ＡＲＰ欺騙及其對策

[摘 要]隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，網(wǎng)絡(luò)本身的開放性、不確定性、交互性和脆弱性使得網(wǎng)絡(luò)安全問題顯得日益重要和突出，網(wǎng)絡(luò)安全問題越來越得到人們的重視。由于ARP協(xié)議發(fā)展較早，協(xié)議相對比較簡單，并且沒有驗證或校對等措施，因此存在著嚴(yán)重的安全隱患。它是局域網(wǎng)進(jìn)行通訊的基礎(chǔ)，是以信任為基礎(chǔ)的，如果信任被破壞了，那就形成了ARP欺騙。

[關(guān)鍵詞]ARP欺騙 對策

作者簡介：王盤崗，男，漢族，河南省西平縣人，講師，主要研究方向：網(wǎng)絡(luò)安全。

一、ARP原理

ARP即地址解析協(xié)議，是一個位于TCP/IP協(xié)議中的低層協(xié)議，其將各設(shè)備的IP地址和MAC地址對應(yīng)起來，即將網(wǎng)絡(luò)層地址解析為數(shù)據(jù)鏈路層的MAC地址，保證通信的順利進(jìn)行。

其基本原理：用戶甲要向乙發(fā)送報文，會查詢本地的ARP緩存表，找到乙的IP地址對應(yīng)的MAC地址后，就會進(jìn)行數(shù)據(jù)傳輸。如果未找到，會將甲的ARP請求報文進(jìn)行廣播，請求指定IP地址的乙回答其物理地址。網(wǎng)上所有主機(jī)包括乙都會收到ARP請求，但只有乙才能識別自己的IP地址，于是向甲發(fā)回一個ARP響應(yīng)報文。其中就包含有乙的MAC地址，甲收到乙的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)。因此，本地高速緩存的這個ARP表是動態(tài)的且是本地網(wǎng)絡(luò)流通的基礎(chǔ)。ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。

二、ARP欺騙

由于ARP協(xié)議發(fā)展較早，協(xié)議相對比較簡單，采用了廣播、動態(tài)學(xué)習(xí)機(jī)制，并且沒有任何驗證或校對等安全措施，因此存在著比較嚴(yán)重的安全隱患。它是系統(tǒng)進(jìn)行通訊的基礎(chǔ)，是以信任為基礎(chǔ)的，如果破壞了這個信任，那就形成ARP欺騙了。

ARP欺騙簡單來說，偽造源MAC地址發(fā)送ARP響應(yīng)包，破壞ARP緩存機(jī)制。ARP協(xié)議在局域網(wǎng)通信中，處于一個非常關(guān)鍵的位置，一旦出現(xiàn)問題，將直接導(dǎo)致以局域網(wǎng)環(huán)境中的設(shè)備無法通信。如果ARP欺騙問題處理不好，將給網(wǎng)絡(luò)帶來嚴(yán)重影響。

當(dāng)局域網(wǎng)中的某臺機(jī)器乙向甲發(fā)送一個自己偽造的ARP應(yīng)答，而如果這個應(yīng)答是乙冒充丙偽造來的，即IP地址為丙的IP，而MAC地址是偽造的，則當(dāng)甲接收到乙偽造的ARP應(yīng)答后，就會更新本地的ARP緩存，這樣在甲看來丙的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以，那個偽造出來的MAC地址在甲上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，造成甲Ping不通丙，這就是一個ARP欺騙。

當(dāng)局域網(wǎng)中一臺機(jī)器，反復(fù)向其他機(jī)器，特別是向網(wǎng)關(guān)，發(fā)送這樣無效假冒的ARP應(yīng)答信息包時，嚴(yán)重的網(wǎng)絡(luò)堵塞就會開始。由于網(wǎng)關(guān)MAC地址錯誤，所以從網(wǎng)絡(luò)中計算機(jī)發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān)，自然無法正常上網(wǎng)，這就造成了無法訪問外網(wǎng)的問題。

可以通過如下方式確定是否是ARP欺騙：在確保局域網(wǎng)交換機(jī)正常工作和網(wǎng)線正常連接的情況下，在命令提示符狀態(tài)下，執(zhí)行arp/a，查看網(wǎng)關(guān)ip地址對應(yīng)的mac是否是路由器的網(wǎng)口的mac地址，如果不是，基本可以確定是ARP欺騙。

ARP欺騙只要一開始就可能造成局域網(wǎng)內(nèi)計算機(jī)無法和其他計算機(jī)進(jìn)行通訊，只要局域網(wǎng)中存在一臺感染“ARP欺騙”病毒的計算機(jī)將會造成整個局域網(wǎng)通訊中斷，IE瀏覽器和常用軟件出現(xiàn)故障，嚴(yán)重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓。它不但會使網(wǎng)絡(luò)產(chǎn)生較大的延時，而且會造成局域網(wǎng)的中斷，并且中毒主機(jī)會截取局域網(wǎng)內(nèi)所有的通訊數(shù)據(jù)，并向其他用戶發(fā)送帶了自身ARP病毒的數(shù)據(jù)，對局域網(wǎng)用戶的網(wǎng)絡(luò)使用造成非常嚴(yán)重的影響，直接威脅著局域網(wǎng)用戶自身的信息安全。

三、ARP欺騙的攻擊類型

（一）盜用或強(qiáng)占IP

利用ARP機(jī)制，盜用或者強(qiáng)占他人IP，由此進(jìn)行侵權(quán)或其他非法操作

（二）網(wǎng)關(guān)或服務(wù)器IP欺騙

發(fā)送一系列錯誤的內(nèi)網(wǎng)MAC地址，假冒局域網(wǎng)中的網(wǎng)關(guān)或其他服務(wù)器IP地址，把正常應(yīng)該傳給網(wǎng)關(guān)或服務(wù)器的數(shù)據(jù)流引向進(jìn)行ARP欺騙的計算機(jī)，讓被欺騙的主機(jī)向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，造成無法通過正常的路由器上網(wǎng)，使其無法實現(xiàn)正常的數(shù)據(jù)通信，從而造成網(wǎng)絡(luò)中斷或時斷時續(xù)，或數(shù)據(jù)丟失，造成正常PC無法收到信息。

（三）搶占資源

使用ARP欺騙技術(shù)將別人的網(wǎng)絡(luò)斷掉，搶占出口網(wǎng)絡(luò)帶寬，以方便自己快速下載。

四、ARP欺騙的解決方案

（一）靜態(tài)綁定

單純依靠IP地址或MAC地址來建立信任關(guān)系是不安全，必須建立在IP地址及MAC地址關(guān)聯(lián)基礎(chǔ)上。所以將IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做進(jìn)行IP和MAC綁定。欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)機(jī)器的欺騙，同時在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定。這樣每臺電腦都需綁定，且重啟后仍需綁定。

（二）采用ARP防火墻軟件

ARP防火墻軟件具有智能檢測和防御ARP欺騙的功能，ARP防火墻采用系統(tǒng)內(nèi)層攔截技術(shù)和主動防御技術(shù)，可解決大部分欺騙、ARP攻擊帶來的問題， 保障通訊數(shù)據(jù)不被惡意軟件監(jiān)聽和控制，保證網(wǎng)絡(luò)暢通。ARP防火墻軟件可以攔截接收到的虛假ARP數(shù)據(jù)包，保障本機(jī)ARP緩存表的正確性，攔截本機(jī)對外的ARP攻擊數(shù)據(jù)包，避免本機(jī)感染ARP病毒后成為攻擊源，攔截接收到的IP沖突數(shù)據(jù)包，避免本機(jī)因IP沖突造成掉線等。另外其可以主動向網(wǎng)關(guān)通告本機(jī)正確的MAC地址，保障網(wǎng)關(guān)不受ARP欺騙影響。

（三）利用交換機(jī)或路由器過濾

即進(jìn)行相關(guān)的配置，將IP地址與MAC地址綁定，啟用ARP檢查，以過濾偽造源MAC地址的ARP攻擊，使ARP欺騙攻擊的破壞性減到最小。

（四）主動查詢

在某個正常的時刻，做一個IP和MAC對應(yīng)的數(shù)據(jù)庫，以后定期檢查當(dāng)前的IP和MAC對應(yīng)關(guān)系是否正常。定期檢測交換機(jī)的流量列表，查看丟包率。

（五）部署網(wǎng)絡(luò)流量檢測設(shè)備，時刻監(jiān)視全網(wǎng)的ARP廣播包，查看其MAC地址是否正確。

另外，還可遵循以下方法以減少或避免ARP欺騙：（1）加強(qiáng)安全意識。安裝正版的殺毒軟件，并及時更新；不瀏覽缺乏可信度的網(wǎng)站；不輕易下載和安裝盜版的、不可信任的軟件或者程序；不隨便打開不明來歷的電子郵件，尤其是郵件附件；不隨便點(diǎn)擊打開QQ等聊天工具上發(fā)來的鏈接信息；使用360安全衛(wèi)士等工具軟件修復(fù)不安全的系統(tǒng)設(shè)置（2）及時使用工具軟件修補(bǔ)OS系統(tǒng)漏洞；（3）停止不必要的系統(tǒng)服務(wù)。

參考文獻(xiàn)

[1]葉成緒。校園網(wǎng)中基于ARP的欺騙及其預(yù)防， 青海大學(xué)學(xué)報（自然科學(xué)報） ， 2007 （3）

[2]曹洪武。ARP欺騙入侵的檢測與防范策略。塔里木大學(xué)學(xué)報， 2007 （2）.

[3]黃學(xué)林。ARP協(xié)議欺騙原理分析及防范措施。廣東科技，2007，（7）

[4]朱光迅。ARP欺騙原理及防護(hù)技術(shù)方案。韶關(guān)學(xué)院學(xué)報，2007，28（6）