祁　蕓　張士輝

摘要：ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義，通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使網(wǎng)絡(luò)阻塞。所以通過(guò)本文將使我們更加深入地理解AKP攻擊的發(fā)現(xiàn)與定位以及防御辦法。

關(guān)鍵詞：ARP；發(fā)現(xiàn)；定位；防御方法

1什么是ARP協(xié)議

ARP是TCP／IP協(xié)議集中的網(wǎng)絡(luò)層協(xié)議之一，ARP協(xié)議完成IP地址轉(zhuǎn)換為第二物理地址(即MAC地址)，從而實(shí)現(xiàn)通過(guò)IP地址來(lái)訪問(wèn)網(wǎng)絡(luò)設(shè)備的目的。然而，一些非法的入侵者和網(wǎng)絡(luò)監(jiān)聽者利用各種技術(shù)和手段，篡改和偽造IP地址和MAC地址，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“中間人”進(jìn)行ARP重定和嗅探攻擊，以達(dá)到非法監(jiān)聽和獲取他人在網(wǎng)絡(luò)上傳輸?shù)男畔⒌哪康?，這種網(wǎng)絡(luò)入侵方式為ARP欺騙。它是近年來(lái)網(wǎng)絡(luò)入侵攻擊的主要形式之一，嚴(yán)重威脅著網(wǎng)絡(luò)信息的安全。

2ARP攻擊的發(fā)現(xiàn)與定位

要定位感染ARP木馬電腦的MAC地址有三種方法可供選擇：

方法一：可以查看三層交換機(jī)網(wǎng)段里面的ARP信息(如cisco 6509中可以輸入show ARPlinclude網(wǎng)段相同部分)，如果發(fā)現(xiàn)里面存在有不同IP對(duì)應(yīng)相同MAC列表的情況，就可以肯定該網(wǎng)段內(nèi)有ARP欺騙，這個(gè)MAC地址就是感染ARP木馬的電腦MAC。

方法二：用戶端可以通過(guò)輸入命令的方式，輸入arp-a命令即可顯示與該電腦直連設(shè)備的MAC，就會(huì)發(fā)現(xiàn)電腦網(wǎng)關(guān)所對(duì)應(yīng)的MAC地址是否被修改，如果被修改就可判定該電腦感染了ARP木馬程序。

方法三：安裝網(wǎng)絡(luò)檢測(cè)軟件的用戶，如果網(wǎng)段中有ARP攻擊，檢測(cè)軟件會(huì)有報(bào)警，如antiARP軟件會(huì)自動(dòng)彈出攻擊者的MAC地址，網(wǎng)絡(luò)執(zhí)法官則會(huì)顯示一個(gè)與MAC地址對(duì)應(yīng)的兩個(gè)IP地址，其中一個(gè)IP必然為網(wǎng)關(guān)，那該MAC對(duì)應(yīng)電腦就是攻擊者了。

如果確定了MAC的攻擊者，還需要進(jìn)行物理位置定位來(lái)確定該電腦的使用者，以便及時(shí)通知對(duì)方進(jìn)行處理，現(xiàn)在高校用戶大部分使用真實(shí)IP地址進(jìn)行上網(wǎng)，只要找到該IP地址就等于找到了該用戶。

為大家介紹兩種方法來(lái)通過(guò)MAC地址查找IP地址。

方法一：命令法。下載nbtscan DOS軟件，在虛網(wǎng)中任意主機(jī)運(yùn)行nbtsacn218.197.57.0／24就可以得到該段內(nèi)所在的用戶的IP對(duì)應(yīng)的MAC，通過(guò)MAC查詢，就可以得到該機(jī)的IP。

方法二：軟件法。利用網(wǎng)絡(luò)執(zhí)法官軟件保存該網(wǎng)段內(nèi)所有IP所對(duì)應(yīng)的MAC，當(dāng)發(fā)現(xiàn)攻擊電腦MAC時(shí)就可找到該IP，從而定位到該電腦。

另外，對(duì)于采用DHCP服務(wù)器進(jìn)行IP地址分配的網(wǎng)絡(luò)，由于每臺(tái)沒有固定IP，很難通過(guò)IP直接定位，那需要我們利用IP沖突查找，只要將網(wǎng)內(nèi)某臺(tái)電腦IP修改為該感染ARP木馬的電腦IP，該電腦上面就會(huì)出IP沖突的提示，只要有用戶打電話反映IP有沖突，那臺(tái)電腦就是攻擊者。

3ARP欺騙攻擊的防范策略

3.1用戶端防御

由于絕大部分ARP欺騙攻擊都是針對(duì)網(wǎng)關(guān)進(jìn)行攻擊的。使本機(jī)上ARP緩存中存儲(chǔ)的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂，這樣當(dāng)機(jī)器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時(shí)就會(huì)因?yàn)榈刂峰e(cuò)誤而失敗，造成計(jì)算機(jī)無(wú)法上網(wǎng)。

針對(duì)此在用戶端計(jì)算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP和MAC地址，就是強(qiáng)制指定ARP對(duì)應(yīng)關(guān)系。

(1)靜態(tài)綁定

首先獲取網(wǎng)關(guān)的真實(shí)MAC地址。網(wǎng)絡(luò)正常的情況下ping網(wǎng)關(guān)IP地址，之后用arp-a查看網(wǎng)關(guān)的IP對(duì)應(yīng)的MAC地址。

編寫一個(gè)批處理文件arp.bat，實(shí)現(xiàn)將交換機(jī)網(wǎng)關(guān)的MAC地址和IP地址的綁定，內(nèi)容如下：

arp-d(清空ARP緩存)

arp-s 10.10.100.254 00-40-66-77-88-d7

將這個(gè)批處理文件加入計(jì)算機(jī)啟動(dòng)項(xiàng)中，以便每次開機(jī)后自動(dòng)加載并執(zhí)行該批處理文件，對(duì)用戶起到一個(gè)很好的保護(hù)作用。

(2)使用防ARP攻擊的軟件

下載和使用防ARP攻擊的軟件，如AARP、Aarpguard等支持arp過(guò)濾的防火墻。

3.2網(wǎng)管交換機(jī)端綁定

采用在核心交換機(jī)上綁定用戶主機(jī)的IP地址的網(wǎng)卡的MAC地址，同時(shí)在邊緣交換機(jī)上將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。

(1)IP和MAC地址的綁定

在核心交換機(jī)上將所有局域網(wǎng)絡(luò)用戶的IP地址與其網(wǎng)卡MAC地址一一對(duì)應(yīng)進(jìn)行全部綁定。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進(jìn)行流量的盜取。

(2)MAC地址與交換機(jī)端口的綁定

根據(jù)局域網(wǎng)用戶所在的區(qū)域、樓體和用戶房間所對(duì)應(yīng)的交換機(jī)端口號(hào)，將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定。此方案可以防止非法用戶隨意接入網(wǎng)絡(luò)端口上網(wǎng)。網(wǎng)絡(luò)用戶如果擅自改動(dòng)本機(jī)網(wǎng)卡的MAC地址，該機(jī)器的網(wǎng)絡(luò)訪問(wèn)將因其MAC地址被交換機(jī)認(rèn)定為非法而無(wú)法實(shí)現(xiàn)上網(wǎng)，自然也就不會(huì)對(duì)局域網(wǎng)造成干擾了。

3.3采用VLAN技術(shù)隔離端口

網(wǎng)絡(luò)管理員可根據(jù)本單位網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，具體規(guī)劃出若干個(gè)VLAN，當(dāng)發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò)，或因合法用戶受ARP病毒感染而影響網(wǎng)絡(luò)時(shí)，首先利用技術(shù)手段查找到該用戶所在的交換機(jī)端口，然后把該端口劃一個(gè)單獨(dú)的VLAN將該用戶與其他用戶進(jìn)行物理隔離，以避免對(duì)其他用戶的影響?？梢岳脤⒔粨Q機(jī)端口Disable來(lái)屏蔽該用戶對(duì)網(wǎng)絡(luò)造成影響，從而達(dá)到安全防范的目的。

4結(jié)束語(yǔ)

網(wǎng)絡(luò)欺騙攻擊作為一種非常專業(yè)化的攻擊手段，給網(wǎng)絡(luò)安全管理者帶來(lái)了嚴(yán)峻的考驗(yàn)，ARP欺騙是一種典型的欺騙攻擊類型，它利用了ARP協(xié)議存在的安全隱患，并使用一些專門的攻擊工具，使得這種攻擊變得普及并有較高的成功率。對(duì)于ARP欺騙的網(wǎng)絡(luò)攻擊，不僅需要用戶自身做好防范工作，更需要網(wǎng)絡(luò)管理員時(shí)刻保持高度警惕，并不斷跟蹤防范欺騙攻擊的最新技術(shù)，做到防患于未然。