù)據(jù)包，并在截獲的數(shù)據(jù)包中非法地插入具有一定破壞性的惡意代碼，一旦局域網(wǎng)中的個別計算機系統(tǒng)或者瀏覽器存在一定的安全漏洞，那么該臺計算機就會在用戶毫不知情的情況下，自動下載并且隱蔽地運行黑客的惡意木馬或者具有攻擊威脅的程序。由此可見，融入了“ARP欺騙”的惡意木馬和插件程序?qū)τ嬎銠C和使用用戶的危害性是相當大的，ARP協(xié)議英文單詞組合意思是“Address Resolution Protocol”（即我們通常所說的地址解析協(xié)議）的單詞首字母縮寫，該協(xié)議應用在數(shù)據(jù)鏈路層。

由圖1所示的域名解析原理可以得出，網(wǎng)絡中的任意一臺計算機都具有一個對應的ARP緩存表，該表記錄了地址之間的映射關系。網(wǎng)絡計算機在進行數(shù)據(jù)傳輸之前需要在緩存表中進行地址映射查詢，為了提高查詢速度，ARP緩存表采用了地址映射記錄替換機制，對于不經(jīng)常使用的地址映射進行刪除操作，這種機制在一定程度上加快了查詢速度。ARP查詢過程如圖2所示。

從圖2 ARP地址映射查詢流程可知，ARP協(xié)議客觀存在一個自身屬性固有的缺陷，即每臺計算機主機的ARP地址映射表的更新過程比較簡單，可以對信任的局域網(wǎng)廣播域內(nèi)所有的計算機請求進行回應，換言之，在ARP協(xié)議中，局域網(wǎng)內(nèi)接收請求回應數(shù)據(jù)幀的計算機主機無法采用有效的手段來驗證回應數(shù)據(jù)包的真?zhèn)?。基于以上情況，在ARP協(xié)議中，很多黑客或者惡意人員根據(jù)這一漏洞進行了大量的以太網(wǎng)ARP欺騙攻擊。

3 ARP欺騙攻擊與防范

3.1 ARP防護整體布局思路

從ARP攻擊的主要原理分析，防范ARP欺騙攻擊不是一蹴而就的，需要采取大量的防范措施，這種攻擊的主要特色在于其攻擊的主要目的不僅僅是針對服務器或交換機硬件本身，而且偽裝的ARP攻擊源十分的隱蔽，很難被識別和發(fā)現(xiàn)。因此，即便有時候已經(jīng)發(fā)現(xiàn)遭遇了ARP攻擊，但是卻遲遲找不到攻擊源，也就是說要想在很短的時間內(nèi)發(fā)現(xiàn)攻擊源，并且對其進行快速定位是一件非常艱難的事情。這就在某種意義上來說將ARP攻擊當成是普通攻擊或病毒那樣對其進行防御是行不通的，僅憑借單一地從服務器系統(tǒng)或者從網(wǎng)絡網(wǎng)關上進行相關措施的防范顯然是不夠的，而且ARP攻擊防御的效果也不是良好。

在圖3中描述了ARP綜合防護體系中各種手段的組成。具體方法有：

1）根據(jù)ARP攻擊原理和協(xié)議漏洞缺陷，有針對性地在主機中設置靜態(tài)的MAC to IP對應表，同時有效地建立IP+MAC組合的安全保障機制。

2）科學合理地運用MAC地址管理服務器，根據(jù)局域網(wǎng)數(shù)據(jù)傳輸請求動態(tài)地查找ARP地址映射轉(zhuǎn)換表。

3）可以根據(jù)具體網(wǎng)絡結(jié)構和服務特點適當?shù)剡x取和使用代理IP，從而完成數(shù)據(jù)的通信傳輸。

4）適當?shù)厥褂梅阑饓夹g，對于危險或者非信任域進行必要的隔離操作，對內(nèi)網(wǎng)計算機的ARP數(shù)據(jù)包傳輸進行全程監(jiān)督。

5）管理員需要根據(jù)企業(yè)網(wǎng)絡運行狀態(tài)，定期使用rarp請求進行ARP響應的真實性檢查，同時還需要對主機的ARP緩存進行輪詢檢查。

6）靈活運用ARP攻擊探測等第三方工具軟件，在局域網(wǎng)內(nèi)部進行不定期的巡回排查，及時探測并且發(fā)現(xiàn)不正常的、非法的ARP廣播數(shù)據(jù)幀。

3.2 MAC地址集中管理

IP地址與MAC地址綁定是目前采用比較普遍的，也是比較有效的ARP攻擊防御方法。但是，在一些比較大型公眾上網(wǎng)環(huán)境中，如果對局域網(wǎng)中的計算機采用靜態(tài)IP地址和MAC地址的綁定就會給網(wǎng)絡管理帶來煩瑣的操作。因此，通常情況下大型網(wǎng)絡環(huán)境采用MAC地址中央管理的方式進行ARP攻擊防范。

如圖4所示，其中MAC地址管理服務器C負責維護和更新整個局域網(wǎng)內(nèi)所有主機的ARP地址映射表，掌握局域網(wǎng)內(nèi)每臺主機的MAC與其對應的IP地址之間的映射關系。管理服務器C能夠定時對整個局域網(wǎng)中的各個主機進行掃描，并且可以及時獲取到主機對應的MAC地址。當管理服務器C對主機A和主機B同時進行MAC掃描時，如果發(fā)現(xiàn)主機A的MAC地址信息與管理服務器C維護更新的ARP表中的記錄信息不符，則即可確定主機A為ARP攻擊源。

這種基于局域網(wǎng)內(nèi)各個主機MAC地址實時掃描和集中管理的機制，不但可以快捷、高效地管理和維護包含海地址映射量信息的ARP表，而且還準確地探測到各個VLan中潛在的、非正常的MAC地址信映射息。由于在通常情況下，計算機的病毒預防和治理技術一般要落后于各種新病毒或者惡意代碼的攻擊，具有一定的滯后性。因此，就會在某種程度上造成計算機病毒或攻擊代碼在一定范圍內(nèi)大量的存在和蔓延；另一方面是管理，由于不同單位或者部門的重視程度和網(wǎng)絡管理人員的計算機專業(yè)技術水平參差不齊，使網(wǎng)絡安全防范體系弱化或者根本就是紙上談兵。在現(xiàn)實生活中，由于網(wǎng)絡管理不善和管理人員專業(yè)水準低下所造成的網(wǎng)絡安全問題層出不窮，給各個企業(yè)和部門帶來了極大的無形損失。有時候系統(tǒng)漏洞沒有及時被發(fā)現(xiàn)，相關的修復措施相對比較滯后，這些由于管理疏忽所導致的安全防護措施的不到位，給惡意人員和攻擊者提供了極大的攻擊機會。

4 總結(jié)

本文通過對ARP協(xié)議原理的深入研究和ARP攻擊常用的手段進行全方位的剖析，從ARP協(xié)議自身存在的缺陷方面總結(jié)出ARP攻擊欺騙的著力點和根源，以ARP協(xié)議自身存在的、不可避免的缺陷為抓手，進行ARP攻擊防御措施的探索，分析各種類型的基于ARP欺騙的不同攻擊手段和惡意攻擊行為，提煉出防范ARP攻擊的幾種方法，尤其在ARP病毒繁衍和變種方面具有一定的效果。

參考文獻：

[1] 何秀麗.大數(shù)據(jù)環(huán)境下計算機網(wǎng)絡安全問題及防范策略研討[J].網(wǎng)絡安全技術與應用，2017（05）.

[2] 李驍.新時期背景下對計算機網(wǎng)絡安全技術及其防范策略的探析[J].中國管理信息化，2017（23）.

[3] 黃帆.計算機網(wǎng)絡服務器的入侵與防御技術分析[J].電子世界，2016（11）.

[4] 喬向龍.試析計算機網(wǎng)絡服務器的入侵和防御技術[J].中國新通信，2017（02）.