ARP欺骗的防御策略

ARP欺骗的防御策略（精选7篇）

ARP欺骗的防御策略 篇1

Internet的发展极大地提高了人们的生活和工作效率,计算机已经进入千千万万的家庭当中。2016年1月的第37次中国互联网络发展状况统计报告显示:截至2015年12月,中国网民规模达6.88亿,互联网普及率为50.3%。因特网的开放性造成的网络和信息安全等问题也越来越受到人们的重视,校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络,校园网的安全状况直接影响到教学、科研、管理等活动的进行。目前针对网络的攻击方式有很多种类:嗅探扫描攻击,网络系统缺陷攻击、Email攻击、堆溢出攻击、ARP攻击等,其中基于ARP的攻击是危害较大的、比较典型一种攻击方式,本文重点研究基于ARP欺骗的校园网攻击防御方法,希望给校园网的安全建设提供一些借鉴。

1 ARP协议的工作原理和典型应用

ARP(Address Resolution Protocol)地址解析协议)是TCP/IP协议族中的一个重要协议,ARP是解决同一个局域网上的主机或路由器的IP地址和硬件地址的映射问题,在IPV4版本下,ARP协议的功能是完成从32位的IP地址到48位的MAC地址的转换。

1.1 ARP协议工作原理

在局域网中的每台计算机都同时拥有两个地址,一个是MAC地址,另一个是IP地址。MAC地址就是以太网卡硬件地址(Physical Address),它在生产时就已经固化在网卡上的ROM中,是全球唯一的。IP地址是网络层和以上各层使用的地址,是一种逻辑地址,它是由软件分配的,根据使用情况需要是可以更改的。不管网络层使用的是什么协议,在实际网络的链路上传送数据帧时,最终还是必须使用硬件地址。每一个主机都设有一个ARP高速缓存(ARP cache),里面有所在的局域网上的各主机和路由器的IP地址到硬件地址的映射表。当主机A欲向本局域网上的某个主机B发送IP数据报时,就先在其ARP高速缓存中查看有无主机B的IP地址。如有,就可查出其对应的硬件地址,再将此硬件地址写入MAC帧,然后通过局域网将该MAC帧发往此硬件地址。为了减少网络上的通信量,主机A在发送其ARP请求分组时,就将自己的IP地址到硬件地址的映射写入ARP请求分组。主机B收到A的ARP请求分组时,就将主机A的这一地址映射写入主机B自己的ARP高速缓存中。这对主机B以后向A发送数据报时就更方便了。

1.2 使用ARP的四种典型情况

如果所要找的主机和源主机不在同一个局域网上,那么就要通过ARP找到一个位于本局域网上的某个路由器的硬件地址,然后把分组发送给这个路由器,让这个路由器把分组转发给下一个网络。剩下的工作就由下一个网络来做。从IP地址到硬件地址的解析是自动进行的,主机的用户对这种地址解析过程是不知道的。只要主机或路由器要和本网络上的另一个已知IP地址的主机或路由器进行通信,ARP协议就会自动地将该IP地址解析为链路层所需要的硬件地址。使用ARP有以下四种情况如图1所示:

发送方是主机,要把IP数据报发送到本网络上的另一个主机。这时用ARP找到目的主机的硬件地址,如图1:主机B与主机C之间发送信息。

发送方是主机,要把IP数据报发送到另一个网络上的一个主机。这时用ARP找到本网络上的一个路由器的硬件地址。剩下的工作由这个路由器来完成,如图1:主机A与主机B或主机C之间发送信息。

发送方是路由器,要把IP数据报转发到本网络上的一个主机。这时用ARP找到目的主机的硬件地址。如图1:路由器R1与主机A之间发送信息或路由器R2与主机B或主机C之间发送信息。

发送方是路由器,要把IP数据报转发到另一个网络上的一个主机。这时用ARP找到本网络上另一个路由器的硬件地址。剩下的工作由这个路由器来完成,如图1:路由器R1与路由器R2之间发送信息。

2 ARP协议的漏洞

TCP/IP协议栈中的的ARP协议,其最初设计是建立在同一个局域网内各站点之间互相信任的基础之上,仅考虑其传输效率,而缺乏必要的认证和鉴别机制,导致ARP协议的安全性能相当脆弱,主要体现在以下几个方面:

(1)ARP协议的请求包与应答包通过广播形式进行传送

当一台计算机发送的ARP请求包是以广播的形式进行传送,在整个局域网内全部的计算机都能接到这些请求如图2所示:

网络中一些图谋不归站机就有发送应答包的机会,目标计算机里ARP缓存的内容就有可能被改变。当一台计算机发送的ARP应答包是以广播的形式进行传送,局域网计算机里面的ARP缓冲区的IP与MAC联系就会发生改变,网络就会出现异常情况。

(2)ARP协议的回复与请求不需要相互关联。

不管局域网内的某站点有没有发出请求数据,在同一个局域网内的任何站点都可以向目标站点发送ARP的应答数据,收到来一个局域网站点的ARP回复包,就会修改ARP缓存区保存的IP与MAC的关系,并不会考虑这个ARP回复包是否是对应的请求包引起的,目标计算机里ARP缓存的内容随时都有可能被改变。

(3)ARP缓冲区当中的IP与MAC对应关系是动态变化的。这即是优点也是缺陷。在ARP缓冲区当中的IP与MAC对应关系是不断地进行动态的更新,如果有数据在更新之前被篡改了,那么在局域网计算机的通信就不能完成正常通信。

3 基于ARP的攻击方式

校园网是一种局域网,校园网的数据通讯使用ARP协议。由于ARP协议自身的设计缺陷,利用这些ARP漏洞,可以实现多种ARP攻击校园网,达到截获校园网数据的目的。常见的基于ARP的攻击有如下几种方式:

3.1 ARP洪泛攻击

局域网中的恶意用户和向校园网发出大量的ARP报文,导致整个校园网络通信被阻断,学校服务器瘫痪,最后使得整个学校的用户不能登陆互联网。

3.2 伪造网关

通过伪造虚假的网关或主机,向校园网里的所有计算机或者终端发送ARP伪造的网关,使校园网用户发送数据到了假的网关,造成用户无法上网。

3.3 ARP病毒攻击

ARP病毒是利用ARP协议的漏洞进行传播的一类病毒。局域网中有人使用ARP欺骗的木马程序,ARP攻击和木马病毒组合,对校园网造成更大的危害。

3.4 IP地址冲突

校园网中的一台主机发送更改的ARP报文,将另一个伪装的MAC地址和目的主机的IP地址做映射,这样系统就会检测到同一个IP地址对应两个不同的MAC地址,造成IP地址冲突。如果机器使用的是Windows操作系统,则在系统中弹出警告对话框,如果是Linux/Unix操作系统,则会给用户发送mail进行警告用户,并且出现整个网络的暂时中断。

3.5 拒绝服务攻击

拒绝服务攻击就是让网络中的计算机不能够正常回应其他计算机提出的要求,从而不能提供服务。如果校园网中的攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的MAC地址,那么目标主机会因为错误的MAC地址造成向外发送的数据全部丢失,从而导致目标主机产生拒绝服务。

4 ARP攻击的防御策略

根据ARP攻击方式的多样性,我们为了尽可能提高校园网的安全性,提出多种防御策略,而且其中某些方案在特定的条件下的防御效果十分显著。

4.1 划分虚拟局域网(VLAN)和端口绑定

虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组,采用划分VLAN和把计算机和交换机一对一的方式进行绑定,在静态VLAN中,由网络管理员根据交换机端口进行静态的VALN分配。把校园网划分成多个VLAN,缩小了网络的广播范围,即使网络中发生了ARP欺骗攻击,也只能在很小的一个虚拟范围,不会对整个校园网造成严重的破坏。基于端口的VLAN配置简单,网络的可监控性强。但缺乏足够的灵活性,不适用于便携式电脑,而且这种方法并不能使网关免受ARP病毒的攻击,如果网关受到ARP病毒的攻击,同样会导致校园网的瘫痪。

4.2 设置静态ARP缓存表

基于ARP协议攻击最根本的原理就是改变IP地址与MAC地址的正确对应关系,可以设置目标主机的ARP缓存中设置静态地址映射记录来防止IP地址与MAC地址的正确对应关系的改变。在校园网中两个站点发送数据前就不需要通过向所在的局域网广播ARP请求来寻找MAC地址。但这种方法手工工作量很大,维护十分繁琐。

4.3 个人ARP防火墙

现在很多杀毒软件都设计出了ARP防火墙的模块,可以交效的避免遭受攻击者所冒充的假网关的攻击,个人ARP防火墙的局限性:个人防火墙只关注了本机的安全性,并没有考虑网关的安全,防火墙本身也有可能绑定一个假冒的网关,防火墙比较适用于个人用户使用,对整个校园网网络来说不能起到防御的作用。

4.4 PV6的应用

在IPV6版本下,定义了邻居发现协议(NDP)。IPv6地址解析技术工作在OSI参考模型的网络层,与链路层协议无关,加强了地址解析协议与底层链路的独立性,在第三层实现地址解析可以利用三层标准的安全认证机制来防止ARP攻击和ARP欺骗。但IPv4和IPv6是两种相互不兼容的协议,两者在本质上就不能互通,这对IPv6的普及造成了很大的困难。

5 结束语

总之,校园网的安全是十分重要的,校园网作为一个大型局域网非常容易受到ARP攻击,文中所采用的ARP欺骗的侦测及防御方法,对校园网的建设有具有一定的应用价值,在用户、硬件设备、网关等之间建立不同的ARP防御体系,尽最大限度保障校园网的安全畅通,尽可能降低ARP攻击。

参考文献

[1]谢希仁.计算机网络[M].6版.北京.电子工业出版社,2013,6.

[2]边浩江.ARP欺骗的侦测及防御方法的研究与实现[D].昆明:昆明理工大学,2015.

[3]郑森森.基于ARP欺骗的数据截获与高速转发技术研究[D].四川师范大学,2015.

[4]单国杰.基于ARP欺骗攻击的防御策略研究[D].山东师范大学,2011.

[5]王燕,张新刚.基于ARP协议的攻击及其防御方法分析[J].微计算机信息,2007(23):72-74.

ARP欺骗的防御策略 篇2

关键词：ARP协议,ARP缓存表,ARP欺骗攻击,防御策略

前段时间朋友公司的网络出现了一些问题, 叫我过去帮忙。先是详细听了朋友的描述后进行如下分析:

(1) 故障现象:

局域网中共有15台计算机连接到一台24口交换机通过一台阿尔法宽带路由器连接到外网其拓扑结构图如下。

设备自启用以来一直都正常工作, 下挂的计算机用户均能上网, 但是有一天下午交换机下挂的所有用户反映无法上网。经查看均出现:"该页无法显示"的提示;部分QQ却没有显示断线, 但发送信息时, 显示超时。

(2) 故障分析及定位:

根据以往的经验我从以下几个方面入手进行定位:

a) ping局域网网关:192.168.18.1, 数据显示正常

b) ping广域网网关及DNS丢包严重

经过上述操作, 判断可能问题出在宽带路由器, 于是重启宽带路由器, 一开始故障排除, 但是没有过一分钟, 同样的故障又出现了。于是, 用一台笔记本不通过交换机直接接到路由上, ping局域网广域网网关及DNS一切都正常, 进行上网测试, 也正常。这时可以断定宽带接入及路由器是正常的。于是初步断定, 可能是网络中某台计算机中了ARP病毒。则确认并定位ARP病毒的工作开始了。

我登陆宽带路由器查看宽带路由器LAN的MAC地址为:00:E0:16:00:08:31, 并记录;在一台计算机上运行ARP-a后, 显示的局域网网关192.168.18.1所对应的MAC地址为00:E0:4C:E7:B4:A4, 与路由器上实际查看的LAN的MAC地址不一样。这样就可以断定, 局域网是受了ARP病毒的攻击。网络中某台主机中毒, 会向局域网发ARP广播包, 告诉局域网的计算机现在的局域网网关IP所对应的MAC地址修改成自己的MAC地址。致使所有计算机发往路由器的包, 全部转发到中毒的计算机, 使全网计算机无法通过宽带路由器正常上网。根据以往的经验, 如果某个端口有大量的数据包, 交换机的指示灯闪烁的频率就会加快, 因为中毒的计算机为了阻止宽带路由器更新下挂计算机的ARP表, 它就会不停的发送ARP包。这样就会造成交换机的某个端口的指示灯, 加快闪烁的频率。根据这个想法开始观察交换机上各个指示灯的情况, 发现有一个端口的指示灯闪烁频率很快, 于是把该端口的网线拔除并重启宽带路由器, 经过一段时间的观察, 局域网内的计算机都能正常上网。但是, 一旦在把此网络插入, 上述的故障又发生了。这下可以断定连接此端口的计算机就是故障的源头, 根据网络线上的标签, 找到此计算机。

(3) 解决方法:

我对定位的计算机, 用专杀工具清除了病毒。之后再次连入网络, 整个网络又开始正常工作了。从此次帮朋友解决网络问题的过程中我思考总结了几点。

目前这种网络破坏行为很常见, 主要发生在局域网中, 很多局域网的用户跟朋友公司的网络一样, 经常出现不能上网, 或者是上网时断时续, 但是如果机器重新启动就又可以上网, 不过几分钟后问题又出现了。究其源头就是困扰网络管理员已久的ARP (Address Resolution Protocol, 地址转换协议) 攻击问题。这种攻击行为利用了ARP协议的工作过程, 一般是内网某台电脑中了病毒, 病毒无规律的自动进行破坏, 或者是内网某台电脑的操作者故意发起攻击。

1. ARP协议欺骗攻击原理

1.1 ARP协议

ARP (Address Resolution Protocol, 地址转换协议) 是OSI参考模型中的第二层数链层的协议, 主要负责将位于OSI参考模型第三层的网络层的IP地址转换成实际的物理地址 (MAC地址) 。在局域网中, 两台主机要互相通信, 必需知道目标主机的MAC地址。实现获得目标主机的MAC地址就是由ARP协议来完成的。ARP协议的基本功能就是通过目标主机的IP地址, 查询目标设备的MAC地址, 以确保通信的顺利进行。

一个局域网中的电脑少则几台, 多则几百台, 怎样才能准确的记录下对方的MAC地址呢?这个功能就需要由ARP缓存表来保证。该表保存了网络中各个电脑的IP地址和MAC地址的对照关系。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 保存着IP地址与MAC地址是一一对应的。

1.2 ARP协议的漏洞

ARP协议是数链层中的一个高效的协议, 其最初的设计是为了方便数据的传输, 设计的前提是在网络绝对安全和信任的情况下进行工作, 则ARP协议存在安全漏洞。

(1) ARP协议是一个无状态的协议。

主机不会检查本身是否发送过请求包, 同时也没有相应的安全机制来检验接收到的数据包是否为合法的应答。只要主机收到ARP应答帧, 就会对本地的ARP缓存表进行更新, 把应答帧中的IP地址和对应的MAC地址存储到缓存表中。

(2) ARP协议请求以广播方式进行

当源主机要和目的主机通信, 而没有目的主机的MAC地址时, 便会向整个局域网广播ARP请求数据包。这使得攻击者可以伪装ARP应答, 与真正的目的主机展开竞争, 以此确定子网中机器什么时候更新ARP缓存, 来实现最大限度的假冒和欺骗。

(3) ARP地址缓存表动态更新

ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除。这种老化机制的动态更新方式虽然灵活, 但是同时也带来安全问题。由于正常的ARP地址转换表都是有时限的, 这使得假冒者趁在下次交换之前成功修改了源主机的地址, 就可以进入对方的局域网。

1.3 ARP协议欺骗攻击

ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答, 并使目标主机接收应答中伪造的IP地址与MAC地址, 更新目标主机的ARP缓存。

ARP欺骗攻击方式:拒绝服务攻击DOS和ARP欺骗攻击:

(1) 拒绝服务攻击DOS

拒绝服务攻击就是使目标主机不能正常响应外部请求, 从而不能对外提供服务的攻击方式。如果攻击者将目标主机ARP的MAC地址全部改为根本不存在的地址, 那么目标主机向外发送的所有数据就会丢失, 使得上层应用忙于处理这种异常而无法响应外来请求, 也就导致目标主机产生拒绝服务。

(2) ARP欺骗攻击

ARP欺骗的目的就是实现全交换环境下的数据监听, 大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。ARP欺骗攻击就是利用ARP协议的缺陷向目标主机发送伪造ARP应答帧, 目标主机接收伪造帧更新ARP缓存表, 此后的地址解析中就会落入预先设计好的陷阱。

2. ARP欺骗攻击定位

当局域网中出现ARP欺骗攻击的时候, 首先要做的是查找攻击的主机, 然后切断改主机的网络连接, 对该主机进行杀毒。查找攻击源的主机, 就是要查找攻击主机的MAC地址, 一般可以通过以下方法来实现:

(1) 防火墙记录查看法

现在有很多中专门针对ARP病毒开发的ARP防火墙软件, 如360ARP防火墙等, 只要在局域网内的任意一台主机上安装此种防火墙软件, 就可以查看到网络是否存在ARP欺骗攻击。如果存在ARP攻击, 防火墙就会记录下攻击主机的MAC地址。

(2) 命令法

在受攻击的局域网中的任何一台机器上运行ARP a命令, 查看主机的网关IP地址所对应的MAC地址是否与网关的真的MAC地址一致。如果一致则表明改主机没有遭受攻击;如果不一致, 那么通过命令行看到的MAC地址就是攻击主机的MAC地址。

(3) 使用抓包工具

用Sniffer工具来抓包, 若发现网络中存在大量的ARP应答包, 并且将大多数的IP地址都指向同一个MAC地址, 则表明存在ARP欺骗, 并且这个MAC地址就是用来进行ARP欺骗的主机MAC地址。

(4) 查看网关设备的ARP缓存表

首先将网关设备中的ARP缓存表导出, 然后查找单个VLAN中是否有重复的MAC地址出现。如果没有重复地址出现, 则表明这个VLAN对应的局域网内不存在ARP欺骗攻击;如果有两个或者多个MAC地址多时一样的, 就说明该MAC地址对应的IP的主机以经被ARP攻击。通过这种方式可以同时在这张ARP缓存表中找到所有ARP攻击的源主机的MAC地址。

3. ARP协议欺骗攻击防御策略

(1) 对已定位的计算机, 用专杀工具清除病毒或格式化后重装系统。彻底清除ARP欺骗病毒后再连入网络。

(2) 全网的计算机都安装ARP专杀工具, 或者ARP防火墙。

(3) 在确保网络正常情况下, 用网络工具扫描局域网内所有计算机包括 (包括网络设备) IP地址及对应的MAC地址做好备份。以便以后发生类似故障可以及时、准确的定位源头。

(4) 由于局域网内计算机都是静态分配IP, 可以对IP地址和MAC地址进行静态绑定, 内容如:"arp-s IP地址对应的MAC地址", 把所有局域网内的计算机IP和MAC做个批处理并放入各自计算机的启动项。

(5) 网关路由器也有一张ARP表格, 用来记录内网计算机的IP和MAC地址, 如果网关路由器受到ARP欺骗, 那么网关路由器将不能把数据包发送到正确的主机而是发送到错误的假MAC地址去了。所以在对计算机进行静态ARP绑定的同时, 也要对网关路由器进行绑定。进入输入宽带路由器地址进入到路由器管理界面, 选择DHCP服务器---静态地址分配;将网络上计算机的IP地址和MAC地址都填写进去。点击保存即可。

(6) 使用安全拓扑结构。将网络分为不同的网段, 一个网段仅由能互相信任的计算机组成, 各网段之间通过路由相互连接。广播的数据包不能跨越路由器, 因此ARP请求报文只能在一个网段里传送, 这在一定程度上增加了ARP欺骗攻击的难度。

(7) 数据加密传输

通常情况下, ARP欺骗攻击导致数据包从源主机流向攻击方, 使得网络通信被非法截取和监听, 因此可以使用数据加密传输, 即使攻击方得到发送的通信数据包, 也不能解密获得有用的信息。

(8) 提高安全意识, 养成良好的安全习惯

对病毒源头的机器进行处理、杀毒或是重新安装系统;安装杀毒软件并经常更新病毒库, 及时安装系统补丁;为系统设置密码;关闭一些不需要的服务;不随便打开或运行陌生邮件、可疑文件和程序。

4. 结束语

本篇文章通过实际解决案例入手, 分析了ARP协议的工作原理, 探讨了基于ARP协议漏洞的欺骗攻击的实现过程, 提出了定位ARP欺骗攻击的定位方法, 最后给出了多种可行的安全防御策略方法, 对于彻底的防御ARP欺骗攻击, 一般需要多种方案配合使用。若想要从根本上解决这一问题, 最好的方法就是重新设计一种安全的地址解析协议, 现在在IPV6中已经考虑到这个问题。采用了更安全的方式杜绝来自底层的攻击。

参考文献

[1].曹洪武.ARP欺骗入侵的检测与防范策略[J].塔里木大学学报, 2007 (2)

[2].李英.浅析ARP协议及其欺骗原理[J].中国科技信息, 2007 (14) ;126-127.

[3].秦元.ARP的攻击原理及防范措施.电脑知识与技术

ARP欺骗类病毒的防御 篇3

A R P欺骗具有隐蔽性、随机性的特点, 在Internet上随处可下载的ARP欺骗工具使A R P欺骗更加普遍。利用A R P欺骗的木马病毒在局域网中广泛传播, 给网络安全运行带来巨大隐患, 是局域网安全的首要威胁。利用ARP协议的缺陷, 像大规模爆发的流行性感冒一样, 造成网络时断时续, 无法正常上网。

2 ARP协议概述

ARP协议全称为Address Resolution Protocol, 即地址解析协议, 是TCP/IP协议栈中的基础协议之一, 工作于O S I模型的第二层, 在本层和硬件接口间进行联系, 同时为上层 (网络层) 提供服务。是将IP地址与网络物理地址一一对应的协议, 负责I P地址和网卡实际地址 (M A C) 之间的转换。也就是将网络层地址解析为数据链路层的MAC地址。在以太网中, 一个网络设备要和另一个网络设备进行直接的通信, 除了知道目标设备的I P地址外, 还要知道目标设备的M A C地址。A R P协议的基本功能就是通过目标设备的IP地址, 查询目标设备的M A C地址, 以保证通讯的顺利进行。当一个网络设备需要和另一个网络设备通信时, 它首先把目标设备的I P地址与自己子网掩码进行“与”操作, 以判断目标设备与自己是否位于同一网段内, 如果目标设备与源设备在同一网段内, 则源设备以第二层广播的形式发送A R P请求报文, 在A R P请求报文中包含了源设备与目标设备的IP地址。如果目标设备与源设备不在同一网段, 则源设备首先把I P分组发向自己的缺省网关, 由缺省网关对该分组进行转发。

3 ARP协议的缺陷

主机A R P列表是基于高速缓存动态更新的。由于正常的主机间的M A C地址刷新都是有时限的, 这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存, 就可以进行假冒或拒绝服务攻击。可以随意发送A R P应答分组。由于A R P协议是无状态的, 任何主机即使在没有请求的时候也可以做出应答。因此任何时候发送ARP应答。只要应答分组是有效的, 接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。

4 ARP的主要攻击类型

A R P期骗是指利用A R P协议的漏洞, 通过向目标设备主机发送虚假的A R P报文, 达到监听或者截获目标主机数据的攻击手段。

4.1 冒充主机欺骗网关

攻击主机C发出一个报文, 其中源M A C地址为MAC C, 源IP地址为I P A。这样任何发往主机A的报文都会被发往攻击主机C。网关无法与真实主机A直接通信。

4.2 冒充网关欺骗主机

在主动攻击中, 攻击者C主动向A发送ARP应答数据包, 告诉A, B (网关) 的IP地址所对应的M A C地址是C C-C C-C C-C C-C C-C C, 从而使得A修改自己的A R P列表, 把B的IP地址对应的MAC地址修改为攻击者C的M A C地址。同时, 攻击者C也主动向B发送A R P应答数据包, 告诉B, A的I P地址所对应的M A C地址是C C-C C-C C-C C-C C-C C, 使B修改自己的ARP列表, 把A的IP地址对应的M A C地址修改为攻击者C的M A C地址。

A←→B之间的通信形式变成A←→C←→B, 实现了中间人攻击。在被动攻击中, 攻击者C只在A或者B发送A R P请求数据包时, 延时一段时间发送应答数据包, 使得自己的应答包在正确的应答包之后到达, 防止自己修改的相应主机的ARP列表被正确的应答包再次修改。那么主机A发往网关B的报文都会被发往攻击主机C, 造成主机A突然断网。

5 ARP欺骗防范和解决方案

5.1 手动防御

防御A R P欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定地址映射。通过arp-s命令, 在PC上绑定网关的MAC和IP地址, 这样可以防御冒充网关欺骗主机的ARP欺骗。另一种手动防御方法是在局域网中增加V L A N的数目, 减少VLAN中的主机数量。局域网管理员可以根据本单位的网络拓扑结构划分若干个V L A N, 这样既能够在发生A R P攻击时减少所影响的网络范围, 又能够在发生A R P攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。

5.2 使用ARP服务器

在局域网内部的设置一台机器作为A S P服务器, 专门保存并且维护网络内的所有主机的I P地址与M A C地址映射记录, 使其他计算机的A R P配置只接受来自A R P服务器的A R P响应。当有A R P请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应A R P局域网内部的请求, 从而防止了ARP欺骗攻击的发生。但是这个方法也有不足, 首先要保证ARP服务器不被攻击, 确保ARP服务器的安全;其次要保证主机只接受指定A R P服务器的A R P响应报文。如何做到这一点, 目前还是比较困难的。

5.3 ARP欺骗的解决措施

某计算机所处网段的路由I P地址为xx.xx.xx.1, 本机地址为xx.xx.xx.8, 在计算机上DOS命令行中运行arp-a后输出如下:

其中, 00-01-02-03-04-05就是路由器x x.x x.x x.1对应的M A C地址, 类型为动态, 因此可被改变。正常情况下, x x.x x.xx.1和00-01-02-03-04-05始终对应。被攻击后, 重复使用该命令查看, 就会发现该M A C已经被替换成攻击机器的M A C, 而且攻击机器的M A C地址和真正的网关M A C地址会出现交替现象。

6 结语

通过以上方法解决A R P病毒对于局域网的欺骗攻击是比较有效果的。但是由于A R P病毒版本在不断更新升级中, 所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网A R P病毒的防范工作, 使得A R P病毒的危害减少到最小程度。在网络安全领域, 没有任何一种技术手段可以解决所有的问题, 对于各种类型的网络攻击, 经常查看当前的网络状态, 对网络活动进行分析、监控、采取积极、主动的防御行动是保证网络安全和畅通的重要方法。网络管理员应当密切检查网络, 不断提高自身的技术水平, 确保网络安全的正常运行。

摘要：利用TCP/IP协议安全漏洞进行欺骗攻击的事件经常发生, 攻击者利用ARP欺骗进行拒绝服务攻击 (DoS) 或中间人攻击, 造成网络通信中断或数据被截取和窜改, 严重影响网络的安全。本文通过ARP协议原理分析揭示ARP协议欺骗, 并对ARP病毒攻击提出一套有效可行的防犯措施和解决办法。

关键词：ARP协议,ARP欺骗,ARP病毒

参考文献

[1]张胜伟.基于DAI的ARP欺骗深度防御[J].计算机安全, 2009, (01) .

[2]李新.A R P欺骗防御技术的研究[J].商场现代化, 2008 (36) .

ARP欺骗的防御策略 篇4

随着网络的蓬勃发展, 社会对网络的依赖越来越严重, 但同时ARP欺骗类等病毒也给Internet甚至人们的生活和工作带来了很大的冲击。A R P欺骗类病毒一般属于木马病毒, 不具备主动传播的特性, 不会自我复制, 但是由于ARP病毒发作时, 会向全网发送伪造的ARP数据包, ARP病毒所到之处, 网络故障频繁, 网速突然变慢, 网络连接时断时续, 严重时可导致整个局域网瘫痪, 甚至造成无法弥补的损失。因此, 如何采取行之有效的措施防御ARP病毒, 已成为近期网络安全工作的重中之重。

1 ARP协议概述

1.1 概述

地址解析协议 (Address Resolution Protocol, ARP) , 它工作在数据链路层, 在本层和硬件接口联系, 同时对上层提供服务。在以太网中以太网设备并不识别32位的IP地址, 数据帧从一台主机到达网内的另一台主机, 主机是根据48位的MAC地址来确定接口的, 而不是根据32位的IP地址, 即数据包是靠48位MAC地址寻址的。因此在以太网中一个主机要和另一个主机进行直接通信, 必须知道目标主机的MAC地址。该MAC地址是通过ARP协议获得的, ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 进而建立IP地址与MAC地址之间的映射关系, 以保证通信的顺利进行。

1.2 ARP工作原理

下面看一个简单的例子来理解ARP的原理和作用。

(1) 在图1中所示有两台主机, 假定主机A的IP地址是192.168.1.1, 它准备和服务器C (IP:192.168.1.2) 进行通信, 主机A首先要检查本地的ARP缓存表, 查看是否有IP为192.168.1.2的ARP记录, 如果有, 就转到 (4) , 直接将数据包发送到这个M A C地址。

(2) 如果没有, A主机就向本地网段广播一个ARP请求, 广播包的目的MAC地址是FF-FF-FF-FF-FF-FF, 该ARP广播包里包含服务器C的IP地址。处在同一网段中的所有主机均会接收到该数据包。这样以此来请求192.168.1.2的MAC地址。

(3) 此时, 网段内的每台主机都会根据收到的广播包与自己的IP地址进行比较, 但只有服务器C会发送一个ARP响应数据包, 服务器C将自己的MAC地址响应给主机A, A接收到后更新自己的ARP缓存表, 并且获得与C的IP相对应的M A C地址。与此同时, 服务器C也将主机A的M A C地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖。

(4) 这样主机A查询本地的ARP表, 获取IP:192.168.1.2所对应的MAC地址, 然后封装在以太网头结构中, 之后再查找交换机的MAC地址表, 最后就通过相应端口把数据直接发送给服务器C。

那么这时使用arp-a命令来查看主机A的ARP缓存表, 就多出一条192.168.1.2所对应的MAC地址表项。当然, 如果你的数据包是发送到不同网段的目的地, 那么就一定存在一条网关的IP-MAC地址对应的记录。知道了ARP协议的作用, 就能够很清楚地知道, 数据包向外传输要依赖ARP缓存。一旦ARP缓存受到非法篡改, 数据包就很难向外发送了。

2 ARP协议的缺陷

因为局域网中的通信都是基于M A C地址的, 主机中的ARP缓存表通常是动态的, 可以手工添加、删除记录, 并且主机不会检查自己是否发送过ARP请求包, 也不管自己所接收的是否是合法的A R P应答, 只要所收到目标M A C是自己的ARP reply包或arp广播包, 都会接受并缓存。例如:假冒ARP应答, A未发ARP请求包, 有人假冒B主动向A发应答包, 这时A会更新自己的M A C地址表中主机B的M A C地址。这个缺陷导致了任何主机都可以向主机A发送假冒主机B的ARP应答包。所以一旦有人发送一个自己伪造的ARP应答, 网络可能就会出现问题。协议设计者当初并没有考虑到这些安全问题, 那么这就为ARP欺骗提供了可能。

3 欺骗形式

3.1 同网段下与网关关联的ARP欺骗

下面我们结合图2, 通过两个典型的实例分析同网段下与网关关联的ARP欺骗过程。

3.1.1 利用ARP reply广播包

利用ARP协议自身的缺陷, 攻击者C发送ARP reply广播包, 该包中的源IP地址是192.168.1.254、源MAC地址是00-3C-AA-00-36-02 (网关的虚假MAC地址) 、目的MAC地址是FF-FF-FF-FF-FF-FF。该网段下其他主机无条件接收ARP reply广播包, 会将攻击者C的源MAC地址00-3C-AA-00-36-02和源IP地址192.168.1.254添加到自己的ARP缓存表中, 自动更新自身的ARP缓存表。如果该欺骗一直持续下去, 那么该网段下所有主机向Internet发送的数据包总是发送到错误的网关硬件地址上, 自然就不能够访问Internet了。

3.1.2 利用ARP request广播包

攻击者C发送ARP request广播包, 该包中的源IP地址是192.168.1.254、源MAC地址是00-3C-AA-00-36-02 (网关的虚假MAC地址) 、目的MAC地址是FF-FF-FF-FF-FF-FF, 同样该网段下所有主机会无条件接收ARP request广播包。因为是ARP request广播包, 网段内其他主机会将攻击者的源MAC地址00-3C-AA-00-36-02和源IP地址192.168.1.254添加到自己的ARP缓存表中, 自动更新自身的ARP表。如此一来, 同样也就不能够访问Internet了。

3.2 基于以太网交换机的ARP欺骗

由于以太网交换机在数据传递过程中不用检查网络层的包头信息, 而是直接由第二层帧结构中的MAC地址来决定数据的转发目标, 连接交换机的各主机的MAC地址是存储在交换机的M A C地址表中, M A C地址表中记录的是各主机M A C地址和对应交换机的端口编号, 故也称为MAC地址-端口表。当交换机接收到源主机的一个数据帧时, 他会首先检查数据帧里的目标M A C地址, 如果该地址已经缓存在M A C地址表中, 他就会按照表中MAC地址对应的端口进行转发;如果该地址未缓存在M A C地址表中, 交换机就会利用A R P协议向所有其他端口发送目标MAC地址广播查询信息, 目标主机接收到该广播信息后, 会对交换机直接进行响应, 此时交换机会将目标主机的M A C地址以及对应的端口全部记录在其M A C地址中, 之后根据M A C地址对应的端口进行转发;所以交换机会自动把学习到M A C地址写入到M A C地址表里。那么为了达到网络侦听或者ARP欺骗的目的, 攻击者只要改变交换机上的MAC地址和端口的对应表, 则可以接收到本来无法进行侦听的数据。

另外交换机中的MAC地址表的大小是固定的, 这就导致了ARP欺骗的另一种隐患, 由于交换机可以主动学习主机的M A C地址, 并建立和维护这个M A C地址表, 当攻击者向交换机连续发送伪造的ARP应答数据包 (即制造连续大量的虚假MAC地址) , MAC地址表就会被迅速填满, 这样会导致交换机的MAC地址表溢出, 造成交换机负载过大, 网络缓慢和丢包甚至瘫痪。针对这类欺骗一般在网关上做MAC-IP-PORT绑定。

3.3 跨网段针对主机的ARP欺骗

如图3所示, 假如攻击者希望假冒主机A的身份192.168.11, 来登录服务器C192.168.1.2所开启的终端服务, 但是路由工作的机器和纯粹二层的工作机制不安全相同, 沿用同网段环境的攻击方式时, 路由器会发现攻击者所处的网段和服务器所处的网段相同而不会转发该地址。

首先, 攻击者需要ICMP重定向的协助, 并将同网段下的ARP欺骗和ICMP重定相结合, 以达到跨网段进行ARP欺骗的目的。在介绍跨网段ARP欺骗之前, 首先要介绍一下另外一种常见的攻击手段:ICMP重定向。

一般情况下主机的路由表中只有一个默认路由, 当主机的默认路由使用非优化路由时其网关将发送ICMP重定向报文, 主机会根据默认网关所发送的信息被动地改变路由表。这样攻击者可以有效地利用ICMP重定向把主机的连接转向一个不可靠的主机或路径。

对于特定的路由器而言, 在关闭IP路由的情况下, 路由器会接收伪造的ICMP重定向, 因此如果攻击者发送伪造的ICMP重定向报文, 路由器将被动的修改自身的路由表。这样攻击者就可以破坏或截获来自路由器上的通信。

介绍完ICMP重定向, 下面介绍如何利用ICMP重定向进行跨网段ARP欺骗, 首先攻击者需要将自己的非法IP数据包的TTL变得稍大一些, 然后寻找目标主机A的漏洞后导致目标主机A死机。攻击者发送一个ARP报文, 将IP地址192.168.1.1和攻击者主机的MAC地址构造为ARP报文。这时, 每台主机都只会在局域网中找这个地址而根本就不会把发送给192.168.1.1的IP包交给路由器。他还得构造一个ICMP重定向广播, 于是攻击者通过伪造ICMP重定向报文通知网络中的主机:“到192.168.1.1的最短路径不是局域网, 而是通过路由器, 因此优化本机路由表将指向192.168.1.1的路由重定向到路由器上”。在目标主机A所在网段内的主机接收到这个ICMP重定向报文后, 开始被动的修改本地的路由表, 将目的地址为192.168.1.1的数据包全部发往了路由器, 攻击者ARP欺骗的第一步就成功了, 接下来是如何获取主机A和服务器C之间进行身份认证的用户名和口令了。

4 ARP欺骗解决方案

本文以校园网的简易拓扑结构为例阐述ARP欺骗防御方案。

网络拓扑结构如图4。

4.1 采用VLAN技术

因为一个VLAN就是一个独立的广播域, VLAN之间的单播和广播都不能直接到达对方的区域, VLAN能够最大限度的控制广播的影响范围, 所以如图4所示在防火墙下联处增加一台核心交换机, 按照部门做好VLAN划分, 保证每个部门独立分配一个单独的IP地址段, 这样采用VLAN技术将各部门之间的客户机进行分离, 保证各部门之间的VLAN相对独立, 从而减少ARP广播风暴的发生, 轻松应对ARP病毒的攻击, 增强网络的安全性。

例如:在三层交换机 (DCRS-5526S) 划分虚网, 实现端口分离, 防范ARP欺骗。

(1) 划分VLAN10

(2) 划分VLAN 20等方法同上

(3) 设置T R U N K端口

注:对于一些特定的交换机, 可以不启用vlan1, 因为V L A N攻击往往是从这个V L A N发起的。

(4) 添加默认路由

(5) 另外, 如果在上述校园网中核心设备采用了路由器, 一般路由器具有DHCP snooping机制, 使用DHCP snooping来绑定A R P表可以有效防范A R P欺骗。本文在介绍跨网段ARP欺骗时重点介绍了ICMP重定向, 那么对于路由器而言, 还应该关闭ICMP重定向功能 (no ip icmp redirect) , 这是防范ICMP重定向以及跨网段ARP欺骗的有效手段。当然还可以使用具有ARP防护功能的路由器。

4.2 接入层网络设备上实现IP+MAC+端口绑定

例如:在二层交换机 (DCS-3629S) 实现mac+ip+port绑定, 其中客户机A连接在DCS-3629S端口5上。把客户机的ip和M A C绑定在端口5上。

(1) 打开交换机的防火墙功能

(2) 添加访问列表

(4) 把访问列表应用到端口

4.3 客户机安全设置

4.3.1 客户机安装360ARP防火墙

该软件在系统内核层直接拦截本机和外部的全部ARP攻击, 并提供本机ARP木马病毒准确追踪和及时查杀, 保持网络畅通及通讯安全。

4.3.2 客户机ARP静态绑定

对于客户机的配置, 最常用的方法就是做IP和MAC的静态绑定, 例如把其他主机以及网关的IP和MAC都做静态绑定。下面仅针对大多数用户介绍一种在命令提示符下绑定ARP缓存表的方法。

首先:在图4客户机A的命令提示符下输入arp-a命令, 显示如图5。

其中“dynamic”代表动态缓存, 即这项在收到一个ARP包时会被动态修改。如果“Type”项变成了“static”静态类型。那客户机接受到ARP包时是不会改变本地ARP缓存表, 从而有效的防止ARP欺骗。那么静态缓存表的建立用arp-s命令。例如:执行“arp-s 192.168.10.254 00-03-0f-0d-3a-e9”, 在本地静态绑定网关IP和MAC, 当然用同样的方法也可以绑定其他主机的IP和MAC, 进一步提高局域网的整体安全性。不过由于静态ARP缓存表在每次重启后都会自动恢复原来设置, 怎么办?这时我们可以编写一个简单的dat文件, 添加到启动项中。这样, 开机自动执行批处理文件并静态绑定A R P表。

4.3.3 关闭ICMP重定向

对于Windows主机而言, 一般还要修改注册表关闭ICMP重定向功能, 防范跨网段针对主机的ARP欺骗。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirect=dword:00000001 (默认值) , 其中默认值为1, 表示主机会改变其路由表以响应网络设备 (路由器) 发送给她的ICMP重定向报文。建议把值修改为0。

5 结论

综上所述, 正是因为ARP协议以及ARP缓存表自身的缺陷, 所以给ARP欺骗的滋生提供了温床, 给局域网的安全带来很大的隐患。因为网络安全是一种过程, 它遵循“木桶”原理, 所以我们不但要掌握它的基本原理, 还要从多方面入手, 杜绝ARP欺骗, 那么本文就从客户端、VLAN、网络设备等多个方面同时建立起有效的立体防御机制, 在一定程度上来保障网络安全。

参考文献

[1]免费论文网.http://www.lw-cn.cn.

[2]李伟编著.网络安全实用技术标准教程.清华大学出版社.2006.

[3]谭敏, 杨卫平.ARP病毒攻击与防范[J].网络安全技术与应用.2008.

[4]石硕主编.交换机/路由器及其配置 (第2版) .电子工业出版社.2008.

ARP欺骗的防御策略 篇5

1 arp防火墙法

这是一种最简单也是使用率最高的做法, 只需要简单的给所有用户都安装ARP防火墙, 而且现在市面上存在着大量的免费ARP防火墙, 都可以较好的完成全网用户的arp欺骗的防御。但是这个方案在使用当中有两个问题, 第一点是由于高校用户的管理较为宽松, 不具备严格的安全策略, 所以用户不一定会按照要求安装相应的产品, 由网络中心给所有用户人工安装又缺少足够的人力和精力;第二点是在ARP防火墙的配置当中, 如果配置不当, 有可能出现由于ARP防火墙发起的大量ARP安全广播, 虽然解决了arp病毒引起的欺骗问题, 但是大量的arp广播本身也会淹没整个网络带宽, 形成如2008年瑞星ARP防火墙引起的吉林大学校园网断网事件。在ARP欺骗发作的高峰时期, 全校几乎所有师生和机房都安装了360 arp防火墙, 很大程度的遏制了arp欺骗的泛滥趋势。

2 静态绑定法

其原理是原本动态变化的arp缓存信息, 进行静态绑定之后, 就不会再接收arp的广播包, 从而避免受到arp欺骗包的影响。这是是一种被推荐使用次数最多的方法, 尤其是双向绑定, 确实可以有力的解决ARP欺骗的问题, 而且其操作方式看起来也颇为简单, 只要简单的使用命令arp–s逐个绑定即可, 其资金投入也几乎为零, 是一种最为便宜的ARP欺骗防御方式。但是在实际使用过程当中我们发现, 这种方式比较适合小型网络, 否则要完成在核心交换机上绑定每个IP和MAC对的工作量太大;由于学生每年都要调换宿舍, 带来的IP和MAC对的变更量也非常大, 所以导致这种方式在本校当中几乎没有得到太大的应用。不过也不是完全没有用武之地, 在本校的机房得到了一定的应用, 高校的机房作为注明的病毒库, 其病毒种类繁多, 而且相应的管理手段和技术都不够, 所以导致各种安全软件, 包括ARP防火墙在内经常性的被损坏而导致无法正常运作, 给机房带来一定的ARP欺骗问题, 尤其是中间人攻击问题, 严重的影响了高校信息化的开展, 所以作为一种辅助手段, 我们编写了一个简单的批处理, 只绑定了网关的IP和mac, 然后将此批处理文件放到每台学生机的自启动文件夹中, 每次开机之后自动运行, 完成对网关的静态绑定, 遏制ARP欺骗的发生, 也起到了较好的辅助效果。

3 端口安全+arp check法

其原理是通过在交换机各个端口开启arp检测功能, 并通过手动绑定每个端口通过的ip和mac地址, 来阻止欺骗包的发出, 是一种源头阻截arp欺骗的方法。由于本校在2010年初完成了全校所有交换机的升级工作, 全部换成了可管理可配置的锐捷RG-2328G交换机, 所以可以完成这种arp检测工作, 但是这种检测方法有着跟静态绑定法相同的问题, 那就是工作量太大, 需要分别把各个端口对应的IP和mac对进行绑定。而且由于高校和企业一个显然不同的特点, 那就是学生的流动性大, 每年的宿舍轮换以及新生毕业生的交替等, 导致每年网络中心的工作量都太大。第二个问题是当初网络中心布线的时候, 每个寝室只布了两个网络接口, 学生必须自行购买小型交换机或者路由器才能完成上网工作, 而这也导致了这种针对端口的arp检测方案无法实现。只能在教师办公的部分区域和应用服务器区使用。

4 端口保护法

其原理是通过在端口上启用端口保护的功能, 从而禁止同交换机上不同端口之间的数据转发。严格意义上来说, 这种方式并不是用来防御arp欺骗的, 但是由于前面几种方法在大规模网络当中的适应性并不好, 而端口保护的实现方式最为简单, 只需要在所有交换机的端口上启用端口保护的功能, 结合对各个楼层VLAN的合理划分, 就可以将同网段的ARP欺骗解决, 而当发生大范围的ARP欺骗问题时, 也可以结合vlan很方便的查找到对应的网段, 然后逐级排查, 快速高效的解决问题, 所以最后本校在学生宿舍区域采取的就是这种技术手段, 实施三年以来, ARP欺骗带来的断网问题几乎绝迹, 而ARP广播带来的断网问题也影响范围大为缩小, 处理速度明显加快。

5 DAI法

即动态ARP监测方法, 是一种在动态环境下实现arp欺骗识别的方法, 通过简单的配置命令:ip arp inspection vlan, 即可在指定vlan实现对arp欺骗的动态识别, 非常简单实用, 但是这种方法的缺点是需要设备的支持, 不是所有的设备都能支持这一功能。而且本校由于是静态地址分配方式, 所以这种技术没有用武之地, 在未来启用移动办公之后, 将得到更多的应用。

ARP欺骗问题带来的后果非常严重, 而且不是某一种单一的技术手段就能得到很好的解决的, 需要的是整个网络统一的防御和处理机制, 而每一种技术也都有着自己独特的者本校的全网arp防御方案为例, 学生宿舍区域由于用户量大变换快, 所以选择了端口保护这种工作量最小而同时效果又最好的方式。在教学机房区域为了保障网络教学对共享的需求, 则放弃了端口保护的方案, 而使用了arp防火墙和静态绑定批处理的方案。而在未来的移动化办公当中, 则准备使用DAI的方案, 以适应移动化办公的需求。

摘要：ARP欺骗问题是网络的痼疾, 给高校的信息安全工作造成了严重的危害, 各种应对的技术手段很多, 各有特点和应用领域。根据工作当中碰到的问题总结, 该文论述了arp防火墙法, 静态绑定法、端口安全+ARP check法, 端口保护法, DAI法等各种方法在实践中的使用体会。

关键词：ARP欺骗防御,端口安全,DAI

参考文献

[1]梁亦昭.局域网中的ARP欺骗防御[J].青海电力, 2009 (1) .

[2]林鹏飞.论如何防范ARP的攻击[J].才智, 2010 (11) .

ARP欺骗的防御策略 篇6

1 ARP欺骗和攻击方式

ARP全称Address Resolution Protocol, 地址解析协议, 它工作在数据链路层, 其作用是提供IP地址到MAC地址的转换。ARP欺骗和攻击方式有很多, 以下为最常使用的方式来举例。ARP欺骗主要针对网吧及学校机房等公共上网场所进行攻击。

1.1 简单的欺骗攻击

这种欺骗方式是指:欺骗主机通过发送伪造的ARP包来欺骗网关和目标主机, 让目标主机认为这是一个合法的主机。其中包括两种情况:局域网主机冒充网关进行欺骗欺骗过程如图1-1所示:当PC_A要与网关GW_C通讯时, 首先要知道GW_C的MAC地址, 如果局域网中另有一台主机PC_B冒充GW_C告诉PC_A:GW_C的MAC地址是MAC B, 那么PC_A就受骗了;或者直接告诉PC_A:GW_C的MAC地址是PC_X, 那么就会如同我们邮寄信件时写错了地址, 信件或者是发错了地方, 或者是根本就发送不出去。这样一来就会造成断线。

1.2 基于ARP的“中间人攻击”

MITM (Man-In-The-Middle) 称为“中间人攻击”, 是一种“间接”的入侵攻击方式。这种攻击是利用一定手段在两台或多台主机之间人为的加入一台透明主机, 这台主机就称为“中间人”。“中间人”能够与原始主机建立连接、截获并篡改它们的通信数据。由于“中间人”对于原通信双方是透明的, 使得“中间人”很难被发现, 也就使得这种攻击更加具有隐蔽性。而其中“中间人”常用的一种手段就是通过ARP欺骗的方式来实现的。

1.3 MAC洪泛现象

MAC Flooding可以称之为MAC洪泛现象。其中flooding是一种快速散布网络连接设备更新信息到整个大型网络打每一个节点的一种方法。交换机中也存放着一个ARP缓存表。同主机中的ARP缓存表相同, 它也起到记录网络设备MAC地址与IP地址的对应关系的功能。但是交换机中的ARP缓存表的大小是固定的, 这就导致了ARP欺骗的另一种隐患:由于交换机可以主动学习客户端的MAC地址, 并建立和维护这个ARP缓存表, 当某人利用欺骗攻击连续大量的制造欺骗MAC地址, ARP缓存表就会被迅速填满, 同时更新信息以洪泛方式发送到所有的接口, 也就代表TRUNKING。所以说MAC Flooding是一种比较危险的攻击, 严重会使整个网络不能正常通信。

1.4 基于ARP的DoS攻击

DoS (Denial of Service) 中文为, 拒绝服务攻击。DoS攻击的目的就是让被攻击主机拒绝用户的服务访问, 破环系统的正常运行。最终使用户的部分Internet连接和网络系统失效。基于ARP的DoS攻击是新出现的一种攻击方式。它的基本原理是:攻击者利用ARP欺骗工具, 不断向被攻击主机发送大量的连接请求, 由于遭到ARP欺骗的主机不能够根据ARP缓存表找到对方主机, 加之主机的处理能力有限, 使得它不能为正常用户提供服务, 便出现拒绝服务。在这个过程中, 攻击者可以使用ARP欺骗方式来隐藏自己, 这样在被攻击主机的日志上就不会出现攻击者真实的IP地址。

2 ARP欺骗的解决方案

2.1 解决方案

2.1.1 解决方案一

建议用户采用双向绑定的方法解决并且防止ARP欺骗。

(1) 在PC上绑定路由器的IP和MAC地址:

(1) 首先, 获得路由器的内网的MAC地址。 (2) 编写一个批处理文件rarp.bat内容如下:

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。如果是ReOS 6.0以后用户可以直接从WEBUI--高级配置-IP/MAC绑定页面下载“导出ARP绑定脚本文件”即可替代上述批处理文件“rarp.bat”。将这个批处理软件拖到“windows--开始--程序--启动”中。

(2) 在路由器上绑定用户主机的IP和M A C地址:在W E B U I--高级配置-I P/MAC绑定中将局域网每台主机均作绑定。

2.1.2 解决方案二

对于上面一种处理方式, 是解决ARP攻击的最优方法。但是在用户的实际使用中可能会遇到以下问题:

某些Windows 2000的版本, 在做了对路由器的ARP绑定之后, 仍然会受到ARP欺骗的影响;解决方法:打开路由器LAN口ARP KEEPALIVE功能, 这样路由器就会以10次/秒的速度向内网广播自己的ARP信息, 如果ARP攻击软件发送的ARP欺骗包的速度比路由器发送的慢的话, 那么主机就不会受到ARP攻击的影响。

2.1.3 解决方案三

DHCP自动绑定与ARP广播相结合:

对于企业或酒店等内网主机IP/MAC不固定, 自动获取ip地址占大比重的情况, 路由器提供定时扫描并自动将DHCP分配的ip地址与当前的mac地址绑定, 客户端DHCP租期到期未成功续租的将自动删除。

同时再加上路由器按照一定频率发送申明自己IP和MAC地址的广播包, 告知内网每台主机正确的网关ARP信息。

(1) 进入隐藏界面:http://192.168.16.1/TaskScheduler.asp, 建立计划任务, 保存后HiPER将定期扫描网络并自动绑定及解绑。 (2) 通过路由器网关发送一定频率的广播包, 告知每台客户正确的网关地址。

3 结语

ARP欺骗的防御策略 篇7

随着互联网在高校校园的普及,网络安全成为高校网络管理一大难题。教学活动对校园网的依赖程度越来越高,网络安全成为高校教学工作能顺利进行的重要保障之一。近两年,校园网普遍爆发一种叫“ARP欺骗型”病毒,该病毒发作时会导致网络时断时续,严重影响了校园网的正常运行,给网络管理人员带来了前所未有的挑战。

1 ARP病毒欺骗原理

1.1 ARP协议

地址解析协议(Address Resolution Protocol,ARP)。是一种将IP地址转化为物理地址的协议。一般用于局域网中,它将IP地址解析为网卡的物理地址,又称为MAC地址。局域网中的所有IP通讯最终都必须转换成基于MAC地址的通信。ARP协议的工作就是查找目的主机的IP地址所对应的MAC地址,并实现双方通信。

1.2 ARP协议的设计缺陷

由于ARP协议的设计初衷是为了方便数据传输,设计的前提是网络绝对安全的,因此ARP协议不可避免的存在设计缺陷。

(1)ARP高速缓存根据所接到的ARP协议包随时进行动态更新。

(2)ARP协议没有连接的概念,任意主机即使在没有ARP请求的时候也可以做出应答。

(3)ARP协议没有认证机制,只要接收到的协议包是有效的,主机就无条件的根据协议包的内容刷新本机ARP缓存,并不检查该协议包的合法性。

1.3 ARP欺骗方式

ARP欺骗分为两种:一种是对路由器ARP表的欺骗;另一种是对网段中网关的欺骗。第一种ARP欺骗的原理是截获网关数据。然后按照一定频率不断的发送给路由器错误的MAC地址,结果路由器记录的是错误的MAC地址。另一种方式是伪造网关。就是一台感染ARP病毒的主机伪造成网关,使本网段内所有欲访问Internet的主机转而访问病毒主机,导致同一网段内的所有主机都无法上网。

1.4 感染ARP病毒网络症状

感染ARP病毒的网络一般会有如下症状:

(1)网络时断时续且网速很慢,客户端无法正常访问网络,本地连接中发包数据量远远大于收包数据量。

(2)同一网段的所有上网主机均无法正常连接网络。

(3)打开Windows任务管理器,出现可疑进程,如“MIE0.dat”等进程。

(4)客户端利用“arp-a”命令返回的网关MAC地址与实际网关MAC地址不符。

(5)介入交换机指示灯大面积相同频率的闪烁。

如果出现以上网络现象,就表明该网段中至少有一台主机感染了ARP病毒。

2 ARP病毒防御方法

2.1 安装ARP软件防火墙

目前ARP软件防火墙比较多,比如360安全卫士、AntiARP、瑞星ARP防火墙等等。其原理是对本机IP地址和MAC地址及网关IP和MAC进行绑定,达到控制ARP病毒的目的。当网络中出现ARP欺骗时,ARP防火墙需要占用一定的网络带宽来阻挡欺骗,因此对客户端的正常上网造成一定的影响。

2.2 在介入交换机上做IP、Mac与交换机端口绑定

在介入交换机中将计算机的IP地址和MAC地址与交换据的正常转发。但是此方案操作量大,不易维护,适合规模较小的校园网。

2.3 划分VLAN(虚拟局域网)

ARP欺骗攻击一般是针对同一网段内的所有主机,因此只要VLAN划分的足够小,就可以缩小ARP病毒影响范围。而且可以很方便的找到病毒源,该方法适合规模适中校园网。

2.4 使用DHCP Snooping技术

如果校园网比较大,可以使用DHCP Snooping技术实现主机的IP地址动态分配。DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期和VLAN-ID接口等信息。交换机上连接普通主机的端口在发送ARP报文时受到交换机检测,报文中IP地址与MAC地址对必须与DHCP Snooping检测并记录的主机当时动态申请的IP地址相符。这样中毒主机就无法发送虚假的ARP报文了,同时还对端口发送ARP报文数量进行限制,防止中毒主机发送大量ARP报文造成网络拥塞。

3 总结

由于ARP欺骗利用的是网络协议本身的缺陷,所以在IPv4时代我们无法从源头上控制,只能制定出一套防御策略,将ARP病毒的发作几率降到最低。随着IPv6技术的即将的实施,相信高校校园网解决ARP欺骗的问题指日可待。

摘要：本文通过对ARP病毒欺骗的原理进行了分析,提出多种防御方法,可以有效的解决高校校园网的ARP欺骗问题。

关键词：校园网,ARP病毒欺骗,MAC,IP

参考文献

[1]马玲.如何防范校园网ARP攻击[J].黑龙江科技信息.2009.

[2]樊景博,刘爱军.ARP病毒的原理及防御方法[J].商洛学院学报.2007.