周衛(wèi)紅

摘 要 近年來對局域網(wǎng)造成巨大安全威脅的主要因素就是ARP欺騙，本文分析了ARP協(xié)議的工作原理以及ARP欺騙原理，并在此基礎(chǔ)上，通過對ARP協(xié)議分析及ARP欺騙分析，提出了幾種快速、有效防范ARP欺騙的措施以及技術(shù)實現(xiàn)要點。

關(guān)鍵詞 局域網(wǎng) ARP協(xié)議 ARP欺騙 防范措施

中圖分類號：TP393 文獻標識碼：A

本文主要介紹、分析了ARP欺騙的基本原理，討論了由此引發(fā)的網(wǎng)絡(luò)安全問題，提出了切實可行的解決問題的思路。

1 ARP的相關(guān)知識

1.1 ARP協(xié)議的工作原理

ARP協(xié)議工作在TCP/IP協(xié)議的網(wǎng)絡(luò)互聯(lián)層，每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP高速緩存，里面存放計算機目前知道的局域網(wǎng)上各主機和路由器的IP地址到MAC地址的映射表，每個IP地址和MAC地址是一一對應(yīng)的。ARP緩存表可以查看、添加和修改，在Windows操作系統(tǒng)命令行窗口下，輸入“arp-a”就可以查看。用“arp-d”命令可以刪除ARP表中某一行的內(nèi)容；用“arp-s”可以手動在ARP表中指定IP地址與MAC地址的對應(yīng)。

1.2 ARP協(xié)議存在的設(shè)計缺陷

ARP協(xié)議不可避免的存在著設(shè)計缺陷，其缺陷表現(xiàn)在以下方面：

（1）主機ARP高速緩存依據(jù)接收到的ARP協(xié)議包進行動態(tài)更新。因此正常的主機間MAC地址刷新都是有時限的，假冒者正是利用更新數(shù)據(jù)前的時段成功地修改被攻擊機器上的地址緩存進行假冒或拒絕服務(wù)攻擊。

（2）ARP協(xié)議沒有連接的概念，局域網(wǎng)內(nèi)的任意主機在沒有ARP請求時也可以做出應(yīng)答。許多系統(tǒng)都會接受未請求的ARP響應(yīng)，并用虛假信息篡改其緩存，這是ARP協(xié)議的一大安全隱患。

（3）ARP協(xié)議沒有認證機制，只要接收到的協(xié)議包是有效的，主機就無條件的根據(jù)協(xié)議包的內(nèi)容自動更新本機ARP緩存，并不檢查該協(xié)議包的合法性，這種對局域網(wǎng)內(nèi)主機完全信任的策略，給局域網(wǎng)的安全埋下隱患。

1.3 感染ARP病毒網(wǎng)絡(luò)癥狀

在局域網(wǎng)內(nèi)，攻擊源主機不斷發(fā)送ARP欺騙報文，會使其他主機上網(wǎng)斷斷續(xù)續(xù)，嚴重時將致使整個網(wǎng)絡(luò)陷于癱瘓。

2 常見ARP欺騙形式

（1）一般冒充欺騙

這是一種比較常見的攻擊，通過發(fā)送偽造的ARP包來實施欺騙根據(jù)欺騙者實施欺騙時所處的立場，可分為三種情況：冒充網(wǎng)關(guān)欺騙主機、冒充主機欺騙網(wǎng)關(guān)、冒充主機欺騙其他主機。在冒充網(wǎng)關(guān)欺騙中，欺騙者定時且頻繁的對本網(wǎng)發(fā)送ARP廣播，告訴所有網(wǎng)絡(luò)成員自己就是網(wǎng)關(guān)，或者以網(wǎng)關(guān)身份偽造虛假的ARP回應(yīng)報文，欺騙局域網(wǎng)內(nèi)的其他主機，這樣子網(wǎng)內(nèi)流向外網(wǎng)的數(shù)據(jù)就可以被攻擊者截取；冒充主機欺騙網(wǎng)關(guān)的過程跟冒充網(wǎng)關(guān)的過程相反，欺騙者總是通過虛假報文告訴網(wǎng)關(guān)，自己就是目標主機，從而使網(wǎng)關(guān)向用戶發(fā)送的數(shù)據(jù)被攻擊者截?。幻俺渲鳈C欺騙其他主機則是同一網(wǎng)內(nèi)設(shè)備間的欺騙，攻擊者以正常用戶的身份偽造虛假ARP回應(yīng)報文，欺騙其他主機，結(jié)果是其他用戶向該用戶發(fā)送的數(shù)據(jù)全部被攻擊者截獲。

（2）虛構(gòu)MAC地址欺騙

這種攻擊也是攻擊者以正常用戶身份偽造虛假的ARP回應(yīng)報文，欺騙網(wǎng)關(guān)。但是，和上述一般冒充欺騙不同的是，此時攻擊者提供給網(wǎng)關(guān)的MAC地址根本不存在，不是攻擊者自己的MAC地址，這樣網(wǎng)關(guān)發(fā)給該用戶的數(shù)據(jù)全部被發(fā)往一個不存在的地方。

（3）ARP泛洪

這是一種比較危險的攻擊，攻擊者偽造大量虛假源MAC和源IP信息報文，向局域網(wǎng)內(nèi)所有主機和網(wǎng)關(guān)進行廣播，目的就是令局域網(wǎng)內(nèi)部的主機或網(wǎng)關(guān)找不到正確的通信對象，甚至直接用虛假地址信息占滿網(wǎng)關(guān)ARP緩存空間，造成用戶無法正常上網(wǎng)。同時網(wǎng)絡(luò)設(shè)備CPU居高不下，緩存空間被大量占用。由于影響到了網(wǎng)絡(luò)設(shè)備，攻擊者自己上網(wǎng)的效率也很低，這是一種典型的損人不利己行為。

3 ARP欺騙鑒定方法

（1）檢查內(nèi)網(wǎng)

感染“ARP欺騙”木馬病毒的計算機在“命令提示符”下輸入并執(zhí)行“ipconfig”命令，記錄網(wǎng)關(guān)IP地址，即“Default Gateway”對應(yīng)的值，例如“192.168.18.1”。然后執(zhí)行“arp-a”命令查看自己網(wǎng)關(guān)MAC地址，如若變成和內(nèi)網(wǎng)一機器MAC地址相同，可據(jù)此斷定內(nèi)網(wǎng)有機器中了ARP網(wǎng)關(guān)欺騙型病毒。本操作前提是知道網(wǎng)關(guān)的正確MAC地址，可在正常上網(wǎng)主機上，使用“arp-a”命令查看網(wǎng)關(guān)MAC地址，通過對比查看網(wǎng)關(guān)MAC地址是否被修改。

（2）查看ARP表

用三層設(shè)備接入局域網(wǎng)的單位，網(wǎng)管可以檢查其三層設(shè)備上的ARP表。如果有多個IP對應(yīng)同一個MAC，則此MAC對應(yīng)的計算機很可能中了木馬病毒?？赏ㄟ^下連二層交換機的轉(zhuǎn)發(fā)表查到此MAC對應(yīng)的交換機端口，從而定位有問題的計算機。

4 ARP欺騙的防范措施

（1）系統(tǒng)補丁升級

全網(wǎng)所有的電腦都打上微軟ARP官方補丁，這樣可以免疫絕大多數(shù)網(wǎng)頁木馬，防止在瀏覽網(wǎng)頁的時候感染病毒。

（2）禁用系統(tǒng)的自動播放功能

防止病毒從U盤、移動硬盤、MP3等移動存儲設(shè)備進入計算機。禁用Windows系統(tǒng)的自動播放功能：在運行中輸入gpedit.msc后回車，打開組策略編輯器，依次點擊：計算機配置->管理模板->系統(tǒng)->關(guān)閉自動播放->已啟用->所有驅(qū)動器->確定。

（3）靜態(tài)綁定

最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)機器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙，同時在網(wǎng)關(guān)也要進行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險。