ARP攻击与免疫防范

ARP攻击与免疫防范（共8篇）

ARP攻击与免疫防范 篇1

0 引言

随着各企事业单位信息化程度的提高,类似OA、ERP、以及服务器等各种网络应用也越来越普及。与此同时,掉线、卡滞等网络问题也层出不穷,这些问题对网络化办公已成为常态的人们带来了各种不便。究其原因,主要是网络中协议存在漏洞和技术人员不擅长网络管理,导致内网存在攻击造成的,诸多攻击中尤以ARP攻击最为严重。因此,ARP攻击问题已成为企事业单位网络安全的罪魁祸首。下文将对当前较常见的四种ARP攻击的防范措施进行行分析,并探讨在免疫网模式下怎样对ARP攻击等问题进行彻底解决。

1 常见的防范ARP攻击的措施

ARP即地址解析协议,其功能是将OSI协议栈中网络层的IP地址解析为数据连接层的MAC地址。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,致使被感染的电脑自动截取所在网络中其它终端的通信信息,并进行转发,近而产生大量的无用信息使网络阻塞。当前常见的ARP防范措施有如下四种。

1.1 双绑

双绑即双向绑定,是指在网络两端的路由器和电脑上进行IP-MAC绑定的措施,从ARP欺骗原理来看,它对数据被截取和伪造网关都具有约束作用,但该措施只能应对最普通的ARP欺骗,且存在如下不足:1)在终端上进行的静态绑定,很容易被新的ARP攻击所捣毁,使静态绑定失效;2)IP-MAC的绑定在路由器管理上是非常繁琐的,若终端上有网卡或IP地址的更换都需要重新配置路由。这会造成巨大的网络维护负担,且对移动使用的电脑不适用;3)双绑只是让网络两端的终端不接收相关ARP信息,但是大量的ARP攻击数据仍能发出,且还在网内传输,这样将大幅降低内网传输效率。因此,双绑应对ARP攻击的防范能力有限,且管理烦琐。

1.2 ARP个人防火墙

目前很多杀毒软件中都带有ARP个人防火墙的功能,其主要是通过在电脑上对网关进行绑定,使其不受假网关的影响,虽能保护自身数据不被窃取,但也存在如下不足:1)不能确保绑定的网关的正确性;2)只在终端做ARP防范,而不顾及另一端的网关,这种措施并不完整。因此,ARP个人防火墙并不能保证可靠性,是与网络稳定无关的措施。

1.3 进行VLAN划分和交换机端口绑定

VLAN(虚拟局域网)划分和交换机端口绑定,可以使ARP的攻击只在小范围内起作用。如果借助网管交换机的MAC地址学习功能,并把对应的MAC和端口进行绑定,这样能避免ARP攻击篡改自身地址,从而减少数据被截获的风险,但也存在如下不足:1)未对网关进行保护。无论如何细分VLAN,网关一旦被攻击,同样会造成网络的不稳定;2)把终端MAC和交换机端口进行绑定的管理方式太死板,不适宜于移动性终端在无线网络状态下的动态应用。因此,这种措施也不能从根本上起到防范ARP攻击的作用。

1.4 PPPOE

PPPOE即基于以太网的点对点协议,上网时用户需要通过输入相应的账号和密码进行认证的网络管理方式。上网时PPPOE需要对数据包进行二次封装,使其不受ARP欺骗的影响,从某种意义上来讲,该措施对防范ARP攻击确实起到了一定的作用,但其效率较低且不实用,体现如下:在接入端解封PPPOE二次封装过的数据包必然会降低网络传输效率,造成网络带宽的浪费。PPPOE方式阻断了局域网之间的互访,使内网丧失了局域网的优势。

尽管PPPOE在技术上避开了底层协议的连接,但是以丧失局域网优势为代价通过牺牲网络效率来换取了网络的稳定,得不偿失。

因此,要根除ARP的欺骗和攻击,需要有以下三个技术支撑:1)终端与网关的绑定要可靠、唯一,且能够抵制被病毒捣毁;2)接入的设备(路由器或网关)对终端IP-MAC的识别要保证始终唯一、准确;3)要有一个可靠的机制,能保护IP-MAC,且能分发正确的网关信息和封杀出现的假网关信息。

2 免疫防范

免疫防范是指针对网络内部因协议漏洞、不擅长管理等因素造成的经常遭受病毒、木马、黑客等攻击的网络问题,而采取的加强网络自身免疫,主动防御攻击的技术。采用免疫防范技术后的网络就像人体因接种了疫苗而对所接触的某些病毒产生抗体一样,力保网络中的各种攻击无法发作。免疫防范能突破边界防护和终端防护的局限,从局域网的交互网络整体进行联动防护,群防群控。在免疫防范中起关键作用的则是免疫墙技术。

2.1 免疫墙

免疫墙不同于传统的防火墙,传统防火墙主要是在内网和外网之间、专网与公网之间的边界上构造一个保护屏障,保护内部网免受非法用户的入侵。而免疫墙是由网关、服务器、电脑终端和免疫协议等一整套的硬软件组成,通过对内网中包括全部终端和底层协议的策略控制,堵上以太网协议漏洞并强化带宽管理,从而彻底解决网络掉线、卡滞等难管理的棘手问题。

2.2 免疫墙的结构部署和控制方式

要实现对ARP攻击等的防范,免疫墙需要在结构上进行如下部署:

(1)多点布控在网络接点上布控,并在设备中安装免疫机制,承载免疫功能,如表1所示。

(2)深入协议底层并核实身份,使通信过程和安全机制相融合。

(3)设置网络内的公信和调度机构——免疫运行服务器

免疫运行服务器可以对用户的免疫身份进行审查并记录;对免疫策略进行分发和执行;并运作免疫安全管理协议,监控服务器的接口等。

(4)制定免疫墙管理策略:免疫墙管理策略能对OSI协议栈中数据链路层和网络层进行监控、免疫身份审查、数据流量流向等进行管理,并与分组策略、时间策略等共同作用,使网络安全管理的内容变得规范。

(5)提供开放式的管理操作平台:免疫墙通过软件实现了开放式的管理平台,通过该平台可以对网络进行的参数和策略的配置,并实时显示网络状况。

因此,可见免疫墙通过实效的结构部署和控制方式,实现了通信过程和安全机制与身份管理的紧密结合,使整个网络成为了在安全管理上具有自主防御、自主管理能力的免疫网络。

2.3 免疫墙的功能

免疫墙的功能可分为核心功能和辅助功能两大类,核心功能主要包括:

(1)通过安全机制,对网络底层协议进行深入管理

免疫墙技术针对网络底层的据链路层和网络层协议,在网络架构的各关键节点都部署了相应的免疫安全策略,进而实现对网络中每次通信握手及通信协议和数据交换的进行全面监控,从而达到及时制止、主动防御底层网络攻击的目的,如图1所示。

(2)通过部署免疫策略,对网络身份进行认证

免疫墙技术改变了以传统的IP地址和MAC地址为基础的网络身份,通过对终端的物理身份进行提取、确认和绑定,在网络的各节点进行核查和控制,从而实现了对网络身份的基因式管理。把普通网络成员改造成了可管控的免疫成员,进而保障了网络的稳定。

(3)对网络中数据的流量和流向进行管理

目前的带宽管理设备大多是基于以太网共享网络中IP的管理,并且部署在靠近接入点的位置,很难实现对网络中节点与节点之间的细致管理。所以导致网络中依然充斥大量无效数据,以致网络的通信效能大幅下降。而免疫墙则通过对网络中每一个终端、节点、端口进行带宽的管理,设定它们之间的数据流量和流向,从而实现对全网的智能化、细致化管理。

辅助功能主要包括:

(1)实时的全网监控:免疫墙通过开放的可操作性管理平台,使管理过程图形化显示,能对全网实时监控,并及时准确地定位故障点。

(2)编制和分发免疫策略:免疫策略作为免疫网络的核心在免疫墙中的体现非常突出。在免疫墙中诸如对终端流量和流向的设定、干预条件、执行方式等都可以根据需要进行免疫策略的设定和组合,因此根据不同的需求可设置不同的免疫策略,如图2所示。

(3)实时全面的网络审计、统计和分析:通过管理平台,免疫墙能对网络的访问记录、流量、带宽使用率、故障事件等实时进行全面完善的统计记录,以便管理人员对网络进行合理的调整规划。

3 免疫网络的组建

免疫网络的组建方式与传统网络完全一致,组建时只需用免疫墙路由器或免疫网关替换传统的宽带接入设备,并添加一台自带网关且能全天候运行免疫中心的服务器即可。这些设备的成本并不比传统通信设备贵很多,因此整个网络的组建成本不会有大幅度增加。通过免疫设备可以根据需要设置好相应的免疫策略和IP规划,从管理角度来说,管理员的所从事工作与传统网络管理相比并没有太大区别。

4 结束语

免疫网技术的范围拓展到了网络的最末端,深入到了协议的最底层、检测到了外网的出入口、总览到了内网的全貌,提高了网络的免疫力,实现了对网络病毒的全面自主抵御,同时完善了对网络的管理,使网络可控、可管、可防、可观。因此可见,免疫网络在技术上是严谨的,应用上是可行的。与传统网络相比,免疫网络的安全性能有了大幅提高,而管理成本却大幅降低。

参考文献

[1]常俊.浅谈免疫墙技术.科技创新导报.2011.

[2]刘家卿.浅谈局域网内ARP攻击的防范策略.计算机光盘软件与应用.2011.

[3]北京欣全向技术有限公司巡路免疫网.http://www.nuqx.com/immwall/index.asp.

浅论ARP攻击的原理与防范方式 篇2

关键词：ARP协议攻击防范

中图分类号：TP3文献标识码：A文章编号：1007-3973(2010)09-038-02

近年来，ARP病毒在各级各类局域网中泛滥成了一个普遍的现象，特别是些诸如QQ、网络游戏等木马盗号病毒。这些病毒使得中毒局域网中的计算机掉线，严重影响了计算机的正常使用。虽然目前各类杀毒软件对ARP病毒都能进行一定程度的查杀，但病毒的更新传播速度也快。而且杀毒软件只能有效防护PC，对网关设备几乎没有保护作用。所以我们有必要从ARP协议的原理入手，找出切实有效的防范方法。

1、ARP协议

IP地址是局域网中计算机的标识，但MAC(MadiaAccessContr01)才在数据的网络传输中起到真正的地址作用。物理地址MAC地址一般是在生产过程中由厂家录制到网卡的EPROM中，每个计算机的网卡物理地址是唯一的。

计算机I要和计算机II通信，计算机I就一定要知道目标汁算机II的MAC地址。地址解析协议ARP(Address Res．olution Protoc01)，就是通过目标计算机II的IP地址来查询它的MAC地址，从而实现通信。

2、ARP的工作原理

这里可以举例说明：计算机I(IP地址：192.168.10.1)要向计算机II(IP地址：192.168.10.2)通信，第一步就是在本机的ARP缓存表中查询计算机II的IP地址所对应的MAC地址。如果能够找到计算机II的MAC地址XX-XX-XX-XX-XX-XX，就进行通信，如果没有查询到，那么计算机I就要运行一个广播请求．目标MAC地址是FF-FF-FF-FF-FF-FF。请求IP地址为192.168.10.2的计算机II告知其IP地址所对应的MAC地址。此时与计算机I和计算机II同处一个局域网的所有计算机都能收到这个ARP请求，但只有拥有该IP地址的计算机11会向计算机I发回一个ARP响应，告知其MAC地址。计算机I收到计算机II的回复后，会把自己的ARP缓存更新．再向计算机II的MAC地址发送数据。

3、ARP的攻击原理

同样举上面的例子．根据ARP协议，发送请求的计算机I(IP地址：192.168.10.1)在收到ARP应答时都会更新自己的ARP缓存，而不是仅在发送了ARP请求后才接收。所以，当同处一个局域网的计算机III(IP地址：192.168.10.3)仿冒目标计算机II的IP，即以192.168.10.2的IP地址向发送计算机I回复一个伪造的ARP应答YY-YY-YY-YY-YY-YY，即MAC地址YY-YY-YY-YY-YY-YY是计算机III虚构的，而IP却是计算机II的IP，此时计算机I同样会更新自己的ARP缓存，并认为IP地址并来改变，仍为192.168.10.2的汁算机II的MAC地址已经更改了，由XX-XX-XX-XX-XX-XX变为YY-YY-YY-YY-YY-YY。因为局域网中数据的流通是以MAC地址为基准的，所以这个改变了计算机I ARP缓存的不存在的MAC地址YY-YY-YY-YY-YY-YY就会造成网络堵塞，致使计算机I找不到目标计算机II，形成一个简单的ARP欺骗现象。

4、ARP攻击的目的

如果某局域网中有一台计算机III被ARP病毒攻击后．它就会欺骗同属一个局域网的所有的计算机及路由器，改变它们的上网路径，由以前的通过路由器上网改为通过中毒的计算机IⅡ上网，计算机m便控制了这个局域网，可以轻易的盗取诸如密码、帐户等私人信息。

5、ARP协议的漏洞

在设计ARP协议时，认定的前提是网络是绝对安全的。这也使得ARP协议存在着明显的缺陷。

(1)任何一台计算机的IP应答到发送计算机I的ARP缓存后，计算机I都会在检验其MAC地址的真实性前自动认定其是可信的。这样会造成多个IP地址拥有同一个MAC地址，这是ARP协议的首要缺陷。

(2)任何一台计算机做的ARP应答都没有经过认定而自动确定为合法，任何一台计算机在任何时候甚至没有收到请求的时候都可以应答，并且可以应答一个随意的哪怕事实上并不存在的MAC地址，这样会造成后续的局域网通信失败或者发送延时。

(3)计算机会一直响应局域网内的所有ARP请求，而且将应答的MAC地址改写为本局域网网关的物理地址。网关本身起到转发IP地址的作用，这就会使局域网内的数据传输都要在网关转发一次，使得网关负荷大幅增加，以致崩盘。

(4)目前，大多局域网采用二层交换机，其本身有一个ARP缓存用来维护和映射MAC地址对应的端口。但这个缓存的容量是有限的，如果局域网用户大量发送ARP数据包，就会造成交换机无法正常工作，影响整个局域网的运行．甚至瘫痪。

6、ARP攻击现象

目前，以下几种现象是局域网计算机遭受ARP攻击的常见情形：

(1)局域网的链接正常，但计算机无法访问外部网络，将路由器重启后这种现象消失，但过一段时间后有重复出现相同问题。

(2)计算机用户的密码、账号等私人信息失窃。

(3)局域网内突然出现ARP广播包大量增加的情形。查询时发现大量的可疑MAC地址或根本就是错误的MAC地址，甚至有多个IP地址对应一个MAC地址的情形。局域网内通信堵塞，严重时部分网络设备都被系统视为了计算机。

除了这些现象之外，我们还可以通过检测程序来判定计算机是否被ARP病毒攻击。还是以计算机I(IP地址：192.168.10.1)和计算机II(IP地址：192.168.10.2)所在的局域网为例，输入ARP-a的命令，如果看到如下情况

Interface 192.168.10.1.....0X2

Interact Aldrcss physical Aoldrcss

192.168.10.2XX-XX-XX-XX-XX-XX

192.168.10.3 YY-YY-YY-yY-YY-YY

192.168.10.1 XX-XX-XX-XX-XX-XX

这就显示有计算机的MAC地址与网关的MAC地址相同，则能够确定此局域网受到了ARP攻击。

7、防范方式

目前ARP攻击的途径主要有三种：一是欺骗路由器的ARP缓存表，二是欺骗局域网内计算机自身的ARP缓存表，三是同时进行上述两种攻击。局域网遭到ARP攻击后，网内计算机和路由器都会向错误的MAC地址发送数据信息。

7.1ARP双绑

ARP绑定就是把计算机的MAC地址与IP地址进行绑定。前面已经说过，ARP攻击有欺骗路由器ARP缓存表和欺

骗计算机ARP缓存表两种，所以ARP绑定也有MAC地址和路由器ARP缓存表及计算机自身的ARP缓存表的绑定两种。这种双向的绑定是必不可少的。如果MAC地址只和路由器的ARP缓存表绑定而没有和计算机自身的ARP缓存表绑定的话，局域网内计算机的ARP缓存表被病毒攻击后就不会发送数据给路由器，而是发给一个病毒提供的假的MAC地址。使得路由器无法访问而造成网络瘫痪。在这里要强调一点，所谓的双向绑定事实上是要绑定三个地方，即本机的IP地址和MAC地址、网关的IP和MAC地址、客户机的IP和MAC地址。现在，常用的绑定程序就是ARP-s网关IP地址网关MAC地址。但这样设置需要在每次重启后都重新输入命令。所以下面这个批处理程序也经常使用。例如我们要绑定的网关IP为198.168.10.1，MAC地址为XX-XX-XX-XX-XX-XX，那么可运行如下批处理命令：@echo offhrp－hrp-s 192.168.10.1 XX-XX-XX-XX-XX-XX。将其拖到计算机开始程序中的启动项中即可。

7.2假网关

因为ARP攻击是通过计算机的网关进行的。所以我们可以虚构设置一条防病毒的网关路由，并将其优先级别定的很低，再设置一条路由为真正的网关，并将其优先级别定的比前面用来防病毒设置的网关高，这样也能够欺骗一般的ARP病毒。

7.3更新设备

现阶段各专业服务厂家都能提供专门防范ARP攻击的设备，用户可以选择配备。

(1)ARP路由器。该路由器专门配备有防范ARP攻击程序，能够十分有效的防止ARP病毒。但这个设备的价格比较昂贵，需要一定的资金投入

(2)IP地址服务器。可以购买一个IP地址服务器用来管理IP地址。该服务器能够接收局域网内所有计算机发出的ARP广播，当它接收到ARP报文时，会自动执行一个防护程序，从而有效的阻止ARP攻击。但这个lP地址服务器有个缺点，就是对于IP地址被盗用的问题无能为力。

(3)ARP服务器。这个服务器能够通过自身的ARP转换表来回复其它计算机发出的ARP广播报文，给ARP攻击增加难度，但ARP服务器自身也容易受到新型病毒的攻击。

(4)DAI交换机。DAI即Dynanic ARP Insptlo的简写，意思是动态ARP监测交换机。它能够动态绑定IP地址和MAC地址，其设计基础是DHCP绑定表。如果计算机没有使用DHCP服务器，则可静态添加ARP访问。DAI交换机还能够监控端口的ARP报文情况，防止ARP病毒。

7.4其它方式

除了上述两种主要的防范方式之外，下列方法也能有效防范ARP病毒攻击。

(1)及时升级局域网中的所有计算机的系统补丁程序，完善计算机自身的防范能力；

(2)注重监控局域网，及时发现感染了ARP病毒的计算机，重装系统或者进行杀毒，消除攻击源：

(3)在局域网中安装瑞星、卡巴斯基等网络防火墙软件，并及时升级，定期查杀；

(4)网络管理人员注重提高用户密码的安全性，设置密码要复杂，不宜破解，而且要定期更换，不给病毒可乘之机；

(5)谨慎处理一些不是必须的共享程序，删除一些不是必须的网络服务。

本文分析了ARP攻击的基本原理与主要的防范方式，可以有效的帮助局域网用户防范ARP病毒的攻击，但是任何事务都是发展的。ARP病毒也不例外，随着防毒程序与手段的不断提升，ARP病毒也在不断的更新与升级。它仍然攻击着防范工作不到位的局域网用户。所以，广大局域网用户要重视ARP病毒的防范工作，不要随意下载不明软件，定期升级杀毒软件，结合本文介绍的方法切实减少ARP病毒的危害。

参考文献：

[1]崔东．计算机网络基础[M]北京：高教出版社,2007

[2]郑志勇．ARP攻击原理与防御[J]．电脑迷,2007．6

[3]任侠，吕述望．ARP协议欺骗原理分析与抵御方法[J]．计算机工程,2003．9

ARP攻击与免疫防范 篇3

一、ARP攻击防范中免疫网络设备的主要问题

1、解决措施的防范能力有限。

网络本身的安全性还是比较高的, 但是在实际的网络使用过程中, 各种因素可能会降低这种安全性, 给网络本身造成很大的不便。一些网络安全措施虽然能够达到保护网络安全的效果, 但是当遇到更强大的病毒的时候, 可能就会有些力不能及, 也就是说一般的防范措施能力有限, 在遇到复杂的情况下就会能力不足, 所以需要更加强大的解决措施来增强网络的安全性。

2、对网络管理约束大, 不方便不实用, 不具备可操作性。

随着网络的不断发展, ARP防范措施的种类也在不断的增多, 虽然数量可观, 但是在质量上却不尽如人意。有很多的ARP防范措施对网络的管理约束太大, 所以在实际的使用中实用性并不强, 在管理上也不方便, 操作上也不方便, 这样的措施再多都无济于事。因为在管理的过程中, 并不需要太多的措施, 仅仅只要一个能够有所保证的措施就可以。

3、某些措施对网络传输的效能有损失, 网速变慢, 带宽浪费, 也不可取。

在众多的ARP防范措施中, 不乏一些看着华丽的措施, 实则并没有实际的防范能力。这种类型的防范措施往往需要快的网速, 而且传输的东西也非常多, 对于网络传输的效能会有一定的损失, 导致网速变慢, 同时浪费宽带, 从实用性方面来讲, 并没有很大的优势。

二、常见的防范ARP措施的分析

1、双绑措施。

双绑措施的重点就在于双绑, 这里的双指的是路由器和终端上进行的IP-MAC绑定的措施, 对于一些ARP欺骗的两个端口, 伪造关闭网络、截获数据的现象, 从而起到一定的约束作用。这种防范措施是从ARP原理上进行的一种基本的防范措施, 在人们的生活中普遍适用, 能够有效的用于最最普通的ARP欺骗。但是这种措施也存在一定的缺陷, 它的缺陷主要有三点, 包括升级的ARP容易捣毁终端上的静态绑定, 严重的情况下静态绑定能够完全失效。第二个就是路由器上的IP-MAC表的绑定工作非常繁琐费时费力, 不方便。第三点就是这种方法作用的主要对象只是两端的电脑和路由器, 只能让他们免接受ARP信息, 而内网中还会有ARP信息的传输。

2、ARP个人防火墙。

ARP个人防火墙是ARP的又一个防范措施, 这种防范措施主要是对终端电脑的网关进行绑定, 以免网络中假网关的对其造成一定的影响, 这种防范措施主要的保护对象是自身数据。ARP个人防火墙的作用范围很广, 但是并不代表ARP个人防火墙能够保证ARP攻击就不存在, 同样, ARP个人防火墙也是有很大的缺陷。首先, ARP个人防火墙不能够保证绑定的网关是绝对正确的。再者, ARP不仅能够伪造网关, 同样他也能够截获数据。所以说ARP个人防火墙中的个人还是比较突出的, 也就是说ARP个人防火墙是个人的, 不是网络的。

3、VLAN和交换机端口绑定。

VLAN和交换机端口绑定是另外一个常用的ARP防范措施, 这种方法主要是对做法VLAN进行细致的划分, 通过这种划分减少广播域的范围, 从而让ARP能够在小范围内发挥作用, 不至于在更大的范围中影响, 同时, 学习完成以后, 关闭一些具有MAC地址学习的功能网管交换机, 就可以把对应的MAC和端口进行绑定, 避免了病毒利用ARP攻击篡改自身地址。VLAN和交换机端口绑定的防范措施也存在一定的问题, 主要问题在于没有对网关的任何保护, 把每一台电脑都牢牢地固定在一个交换机端口上, 这种管理太死板了。

4、通过PPPo E的认证。

PPPo E的认证的ARP一个防范措施, 这种防范措施主要是给用户帐号和密码, 在上网的时候进行PPPo E的认证, 在现在大学中的校园网络中中一般都会有一个认证, 从而保证使用网络的安全性。

结束语:在现代网络使用的过程中, 通过设计ARP防范措施来增强网络使用的安全性, 这样的设计可以增强网络使用的安全性, 保证网络使用者信息的安全, 从而促进网络更好更快的发展, 让人们享受更加安全的网络世界。

参考文献

[1]企业局域网的ARP欺骗侦测技术研究与实现;王华王子斌刘军;电子科技大学;2013年

[2]规范MAC防范ARP欺骗攻击技术的研究;陈春泉胡劲松田文春;华南理工大学;2010年

[3]ARP协议欺骗的分析与防范;李保华王宗敏;郑州大学;2008年

ARP病毒攻击与防范 篇4

当今社会, 网络技术已经渗透到人们生活中的各个方面。随着网络技术的迅猛发展, 信息安全问题也日益突出。ARP (Address Resolution Protocol, 地址解析协议) 是TCP/IP协议簇中的底层协议, 用来完成IP地址到硬件地址的转换。由于ARP协议自身存在着难以克服的安全弱点, 如果被恶意利用, 将对网络安全产生极大的危害。

1 ARP协议

1.1 ARP协议工作原理

在以太网中传输的数据包是以太包, 而以太包是依据其首部的M A C地址来进行寻址的。发送方必须知道目的主机的MAC地址才能向其发送数据。ARP协议的作用就在于把逻辑地址转换成物理地址, 也就是把32bit的IP地址变换成48bit的以太网地址。

ARP高效运行的关键是由于每个主机上都有一个ARP高速缓存。这个高速缓存存放了最近IP地址到MAC地址之间的映射记录。高速缓存中每一项的生存时间一般为2 0分钟, 起始时间从被创建时开始算起。

通常当主机在发送一个IP包之前, 它要到该转换表中寻找和IP包对应的MAC地址。如果没有找到, 该主机就发送一个ARP广播包, 得到对方主机ARP应答后, 该主机刷新自己的ARP缓存, 然后发出该IP包。

我们可以用ARP命令来检查ARP高速缓存。参数-a的意思是显示高速缓存中所有的内容 (如图1所示) 。

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的 (如表1所示) 。

以主机A (192.168.1.10) 向主机B (192.168.1.20) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.20的M A C地址是什么”。网络上其他主机并不响应A R P询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.1.20的MAC地址是00-1f-6d-c3-32-04。”这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。

1.2 ARP的分组格式

在以太网上解析IP地址时, ARP请求和应答分组的格式如图2所示。

以太网报头中的前两个字段是以太网的源地址和目的地址。目的地址为全1的特殊地址是广播地址。两个字节长的以太网帧类型表示后面数据的类型。对于A R P请求或应答来说, 该字段的值为0x0806。硬件类型字段表示硬件地址的类型, 值为1即表示以太网地址。协议类型字段表示要映射的协议地址类型, 值为0x0800即表示IP地址。硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度, 以字节为单位。对于以太网上IP地址的ARP请求或应答来说, 它们的值分别为6和4。操作字段指出四种操作类型, 它们是ARP请求 (值为1) 、ARP应答 (值为2) 、RARP请求 (值为3) 和RARP应答 (值为4) 。这个字段是必需的, 因为ARP请求和ARP应答的帧类型字段值是相同的。

对于一个ARP请求来说, 除目的端硬件地址外的所有其他字段都有填充值。当系统收到一份目的端为本机的ARP请求报文后, 它就把硬件地址填进去, 然后用两个目的端地址分别替换两个发送端地址, 并把操作字段置为2, 最后把它发送回去。

1.3 ARP协议安全漏洞

ARP作为一个局域网协议, 是建立在各个主机之间相互信任的基础上的, 因此存在安全漏洞。

(1) 主机地址映射表是基于高速缓存, 动态更新的。由于正常的主机间的MAC地址刷新都是有时限的, 这样恶意用户如果在下次交换前成功地修改了被欺骗机器上的地址缓存, 就可进行假冒或拒绝服务攻击。

(2) ARP协议是一个无状态的协议。只要主机接收到ARP应答帧, 就会对本地的ARP缓存进行更新, 将应答帧中的IP地址和MAC地址存储在ARP高速缓存中, 并不要求主机必须先发送ARP请求后才能接收ARP应答, 同时, 从不对其进行检验。

(3) 在通讯中, ARP缓存的优先级最高, 总是最先从ARP缓存中找与IP地址对应MAC地址。

上述缺陷很容易被黑客利用, 发生伪造别人IP地址实现ARP欺骗的事件。

1.4 ARP协议攻击方式

假定在一个局域网中有三台机器, 他们的IP地址和MAC地址分别如下:

主机A的IP地址192.168.1.10, 网卡地址01-0e-2d-73-65-17;主机B的IP地址192.168.1.20, 网卡地址00-1f-6d-c3-32-04;主机C的IP地址192.168.1.30, 网卡地址03-cc-4e-d5-1a-27。如果主机C想窃听主机A与主机B之间通信的话, 它就可以利用ARP协议的漏洞, 冒用主机B的名义与主机A通信, 同时冒用主机A的名义与主机B通信, 实现ARP欺骗。

主机C向主机A发送ARP应答报文, 在应答报文中将主机B的IP地址192.168.0.20与主机C的网卡地址对应, 当主机A收到ARP应答报文时, 更新ARP高速缓存, 增加“192.168.0.20<->03-cc-4e-d5-1a-27”项。同时, 主机C向主机B发送ARP应答报文, 在响应报文中将主机A的IP地址192.168.0.10与主机C的网卡地址对应, 当主机B收到ARP应答报文时, 更新ARP高速缓存, 增加“192.168.0.10<->03-cc-4e-d5-1a-27”项。这样, 当主机A再想与主机B通信时, 其数据包会发送到网卡地址是03-cc-4e-d5-1a-27的主机C上;主机B与主机A通信时, 数据包也会发送到网卡地址是03-cc-4e-d5-1a-27的主机C上。如果主机C能够实现自动路由转发, 就可以在不影响主机A与主机B之间通信的前提下进行数据窃听了。

但如果前面主机C发给主机A的ARP更新包中的MAC地址不是自己的, 而是伪造的根本不存在MAC地址, 那么这时主机A和主机B之间就不可能再正常通信了, 这就是ARP病毒对PC主机在网络间通信造成数据被窃听或网络不通的严重后果。

虽然局域网之间通信是主机与主机之间直接通信, 但是, 如果要与外网的主机通信, 还需要用到网关或路由器 (很多情况下一个局域网的路由器就直接充当网关的角色) 。当局域网内的某台主机A想要与外网的主机通信, 那么它在对数据包进行封装时, 目标M A C地址需要写成网关的M A C地址, 再交由网关代为转发, 发到网外去。如果这台主机A在使用ARP数据包请求网关的MAC地址时, 出现一台不怀好意的主机向主机A回应了一个ARP应答报文, 数据包就将这台病毒主机的M A C地址或者根本不存在的M A C地址告诉主机A, 这时主机A发给远程网络的数据由于经过不怀好意的主机“中转”了一下, 造成数据被窃听, 或因为错误的MAC地址, 而最终没有网关对数据进行转发, 导致与外网不能正常通信。这就是为什么ARP病毒不仅能够从主机下手来影响局域网内的通信, 也能影响局域网与外网的通信。

2 ARP病毒防范

(1) 使用静态ARP表。停止使用地址动态绑定和ARP高速缓存定期更新的策略。在ARP高速缓存中保存永久的IP地址与硬件地址映射表, 允许由系统管理人员进行人工修改。

(2) 在路由器的ARP高速缓存中放置所有受托主机的永久条目, 也可以减少并防止ARP欺骗, 但路由器在寻径中同样存在安全漏洞。

(3) 会话加密。我们不应把网络安全信任关系建立在IP地址或硬件MAC地址的基础上, 而是应该对所传输的重要数据事先进行加密, 再开始传输。这样, 即使我们传输的数据被恶意主机监听到, 它也无法获取切实有用的信息。

(4) 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。但要确保这台ARP服务器不被黑。

3 结束语

网络服务与网络资源共享技术的发展伴随着网络攻击发生概率的增大。越来越多的攻击都基于各种底层的网络协议。ARP地址转换协议如果被恶意利用会对局域网产生严重威胁。本文介绍了ARP在TCP/IP协议中的地位和作用, 描述了它的工作原理。ARP协议的安全缺陷来源于协议自身设计上的不足:ARP协议被设计成为一种可信任协议, 缺乏合法性验证手段。本文介绍的各种防范措施存在一定的局限性, 不可能对所有的攻击都起到抑制作用。

参考文献

[1]牛少章, 江为强.网络的攻击与防范.北京:北京邮电大学出版社.2006.

ARP攻击与防范算法改进 篇5

关键词：ARP协议,攻击,防范算法,改进

ARP攻击是发生在局域网中的一种基于计算机MAC地址的攻击方法。受到ARP攻击的网络一般表现为, 局域网中某些计算机网络连接时通时断。ARP攻击的发生通常是由于局域网中某些计算机感染了ARP木马病毒, 或有人故意使用ARP攻击工具所致。

1. ARP协议的运作方式

ARP协议的作用是将网络地址解析为物理地址。任何通信活动, 无论使用哪一种第三层的网络协议, 最终都要封装在各种各样的第二层协议的帧中进行传输。因此, 只有网络地址是不够的, 还需要知道对应的物理地址, 才能正确传输。主机通过IP地址进行通信时, 由于数据链路层只能识别MAC地址, 所以需要一种方法来完成IP地址到MAC地址的映射, 这就要用到地址解析协议ARP。在每个主机中都有一个ARP高速缓存, 里面是所在局域网上的各主机和路由器的IP地址到硬件地址的映射表, ARP协议的职责就是动态的维护该表。当源主机欲向本局域网上的某个目标主机发送IP分组时, 就先在其ARP高速缓存中查看有无目标主机的IP地址。如有, 就可查出其对应的硬件地址, 再将此硬件地址写入MAC帧, 然后通过局域网将该MAC帧发往此硬件地址。如果没有, 则先通过广播ARP请求分组, 在获得目标主机的ARP响应分组后, 将目标主机的硬件地址写入ARP高速缓存中目标主机的IP地址到硬件地址的映射。ARP是解决同一个局域网上的主机或路由器的IP地址和硬件地址的映射问题。如果所要找的主机和源主机不在同一个局域网上, 那么就要通过ARP找到一个位于本局域网上的某个路由器的硬件地址, 然后把分组发送给这个路由器, 让这个路由器把分组转发给下一个网络。剩下的工作就由下一个网络来做。ARP是IP层协议。

2. ARP攻击原理

我们知道, 局域网中计算机间的通信不是根据IP地址进行的, 而是按照MAC地址进行传输。局域网内的传输都要通过ARP协议把IP地址转换成MAC地址后传输。在一个使用TCPIP协议的网络环境中, 一个数据包发往何处及怎样发送依靠保存在路由器或交换机中的路由表决定。但当数据包到达该网络后, 哪台计算机响应这个数据包则是靠该数据包中包含的MAC地址来识别。也就是说, 只有MAC地址和该数据包中指定的MAC地址相同的机器才会应答这个数据包。

从以上介绍中可以看出, ARP攻击者在攻击成功后会得到网络中被攻击计算机发往外部网络的全部数据, 其中可能包括邮箱账号、游戏账号、QQ密码、银行账号等敏感数据。如果ARP攻击者在自己的计算机中配合运行Sniffer一类的网络嗅探工具 (抓包工具) , 就有可能分析和破解这些数据。ARP攻击的形式有许多, 上面介绍的仅是其中一种。但所有ARP攻击的原理都是相同的, 导致的后果也基本一致。

3. ARP攻击防范算法

从ARP攻击的原理可以看出, ARP协议的基础是局域网各主机之间互相信任, 在结构上存在着一系列的安全漏洞, 包括广播、动态、不受控制和无需认证等。由于结构上的漏洞问题, 所以ARP攻击的有效率相当高, 预防也比较困难。很多方法都能够提高ARP协议的安全性, 但很少能有从根本上解决ARP攻击的方法。而根据局域网终端内部着手, 所提出的ARP攻击防范方法, 具有更高的适应性, 具体思路为:检测所有主机的ARP报文一致性, 将报文中头信息不一致的抛弃;探测方式为主动, 要求ARP报文的发送方的身份认证, 拒收并警告非法的报文;ARP报文的接收顺序为先请求后应答, 拒绝应答中无请求的部分, 从而防范来自其他主机的攻击;检查发送报文中源IP与MAC地址是否为本机地址, 避免主机由于非法入侵而发动ARP攻击。基于这种思路构建的ARP防范算法由ARP头信息检测、ARP攻击检测和ARP过滤三部分组成。

(1) ARP头信息检测

ARP报文数据帧的报头与分组信息中都有报文发送机器的唯一硬件地址, MAC地址。正常状态下的数据报文中, 报文数据帧的MAC地址与分组信息中的MAC地址相同, ARP报文才是安全正确的。该算法描述如下:

(2) ARP攻击检测

报文数据帧的MAC地址与分组信息中的MAC地址相同, 也不能完全判定ARP报文的正确性, 攻击或欺骗的ARP报文在高明的策略中能够充分利用正确的报文或者模仿出格式正确能够通过的ARP报文而进行攻击。而如果能够针对ARP报文进行报文发送的身份认证, 将认证不能通过的报文抛弃, 能够将ARP报文中的攻击和欺骗的部分检测识别出。以ARP报文中IP地址与MAC地址等信息接收为基础, 构造出对应的上层协议数据包, 在网络中发布, 将数据报文及其IP地址和MAC地址的响应与否, 能够对ARP报文中IP地址和MAC地址进行真实验证。

(3) ARP过滤

在接收的ARP请求报文中, 每个ARP广播中都包含发送方的IP到MAC地址的绑定, 在目前大部分操作系统在ARP协议实现中, 对目的地址是本机的ARP请求除了发送ARP应答响应外, 为了避免额外的网络流量, 还会更新它们ARP缓存中IP到MAC地址的绑定信息。算法描述如下:

3. 结束语

ARP协议的基础是局域网各主机之间互相信任, 在结构上存在着一系列的安全漏洞, 包括广播、动态、不受控制和无需认证等。由于结构上的漏洞问题, 所以ARP攻击的有效率相当高, 预防也比较困难。根据ARP攻击方式而开发的算法, 具有更灵活、准确、全面的优点, 对于安全性要求高的网络比较适合。

参考文献

[1]陈晨, 韩宪忠, 王克俭.一种基于报文过滤防御ARP欺骗的系统架构[J].河北农业大学学报, 2009, (03) .

[2]张洁, 武装, 陆倜.一种改进的ARP协议欺骗检测方法[J].计算机科学, 2008, (03) .

ARP攻击与免疫防范 篇6

一、ARP攻击原理分析

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧包括源主机M A C地址及目标主机的M A C地址。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的M A C地址。但如何获目标主机M A C地址的呢?它就是通过A R P地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标主机的IP地址转换成目标主机的MAC地址的过程。A R P协议基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

如图1所示, 我们以主机PC1 (192.168.1.1) 向主机PC2 (192.168.1.2) 发送数据为例。当发送数据时, 主机PC1会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标M A C地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机PC1就会在网络上发送一个广播, 目标M A C地址是F F-F F-FF-FF-FF-FF, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的M A C地址是什么?”, 网络上其他主机并不响应ARP询问, 只有主机PC2接收到这个帧时, 才向主机PC1做出这样的回应:“192.168.1.2的MAC地址是BB-BB-BB-BB-BB-BB”。这样, 主机PC1就知道了主机P C 2的M A C地址, 它就可以向主机PC2发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机PC2发送信息时, 直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少A R P缓存表的长度, 加快查询速度。

从上面可以看出, 由于A R P协议的基础就是信任局域网内所有的人, 那么就很容易受到以太网上的A R P欺骗。对目标PC1进行欺骗, PC1去Ping主机PC3却发送到了D D-D D-D D-D D-D D-D D这个地址上。如果进行欺骗的时候, 把P C 3的M A C地址骗为D D-D D-D D-D D-DD-DD, 于是PC1发送到P C 3上的数据包都变成发送给PC4的了。PC1对这个变化一点都没有意识到, 但是接下来的事情就让PC1产生了怀疑。因为PC1和PC3连接不上了。P C 4对接收到P C 1发送给PC3的数据包没有转交给PC3。

打开PC4的IP转发功能, PC1发送过来的数据包, 转发给P C 3, 与路由器的功能一样。P C 4直接进行整个包的修改转发, 捕获到PC1发送给PC3的数据包, 全部进行修改后再转发给P C 3, 而P C 3接收到的数据包完全认为是从PC1发送来的。不过, PC3发送的数据包又直接传递给PC1, 倘若再次进行对PC3的ARP欺骗。现在PC4就完全成为P C 1与P C 3的中间桥梁了, 对于P C 1和P C 3之间的通讯就可以了如指掌了。

在局域网中, 通过ARP协议实现I P地址与MAC地址转换。若伪造IP地址和M A C地址实现A R P欺骗, 能够在网络中产生大量的A R P通信量使网络阻塞。由此可见, A R P协议对网络安全具有重要的意义。

二、防范措施

为了使局域网络安全可靠, 防止其受到A R P攻击, 必须采取相应安全策略, 具体述叙如下:

1. 实现I P地址及M A C地址绑定

单纯依靠IP地址或MAC地址来建立信任关系是不安全, 必须建立在IP地址及MAC地址关联基础上。这也是园区网必须在交换机端口上绑定IP地址和MAC地址的原因之一。在交换机SW1的Fa0/1端口绑定IP地址及MAC地址的具体操作如下:

2. 设置静态A R P缓存表

每台主机在缓存中都有一个A R P地址表, A R P攻击就通过更改这个A R P地址表内容来达到欺骗的目的, 使用静态方式实现IP地址绑定正确的MAC可以有效防止更改缓存中的IP地址或MAC地址。每台安装有TCP/IP协议的PC里都有一个ARP缓存表, 可以在PC机的命令行下使用ARP-S IP MAC可以建立静态ARP地址表, 执行A R P a查询A R P缓存表, A R P缓存表显示P C机的I P地址与M A C地址对应关系, 如图2所示。

3. 主动查询

在某个正常的时刻, 做一个IP和MAC对应的数据库, 以后定期检查当前的IP和MAC对应关系是否正常。定期检测交换机的流量列表, 查看丢包率。

4.部署网络流量检测设备, 时刻监视全网的A R P广播包, 查看其M A C地址是否正确。

5. 安装杀毒软件, 及时升级病毒库, 定期全网杀毒。

校园网ARP欺骗攻击与防范研究 篇7

随着网络技术的普及和发展,网络安全问题日益成为人们关注的焦点,校园网更成了网络安全问题的多发领域,作为惠众面最大的多媒体局域网,经常会发生网络连接正常,大面积的计算机却突然掉线,无法实现网络共享或者访问互联网的现象,以致严重影响校园网内广播教学,给校园网的教学和办公造成巨大损失。这种现象发生多半是由地址欺骗攻击引起的,表现最为突出的就是ARP欺骗攻击,很多病毒都会利用以太网的ARP协议对本网段内的其他用户实施欺骗攻击,窃取用户的个人私密信息,以致造成用户的损失。

1 ARP协议

地址解析协议(Address Resolution Protocol,ARP),是TCP/IP协议栈的基础协议之一,解决了局域网网上的主机或路由器在网络通信中的IP地址和硬件地址的映射问题。

网络上的每台主机都有IP地址,在真正发送数据分组时并不使用IP地址,依据网络分层的思想,数据分组从认知IP地址的网络层传输到数据链路层,需要封装成数据链路层硬件认知的MAC帧后才能在实际网络中发送,但是采用IPv4技术的地址拥有32bit的信息,网络硬件在世界范围内有惟一的48bit地址信息,两者之间需要调和才能在网络中联合应用,ARP协议通过在两者之间建立动态映射很好的解决了这个问题。

2 ARP实现

网络中的主机都有一个动态更新的ARP高速缓存表,保存最新的IP与MAC的映射,主机每隔一段时间或有ARP应答时就会更新,长期不使用的映射,在更新时会自动删除。

ARP通过发送数据报时把IP地址映射成物理地址和回答来自其他机器的请求这两部分功能实现地址解析。当IP数据报准备在网络上发送时,发送方要查询本机ARP缓存中是否有目标的IP地址与MAC地址的映射,如果有,则把数据报封装成添加了目的MAC地址的数据帧由数据链路层放送出去,如果没有,则向局域网广播一个封装了目的主机IP地址的ARP请求,局域网内的主机收到后提取出IP地址与自己的IP地址匹配,只有匹配成功的目的主机才会响应,直接把包含目的MAC的ARP应答回送到源主机,源主机收到ARP应答,提取出目的MAC地址添加到ARP高速缓存中,形成目的主机IP地址与MAC地址的映射。

3 ARP欺骗攻击原理

ARP协议的设计是以局域网的主机间相互信任为前提的,出于对传输效率的考虑,要求主机都有ARP高速缓存,在降低主机向网络广播ARP请求的同时,为网络欺骗攻击提供了便利条件。另外,ARP协议是无状态的局域网协议,即任何主机在没有ARP请求的时候也可以做出应答,并且应答不需要认证,只要应答包有效,接收到应答包的主机就无条件地根据应答包的内容刷新本机高速缓存,这样攻击者就可以发送伪造的应答包与真正的主机应答包竞争,迫使发送请求的主机被攻击者应答,以致成为ARP欺骗攻击的对象。

典型的ARP欺骗攻击如图1所示。

局域网络中的主机间相互信任,能够实现所有的网络应用,主机C由于受到外部因素的干扰成为实施ARP欺骗的攻击者。攻击者可以通过局域网嗅探工具监听网络通信,获取同一网络内的相关主机的IP和MAC等信息。主机ARP缓存中IP与MAC的映射对有无决定了实施ARP欺骗的两种状态:

(1)当A要求与B通信,缓存表为空,A会向网络广播要求找到IP地址为B的ARP请求,攻击机监听到这一请求后,通过发送封装了B的IP地址与非B的MAC地址的应答给A,由于主机一般使用后收到的应答来刷新ARP缓存,所以攻击者会延迟发送伪装的ARP应答,达到欺骗的目的。

(2)当A与B正常通信后,B的IP地址与MAC地址的映射对能够暂存在A的ARP缓存表中,但主机缓存表在收到ARP应答时会立即更新,攻击者C直接发送封装了B的IP地址与非B的MAC地址的应答给A,使得A的ARP缓存表动态更新实现欺骗。

当主机缓存的映射对的MAC地址都指向攻击者C时,C就可以利用相关软件获取IP地址为伪造映射对的主机的网络通信信息;当主机缓存的网关IP地址被映射到其他未知的MAC时,就会造成主机不能访问网络的现象。

总之,ARP欺骗攻击就是网络攻击者利用ARP协议,向目标主机发送伪造的源IP-和MAC映射的ARP应答,使得目标主机收到该应答帧后在ARP缓存中被更新,从而使目标主机将报文发送给错误的对象,造成用户信息泄露等网络安全问题。

4 校园网ARP欺骗攻击的防范策略

校园网是典型的多元化局域网,对ARP欺骗攻击的防范任重道远,为防止对校园网用户造成不必要的损失,网络管理者应该从网络技术和人员素质两个方面部署防御策略。

4.1 网络管理员的网络技术水平

网络安全防护的关键体现在人员的素质上,校园网是由多个分支局域网组成,各分支的网络管理员技术水平参差不齐,面对ARP欺骗攻击和其他网络安全问题,处理措施千差万别,因此,校园网的管理部门应关注网络系统管理员素质的提高,积极组织网络管理员参加网络安全防御技术培训,提高网络安全技术水平和防范意识。

4.2 校园网计算机的防护

校园网ARP欺骗攻击行为不是独立发生的,大部分是由于计算机感染网络病毒,由病毒发起的,因此校园网计算机应该加强自身防护。

首先,校园网计算机应该安装正版杀毒软件,及时升级病毒库,为Windows系统打补丁,关闭远程管理端口,防止病毒侵扰,由于现在的杀毒软件厂商在其软件中都添加了ARP欺骗防御功能,计算机同时具备了基本的ARP防护功能。

其次,为防止攻击者利用嗅探工具获取网络主机信息,计算机也应安装防嗅探软件防护。

最后,鉴于校园网ARP欺骗攻击主要是针对网关的攻击,计算机还应当做网关IP地址和MAC地址的ARP静态绑定,防止ARP缓存更新导致网关映射对被恶意修改,导致计算机掉线的情况。

4.3 交换机ARP防域策略

对于采用智能交换机搭建的网络,可以采用交换机端口安全来防止非法用户的接入,由于网络硬件的相对固定性,网络管理员可以采取静态IP与主机MAC联合绑定到交换机端口的方式进行防护,考虑到防护的隐蔽性,端口安全可以采用特点的违例方式来处理。

对ARP欺骗攻击的防护,交换机厂商也专门开发了象DAI的动态ARP入侵检测功能,网络系统管理员可以根据厂商设备配置说明,结合校园网接入层的实际情况部署防御策略。

5 结论

校园网ARP欺骗攻击是由多种因素造成的,爆发时极易造成局域网大面积瘫痪,给网络管理员造成巨大困扰,但防范胜于治理,为免于巨大损失的造成,校园网的管理者应该从网络运营的初始阶段就部署防御策略,实现对ARP欺骗攻击的积极防范。

摘要：本文针对校园网断网现象分析ARP的欺骗攻击原理,阐述其实现的两种状态,提出结合人员素质和网络技术统一部署校园网ARP欺骗攻击防范策略,应对校园网安全问题。

关键词：ARP,欺骗攻击,ARP缓存,防御策略

参考文献

[1]谢希仁.计算机网络[M].北京:电子工业出版社.2002.

[2]邵丹.ARP安全问题的研究[J].长春大学学报.2009.

[3]郑文兵,李成忠.ARP欺骗原理及一种防范算法[J].江南大学学报(自然科学版).2003.

ARP攻击与免疫防范 篇8

目前,公司集团的规模越来越大,部门和员工人数越来越多,这对公司集团的组织、协调等提出了更高的要求,如果依然想按照传统的管理方式来运营整个公司集团,显然是不现实的,其一是效率非常低下,其二是工作量非常大,容易漏洞百出。而通过组建公司集团局域网,则能够很好解决公司集团在管理过程当中的各种难题,实现各部门乃至各人员的高效交流、整合、协调,这可以显著提升公司集团的管理水平。但在局域网的运行过程当中,有着诸多的因素都可能会危害到公司集团内部的信息安全,这会使得局域网的运行出现故障甚至是瘫痪,影响到公司集团的运营管理,泄露商业信息,给公司集团造成严重的损失。例如,目前的ARP(Address Resolution Protocol,地址解析协议)攻击,就极易对公司集团的局域网造成严重的信息安全威胁。如今的ARP病毒具有非常强的感染力,而且变种非常多,一旦感染就会快速的扩散,尚没有能够完全消除ARP攻击的办法,只能不断的加强安全防范[1]。

1 ARP协议的原理

1.1 ARP协议

ARP协议即地址解析协议,它是TCP/IP协议的一个下属协议,通过ARP协议,我们能够根据IP地址获取到物理地址,该协议在如今的网络运行过程当中,发挥着极其重要的作用。在局域网当中,每一台计算机都拥有一个IP地址,在局域网的内部,这个IP地址是独立的,各台计算机之间没有影响,但局域网内的计算机在发送数据信息时,所真实使用的却并不是该IP地址。依据网络分层的原则,数据分组从已知IP地址的网络层发送到数据链路层,这需要封装成数据链路层硬件认知的独立MAC地址后,才可以在网络中以数据帧的形式传输。ARP协议的作用就是,将IP地址映射为网络上的48位MAC地址,以这样的方式来建立起局域网内MAC和IP地址的联系,最终确保数据信息能够正确的传输[2]。

1.2 ARP协议的缺陷

如上所述,ARP协议在网络的运行过程当中发挥着重要的作用,但它也是存在缺陷的,容易引起信息安全方面的问题。当前,主机地址的映射表是动态更新、高速缓存的,在正常的情况下,主机MAC地址都会在一定的时间内进行刷新,此时如果有人刻意的在交换前篡改被欺骗主机的地址缓存,就可以拒绝服务或是假冒。ARP协议是没有状态的,因此所有的主机在没有进行ARP请求发送的情况下,也必须要对ARP做出响应,这就给攻击者留下了一个攻击点,他们能够随时的发送ARP应答,只要应答是有效的,则接收到ARP应答分组的电脑主机就根据应答分组的内容来刷新本机的高速缓存,ARP应答则无须认证。

在局域网内,所有的主机通信都是相互信任的,不需要进行审核或是认证,只要其收到了内部的ARP应答分组,就会将其中的MAC/IP地址映射刷新存入到高速缓存中,整个过程是没有阻碍的。从这里可以看出,ARP协议虽然重要,但是其缺陷是没有一个安全方面的检测机制,ARP应答报文合法还是不合法,MAC/IP地址映射都会被刷入,所以有很多的人都会通过相关的技术手段,来进行IP和MAC地址映射伪造,从而实施ARP攻击,这既可能造成局域网运行效率降低或是瘫痪,还有可能造成相关的数据信息泄露[3]。

2 ARP攻击形式

从目前的实际ARP攻击情况来看,其攻击的具体形式可以分为两个类别,一个是主动攻击,另一个是被动攻击。

2.1 主动攻击的形式

(1)中间人的攻击

中间人的攻击是ARP主动攻击中较为常见的一种形式,也常被称作ARP双向欺骗,在这种形式的供给之下,受攻击的计算机可能出现网络运行时断时续的情况,而且网速会变得非常缓慢。通过对ARP进行查看可以发现,MAC地址已经被进行了修改,同时网关上的MAC地址也是虚假的。这会使得受攻击的计算机数据流量被转移到另外的计算机上,致使数据信息丢失,如图1所示:

A:192.168.1.1 AA—AA—AA—AA—AA—AA

B:192.168.1.2 BB—BB—BB—BB—BB—BB(网关地址)

C:192.168.1.3 CC—CC—CC—CC—CC—CC

D:192.168.1.4 DD—DD—DD—DD—DD—DD

在某局域网当中,如果所有计算机都没有收到ARP攻击,其状态完全正常,那么计算机A就可以通过ARP协议实现与计算机D的通信,但如果计算机C通过非法的手段,向计算机A传输了一个ARP数据包,内容是(192.168.1.4,CC—CC—CC—CC—CC—CC),此时计算机A就会作出响应,对自己的ARP缓存表进行修改,计算机D的MAC就会成为CC—CC—CC—CC—CC—CC,在这样的情况下,如果计算机A再与计算机D进行通信,其数据信息其实就会流向计算机C,简而言之也就是计算机C窃取了计算机A的数据包。

(2)仿冒网关的欺骗

仿冒网关欺骗就是ARP病毒向网络的中主机传送含有错误网关(MAC,IP)映射对的ARP数据包,受害电脑主机接收到此ARP数据包同时更新了自己的ARP缓存表,一旦受害电脑主机发送数据时,这些本来传向网关的数据却被重新定向到另一主机上或一个错误的MAC地址上,从而导致受害主机根本无法访问网关。如图2所示:

如果主机A向本网段中传输了一个ARP数据包,内容是(192.168.1.3,FF-FF-FF-FF-FF-FF),在本网段中的电脑主机C接受到此ARP数据包,会根据其内容更新自己的ARP缓存表,就会错误的更改了网关的(MAC,IP,)映射,这时电脑主机C是无法访问到网关的。

(3)ARP洪泛的攻击

这种攻击形式指的是受到了病毒感染的计算机,在一定的时间内,不停的向网络发送ARP数据包,这会使得网段中计算机的ARP缓存表超出容量限制,最终计算机ARP缓存当中的地质映射都是错误的,这样的话计算机就不能够正常的接入网络。

2.2 被动攻击的形式

ARP被动攻击和主动攻击是相对的,主动攻击是不法分子利用相关的技术手段,去主动修改ARP缓存表,从实施攻击。而被动攻击则不会主动修改ARP缓存表,它会在受害计算机发送ARP协议询问包时,进行欺骗性的应答,进而实现攻击,这个时候ARP协议认为所有的ARP数据包都是可信的,可见其缺陷[4]。

在一个局域网当中,如果存在ARP攻击,该攻击的对象就将是局域网内的所有计算机以及网关,在攻击成功的情况下,局域网内计算机之间的正常通信和计算机与网关之间的正常通信就会受攻击者的修改或转发。在实际发生ARP的时候,作为一般的计算机用户,是察觉不到的,而且这种攻击模式所发出的攻击都是随机的,具有较高的隐蔽性,因此想要查找攻击的源头是较为困难的。受攻击之后,受到危害的计算机会出现明显的性能下降,网速变慢,甚至是直接掉线。

3 公司集团网ARP欺骗攻击的危害

(1)如果公司集团的局域网受到了ARP攻击,可能会表现得网络不稳定,网速严重减缓,甚至是瘫痪。通过对计算机的收包数据量进行查看,可以发现其数据量远远低于发包数据量。通过网络抓包工具,可以发现在集团的局域网当中有着大量的ARP报文出现。如果局域网当中的某一台计算机受到了ARP病毒的攻击感染,就会向局域网内的其他计算机或其他相关设备不间断的发送非法ARP欺骗数据包,从而使得局域网阻塞。一旦发生这种情况,公司集团的局域网内部通信就会变得非常迟缓,很多数据信息都不能及时的传输,由此公司集团的运营甚至可能完全停止。

(2)在ARP的供给之下,公司集团局域网内的计算机都可能面临非法的监听,不论是管理人员还是一般工作人员,只要其接入了局域网,他们通过计算机发送的相关数据信息就都可能被窃取,这会使得公司集团的商业机密和员工的个人信息泄露,后果可大可小。

(3)在ARP的攻击之下,公司集团的局域网可能出现一个由攻击可以创建的“伪网关”,这个时候“伪网关”就可以将相关的恶意信息插入到数据之中,然后发送给局域网中的计算机,例如一段恶意的代码,在计算机接收到了数据之后,代码便会运行,对计算机造成破坏。

4 公司集团网ARP欺骗攻击的防御措施

4.1 用户端计算机的防御

(1)要做好基本的计算机安全防护工作,例如安装公司集团统一的防火墙、杀毒软件,并进行定期的更新。同时还可以安装ARP专杀软件,专门针对ARP共计进行安全防护,及时的发现和清楚ARP病毒。

(2)另外,在进行计算机操作的时候,要注意养成良好的安全习惯,例如不要随意打开来历不明的网站、信息或是其他的程序文件,而且在公司集团的局域网中,最好是不能进行私人的信息或娱乐操作,减少感染ARP病毒的风险。

(3)必须在用户端电脑主机上绑定交换机网关的MAC和IP地址。同时Windows用户也可通过在命令行方式,执行“arp-s网关IP网关MAC地址”命令来减轻中毒主机对本机的影响。本机的网关IP和网关MAC地址可以在网络工作正常时通过命令行方式下的“arp-a”命令来得到。也可以编写一个批处理文件arp.bat,来实现将交换机网关的MAC地址和网关的IP地址的绑定,同时将这个批处理文件拖到“开始-程序-启动”中,这样用户每次开机后计算机自动加载并执行该批处理文件。

4.2 网络设备管理端防御

(1)为了避免公司集团的局域网受到ARP攻击,可以在核心交换机上进行主机IP与MAC地址绑定,并在边缘交换机上绑定网卡MAC地址和交换机端口,最后还需得在三层交换机上进行IP、MAC对应表实时检控,在二层交换机上进行用户计算机上传MAC的数量限制。通过这些措施,可以有效的防范ARP攻击。

(2)利用虚拟局域网技术进行交换机端口隔离,当前公司集团的局域网都是拓扑结构,利用虚拟局域网技术,可以将局域网内的所有计算机重新划分为若干的虚拟局域网,同时将交换机上虚拟局域网进一步划小。这能够利用ARP报文在域内传送的特点,将其攻击和感染隔离开来,减少受危害的计算机。

(3)使用交换机的ARP特定功能。当前,ARP攻击的危害已经受到了重视,很对交换机的生产厂商还是进行应对,并采取了一些较为有效的措施,可以帮助防范ARP攻击。例如,在锐捷的S21系列二层交换机上,通过使用其Anti-ARP–Spoofing功能,能够防范同一个网段内的ARP攻击。另外,CISCO交换机也具有相关的功能,可以防范ARP攻击,这些功能都是较为有效的,公司集团的局域网应当积极的尝试应用。

(4)可以建立一个ARP服务器,用于存储ARP转换表,公司集团局域网内的计算机通过该服务器中的数据,来响应ARP广播,这也可以有效的防范ARP攻击,不过这里有一个前提,那就是ARP服务器必须是安全的。

(5)对公司集团局域网中的计算机进行上网认证和地址绑定。在一些情况之下,不论是软件设备还是硬件设备,可能都无法完全抵御ARP攻击,为此可以在局域网计算机中使用静态的IP地址,不允许其IP地址发生变化,同时还要在汇聚交换机上进行IP和MAC地址绑定,整个绑定过程需要涉及到的内容应当包括接入交换机PORT、接入交换机IP、MAC地址、IP地址、密码、帐号,这可以防止一个MAC地址有多个IP地址对应等情况出现,这可以在很大程度上提高公司集团局域网对ARP的防范抵御能力。

4.3 立体ARP的防御

可以在公司集团局域网中安装一套802.1x认证软件,这认证软件,有三个元素,第一是用户的客户端软件,第二是接入交换机,第三是认证服务器。经过用户通过认证后,使服务器把用户的IP、MAC、接入,同时交换机的端口绑定到接入交换机上,可以把服务器把网关的IP和MAC地址下发给用户端,让用户即绑定正确的网关地址,并在网关上实现可信任ARP,从而来保证网络中的立体ARP防御功能,进而可以确保整个网络无ARP攻击和欺骗。

5 结束语

当前,公司集团的规模变得越来越大,为了有效的对公司集团进行管理,协调、组织公司集团运营,必须要有一套完整的内部局域网做支撑。同时,我们还需要做好对公司集团局域网的安全防范工作,防止ARP等攻击在局域网内发生,使公司集团的局域网能够保持安全、高效的运行,促进公司集团管理、运营。

摘要：从当前的局域网技术发展和管理现状来看,外部各种形式的攻击依然非常猖獗,例如当前较受关注的ARP攻击。对于公司集团来说,局域网对于其各部门的交流、整合、协调来说具有相当重要的作用意义,如果其受到了ARP攻击,则会导致公司集团的信息安全陷入危机,甚至造成整个公司集团的运作暂时停止,后果往往非常严重,因此在如今的信息时代下,公司集团必须要做好对ARP攻击的安全防范。本文基于作者自身的实际工作与学习经验,首先简单分析了ARP协议的原理及ARP攻击形式,并较为详细的阐述了ARP攻击可能对公司集团局域网造成的危害,最后主要对如何有效的进行公司集团局域网ARP攻击安全防范提出了部分措施建议。

关键词：ARP欺骗,攻击原理,防范,措施

参考文献

[1]吴旻,李晓玲.校园网ARP欺骗分析与解决方案[J].科技情报开发与经济,2009.

[2]秦勇,张海丰.校园网ARP欺骗攻击与防范研究[J].网络安全技术与应用,2010.

[3]吴经龙,吴立锋.校园网ARP欺骗原理及解决方案[J].中南民族大学学报,2008.