齊新杰　姬月梅

摘要：本篇文章針對企業(yè)用戶、校園用戶和網(wǎng)吧等，對局域網(wǎng)中頻繁發(fā)生的ARP欺騙基本原理進行分析介紹，并通過實例加以解釋，同時介紹常見的ARP欺騙和攻擊方式，并且從IP與MAC綁定、網(wǎng)關等多個方面提出幾點關于如何防御ARP攻擊的方法，加強安全防范措施，以達到維護局域網(wǎng)絡安全的目的。

關鍵詞：地址解析協(xié)議；介質訪問控制；網(wǎng)絡安全

引言

由于近期單位的局域網(wǎng)運行不穩(wěn)定，聯(lián)網(wǎng)計算機出現(xiàn)頻繁掉線的現(xiàn)象。嚴重影響了用戶網(wǎng)絡化辦公。經(jīng)過對硬件檢測后，斷定是ARP病毒在搗鬼!這種病毒是一種利用計算機病毒使計算機網(wǎng)絡無法正常運行的計算機攻擊手段，有效的防范ARP形式的網(wǎng)絡攻擊已成為確保網(wǎng)絡暢通的必要條件。

感染此木馬的計算機試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內(nèi)其它計算機的通信信息，因此造成網(wǎng)內(nèi)其它計算機的通信故障。ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為有時候無法正常上網(wǎng)，有時候又好了，包括訪問網(wǎng)上鄰居也是如此，拷貝文件無法完成，出現(xiàn)錯誤；局域網(wǎng)內(nèi)的ARP包爆增，使用ARP查詢的時候會發(fā)現(xiàn)不正常的MAC地址，或者是錯誤的MAC地址對應，還有就是一個MAC地址對應多個IP的情況，也會出現(xiàn)注銷或重新啟動計算機又可恢復上網(wǎng)的情況。這種木馬危害也很大。各公司網(wǎng)、校園網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災情。ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網(wǎng)無法上網(wǎng)，嚴重的可能帶來整個網(wǎng)絡的癱瘓，對網(wǎng)絡管理帶來潛在的危害。此外，也以竊取病毒機器和同一子網(wǎng)內(nèi)其它機器上的用戶帳號和密碼(如QQ和網(wǎng)絡游戲等的帳號和密碼)為目的，而且它發(fā)的是ARP報文，具有一定的隱秘性。給用戶造成了很大的不便和巨大的經(jīng)濟損失。

1ARP欺騙的原理

首先給大家說說什么是ARP，ARP(Ad-dress Resolution Protocol)是地址解析協(xié)議，是一種將IP地址轉化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡層(IP層，也就是相當于OSI的第三層)地址解析為數(shù)據(jù)連接層(MAC層，也就是相當于OSI的第二層)的MAC地址。

ARP原理：假設這樣一個網(wǎng)絡，一個Hub接了3臺機器：HostA、HostB、HostC，其中：

HostA的地址為：IP:192.168.10.1，MAC：AA-AA-AA-AA-AA-AA

HostB的地址為：IP:192.168.10.2.MAC：BB-BB-BB-BB-BB-BB

HostC的地址為：IP：192，168，10，3，MAC：CC-CC-CC-CC-CC-CC

正常情況下，HostC:arp-a

Interface：192.168.10.1onInterface0x1000003

Internet Address Physical Address Type，192.168.10.3CC-CC-CC-CC-CC-CCdynamic

現(xiàn)在假設HostB開始了罪惡的ARP欺騙：

HostB向A發(fā)送一個自己偽造的ARP應答，而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實是從B發(fā)送過來的，A這里只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD MAC地址，沒有和犯罪分子B相關的證據(jù)，哈哈。這樣犯罪分子豈不樂死了。

現(xiàn)在A機器的ARP緩存更新了：

C：＞arp-a

Interface：192.168.10.1onInterface 0×1000003

Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

這樣局域網(wǎng)的網(wǎng)絡流通可不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸?，F(xiàn)在192.168.10.3的MAC地址在A上被改變成一個本不存在的MAC地址?，F(xiàn)在A開始Ping 192.168.10.3，網(wǎng)卡遞交的MAC地址是DD-DD-DD-DD-DD-DD，結果是什么呢?網(wǎng)絡不通，A根本不能Ping通C!

所以，局域網(wǎng)中一臺機器反復向其他機器，特別是向網(wǎng)關，發(fā)送這樣無效假冒的ARP應答信息包，嚴重的網(wǎng)絡堵塞就開始了!

2ARP欺騙和攻擊的方式

ARP攻擊，是指攻擊者利用地址解析協(xié)議本身的運行機制而發(fā)動的攻擊行為。包括進行對主機發(fā)動IP沖突攻擊、數(shù)據(jù)包轟炸，切斷局域網(wǎng)上任何一臺主機的網(wǎng)絡連接等。主要有以盜取數(shù)據(jù)為主要目的的ARP欺騙攻擊，還有以搗亂破壞為目的的ARP泛洪攻擊兩種。針對這兩種主要攻擊方式，本文作者又細分為以下幾種ARP攻擊類型：

2.1ARP欺騙攻擊

2.1.1DoS(Denial of Service)中文為拒絕服務攻擊。拒絕服務攻擊就是使目標主機不能響應外界請求，從而不能對外提供服務的攻擊方法。如果攻擊者將目標主機ARP緩存中的MAC地址全部改為根本就不存在的地址，那么目標主機向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀會丟失，使得上層應用忙于處理這種異常而無法響應的外來請求，也就導致目標主機產(chǎn)生拒絕服務。

2.1.2中間人攻擊：中間人攻擊就是攻擊者將自己的主機插入兩個目標主機通信路徑之間，使他的主機如同兩個目標主機通信路徑上的一個中繼，這樣攻擊者就可以監(jiān)聽兩個目標主機之間的通信。例如局域網(wǎng)內(nèi)的三臺機子A、S、D，現(xiàn)在A要監(jiān)聽S與D之間的通信。攻擊過程如下：A侵染目標主機S與D的ARP緩存。使得S向D發(fā)送數(shù)據(jù)時，使用的是D的IP地址與A的MAC地址，并且D向S發(fā)送數(shù)據(jù)時，使用的是S的IP地址與A的MAC地址，因此所有S與D之間的數(shù)據(jù)都將經(jīng)過A，再由A轉發(fā)給他們。

如果攻擊者對一個目標主機與它所在局域網(wǎng)的路由器實施中間人攻擊，那么攻擊者就可以截取Internet與這個目標主機之間的全部通信。

2.1.3多主機欺騙：篡改被攻擊主機群中關于網(wǎng)絡內(nèi)某一臺主機×的ARP記錄，被攻擊的主機群為網(wǎng)絡中的多臺主機而非一臺主機。主機X為網(wǎng)關或網(wǎng)絡內(nèi)任何一臺非網(wǎng)關的正在運行主機。被篡改后的MAC地址可以為網(wǎng)絡內(nèi)正在運行的主機MAC地址或隨機偽造的不存在主機的MAC地址。

T時刻，主機A關于主機×的ARP記京

被篡改；

T+N時刻，主機B關于主機×的ARF記錄被篡改；

……

T+M時刻，主機Z關于主機×的ARP記錄被篡改。

例如：當攻擊主機要仿冒網(wǎng)關就會向局域網(wǎng)內(nèi)的主機群發(fā)送ARP數(shù)據(jù)包，以自身MAC地址來冒充真正的網(wǎng)關，使受騙主機群的ARP緩沖區(qū)的MAC地址錯誤地更新為攻擊源的MAC地址，導致受騙主機群向假網(wǎng)關發(fā)送通信信息，而不是通過路由器或交換途徑尋找真正的網(wǎng)關并發(fā)送通信信息。這時攻擊主機可以把自己設置成一臺路由器負責對數(shù)據(jù)包轉發(fā)，從而達到仿冒網(wǎng)關的目的。這是一種比較常見的欺騙形式，這種欺騙方式可以控制同一網(wǎng)關下的所有主機對網(wǎng)絡的訪問。網(wǎng)吧內(nèi)經(jīng)常發(fā)生游戲密碼被盜現(xiàn)象就是因為遭受到仿冒網(wǎng)關的ARP攻擊。

2.1.4全子網(wǎng)輪詢欺騙：篡改被攻擊主機X中關于網(wǎng)絡內(nèi)多臺主機的ARP記錄，這臺被攻擊的主機為網(wǎng)關或網(wǎng)絡內(nèi)任何一臺非網(wǎng)關的主機。被篡改后的MAC地址可以為網(wǎng)絡內(nèi)正在運行的主機MAC地址或隨機偽造的不存在主機的MAC地址。

T時刻，主機×關于主機A的ARP記錄被篡改；

T+N時刻，主機×關于主機B的ARP記錄被篡改；

……

T+M時刻，主機×關于主機Z的ARP記錄被篡改。

2.1.5網(wǎng)絡監(jiān)聽：攻擊主機利用上述多主機欺騙來仿冒網(wǎng)關，利用全子網(wǎng)輪詢欺騙來篡改真正網(wǎng)關上關于局域網(wǎng)內(nèi)所有主機的ARP緩存記錄，從而實現(xiàn)對局域網(wǎng)內(nèi)所有主機同外部網(wǎng)的通信進行監(jiān)聽。實現(xiàn)了在交換式網(wǎng)絡環(huán)境中對網(wǎng)絡通信的監(jiān)聽。

2.2IP地址沖突攻擊

制造出局域網(wǎng)上有另一臺主機與受害主機共享一個IP的假象。由于違反了唯一性要求，受害主機會自動向用戶彈出警告對話框。大量的攻擊數(shù)據(jù)包能令受害主機耗費大量的系統(tǒng)資源。對于windows操作系統(tǒng)，只要接收到一個ARP數(shù)據(jù)包，不管該ARP數(shù)據(jù)包符不符合要求，只要該ARP數(shù)據(jù)包所記錄的源IP地址同本地主機相同但MAC地址不同，windows系統(tǒng)就會彈出IP地址沖突的警告對話框。根據(jù)IP地址沖突的攻擊特征描述，這種類型的ARP攻擊主要有以下幾種：

2.2.1單播型的IP地址沖突：鏈路層所記錄的目的物理地址為被攻擊主機的物理地址，這樣使得該ARP數(shù)據(jù)包只能被受攻擊主機所接收而不被局域網(wǎng)內(nèi)的其它主機所接收，實現(xiàn)隱蔽式攻擊。

2.2.2廣播型的IP地址沖突：鏈路層所記錄的目的物理地址為廣播地址，這樣使得局域網(wǎng)內(nèi)的所有主機都會接收到該ARP數(shù)據(jù)包，雖然該ARP數(shù)據(jù)包所記錄的目的IP地址不是受攻擊主機的IP地址，但是由于該ARP數(shù)據(jù)包為廣播數(shù)據(jù)包，這樣受攻擊主機也會接收到從而彈出IP地址沖突的警告對話框。

2.3ARP泛洪攻擊

攻擊主機持續(xù)把偽造的MAC-iP映射對發(fā)給受害主機，對于局域網(wǎng)內(nèi)的所有主機和網(wǎng)關進行廣播，搶占網(wǎng)絡帶寬和干擾正常通信。這種攻擊方式的主要攻擊特征包含：

2.3.1通過不斷發(fā)送偽造的ARP廣播數(shù)據(jù)包使得交換機忙于處理廣播數(shù)據(jù)包耗盡網(wǎng)絡帶寬。

2.3.2令局域網(wǎng)內(nèi)部的主機或網(wǎng)關找不到正確的通信對象，使得正常通信被阻斷。

2.3.3用虛假的地址信息占滿主機的ARP高速緩存空間，造成主機無法創(chuàng)建緩存表項，無法正常通信，這種攻擊特征作者將其命名為ARP溢出攻擊。ARP泛洪攻擊不是以盜取用戶數(shù)據(jù)為目的，它是以破壞網(wǎng)絡為目的。屬于損人不利己的行為。

2.4ARP溢出攻擊

ARP溢出攻擊的特征主要有：

2.4.1所發(fā)送的偽造MAC-IP映射對的IP地址是非本地網(wǎng)的虛擬不存在的IP地址，但MAC地址是固定的，當操作系統(tǒng)接收到一個源IP地址在ARP高速緩存表中不存在的ARP數(shù)據(jù)包時，就會在緩存表中創(chuàng)建一個對應MAC-IP的入口項。

2.4.2所發(fā)送的偽造MAC-IP映射對的lP地址是非本地網(wǎng)的虛擬不存在的IP地址，而且MAC地址也是虛擬變化的。發(fā)送這種類型的攻擊數(shù)據(jù)包會引起交換機的CAM表溢出。由于交換機是通過學習進入各端口數(shù)據(jù)幀的源MAC地址來構建CAM表，將各端口和端口所連接主機的MAC地址的對應關系進行記錄，因而可根據(jù)CAM表來決定數(shù)據(jù)幀發(fā)往哪個端口。如果攻擊源持續(xù)向交換機發(fā)送大量有錯誤的MAC地址ARP數(shù)據(jù)包，就會破壞端口與MAC的對應關系，并導致CAM表溢出。在這種情形之下，缺少防范措施的交換機就會以廣播的模式處理報文，形成泛洪向所有接口轉發(fā)通信信息流。最終使得交換機變成HUB，將交換式的網(wǎng)絡變成廣播式的網(wǎng)絡，使得網(wǎng)絡帶寬急劇下降。

2.5ARP掃描攻擊

向局域網(wǎng)內(nèi)的所有主機發(fā)送ARP請求，從而獲得正在運行主機的IP和MAC地址映射對。ARP掃描往往是為發(fā)動ARP攻擊做準備。攻擊源通過ARP掃描來獲得所要攻擊主機的IP和MAC地址。從而為網(wǎng)絡監(jiān)聽、盜取用戶數(shù)據(jù)、實現(xiàn)隱蔽式攻擊做準備。

2.6虛擬主機攻擊

通過在網(wǎng)絡內(nèi)虛擬構建網(wǎng)卡，將自己虛擬成網(wǎng)絡內(nèi)的一臺主機，擁有虛擬的物理地址和IP地址。主要是通過在鏈路層捕獲所有流經(jīng)的ARP請求數(shù)據(jù)包進行分析，若是對虛擬主機的ARP請求就會發(fā)送對應虛擬物理地址的ARP響應，并且虛擬主機本身也會發(fā)送ARP請求。虛擬主機攻擊會占用局域網(wǎng)內(nèi)的IP地址資源，使得正常運行的主機發(fā)生IP地址沖突，并且局域網(wǎng)內(nèi)的主機也無法正常獲得IP地址。

3ARP欺騙和攻擊的防范措施

3.1建立DHCP服務器(建議建在網(wǎng)關上，因為DHCP不占用多少CPU，而且ARP欺騙攻擊一般總是先攻擊網(wǎng)關，我們就是要讓他先攻擊網(wǎng)關，因為網(wǎng)關這里有監(jiān)控程序的，網(wǎng)關地址建議選擇X.X.X.2，把X.X.X.1留空，如果犯罪程序愚蠢的話，讓他去攻擊空地址吧)，另外所有客戶機的IP地址及其相關主機信息，只能由網(wǎng)關這里取得，網(wǎng)關這里開通DHCP服務，一定要保持網(wǎng)內(nèi)的機器IP／MAC一一對應的關系。這樣客戶機雖然是DHCP取地址，但每次開機的lP地址都是一樣的。

3.2建立IP、MAC數(shù)據(jù)庫，把局域網(wǎng)內(nèi)所有網(wǎng)卡的MAC地址記錄下來，每個MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫，以便及時查詢備案。

3.3網(wǎng)關機器關閉ARP動態(tài)刷新的過程，使用靜態(tài)路由，這樣的話，即使犯罪嫌疑人使用ARP欺騙攻擊網(wǎng)關的話，這樣對網(wǎng)關也是沒有用的，確保主機安全。

3.4網(wǎng)關監(jiān)聽網(wǎng)絡安全

網(wǎng)關上面使用TCPDUMP程序截取每個ARP程序包，弄一個腳本分析軟件分析這些ARP協(xié)議。ARP欺騙攻擊的包一般有以下