馬玉磊

摘 要：在我們使用局域網(wǎng)時(shí)可能會突然掉線，過一段時(shí)間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。那么是什么問題導(dǎo)致的呢？

關(guān)鍵詞：ARP欺騙；網(wǎng)關(guān)；計(jì)算機(jī)；局域網(wǎng)；斷網(wǎng)

其實(shí)，此伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。ARP欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營的罪魁禍?zhǔn)?，是網(wǎng)吧老板和網(wǎng)管員的心腹大患。一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時(shí)，認(rèn)為PC沒有問題，交換機(jī)沒掉線的“本事”，電信也不承認(rèn)寬帶故障。這一切的一切其實(shí)都是ARP惹的禍。那么什么是ARP欺騙呢？它又是如何實(shí)現(xiàn)這一破壞呢？下面我們從幾個(gè)方面來開始研究：

第一、什么是ARP？ARP（Address Resolution Protocol），即地址解析協(xié)議，是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的ARP請求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時(shí)間，下次請求時(shí)直接查詢ARP緩存。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個(gè)主機(jī)互相信任的基礎(chǔ)上的，網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息，其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會檢測該報(bào)文的真實(shí)性就會將其記入本機(jī)ARP緩存；由此攻擊者就可以向某一主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文，使其發(fā)送的信息無法到達(dá)預(yù)期的主機(jī)或到達(dá)錯(cuò)誤的主機(jī)，這就構(gòu)成了一個(gè)ARP欺騙。ARP命令可用于查詢本機(jī)ARP緩存中IP地址和MAC地址的對應(yīng)關(guān)系、添加或刪除靜態(tài)對應(yīng)關(guān)系等。相關(guān)協(xié)議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協(xié)議。

第二、ARP欺騙是如何工作的？以主機(jī)A（192.168.1.2）向主機(jī)B（192.168.1.1）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到目標(biāo)IP地址，主機(jī)A就會在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，A主機(jī)MAC地址是“主機(jī)A的MAC地址”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“我是192.168.1.2，我的硬件地址是"主機(jī)A的MAC地址".請問IP地址為192.168.1.1的MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)A和B還同時(shí)都更新了自己的ARP緩存表（因?yàn)锳在詢問的時(shí)候把自己的IP和MAC地址一起告訴了B），下次A再向主機(jī)B或者B向A發(fā)送信息時(shí)，直接從各自的ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制（即設(shè)置了生存時(shí)間TTL），在一段時(shí)間內(nèi)（一般15到20分鐘）如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個(gè)人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。 而且如果第一種ARP欺騙發(fā)生時(shí)，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。作為網(wǎng)吧路由器的廠家，對防范ARP欺騙不得已做了不少份內(nèi)、份外的工作。

第三、如何防范ARP欺騙？目前對于ARP攻擊防護(hù)問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護(hù)軟件，也出現(xiàn)了具有ARP防護(hù)功能的路由器。下面來了解以下三種方法：靜態(tài)綁定、ARP防護(hù)軟件和具有ARP防護(hù)功能的路由器。

1、靜態(tài)綁定。最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。 欺騙是通過ARP的動態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險(xiǎn)。

方法： 對每臺主機(jī)進(jìn)行IP和MAC地址靜態(tài)綁定。 通過命令，arp -s可以實(shí)現(xiàn) “arp –s IP MAC地址 ”。 例如：“arp –s 192.168.1.1 AA-AA-AA-AA-AA-AA”。 如果設(shè)置成功會在PC上面通過執(zhí)行 arp -a 可以看到相關(guān)的提示： Internet Address Physical Address Type

192.168.1.1 AA-AA-AA-AA-AA-AA static（靜態(tài)） 。一般不綁定，在動態(tài)的情況下：Internet Address Physical Address Type 192.168.1.1 AA-AA-AA-AA-AA-AA dynamic（動態(tài)）

說明：對于網(wǎng)絡(luò)中有很多主機(jī)，500臺，1000臺，如果我們這樣每一臺都去做靜態(tài)綁定，工作量是非常大的。，這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個(gè)批處理文件，但是還是比較麻煩的！

2、使用ARP防護(hù)軟件。目前關(guān)于ARP類的防護(hù)軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護(hù)的工作原理是一定頻率向網(wǎng)絡(luò)廣播正確的ARP信息。

3、購買一個(gè)具有ARP防護(hù)功能的路由器，是不錯(cuò)的方法，但是此方法代價(jià)比較高，需要花費(fèi)金錢去買的。對于一個(gè)普通用戶來講，是沒有必要的。所以一般情況下，上述兩種方法是采用較多的。

第四、最后再來掌握一些預(yù)防措施。1、減少過期時(shí)間 #ndd –set /dev/arp arp_cleanup_interval 60000 #ndd -set /dev/ip ip_ire_flush_interval 60000 60000=60000毫秒 默認(rèn)是300000 加快過期時(shí)間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網(wǎng)絡(luò)中會大量的出現(xiàn)ARP請求和回復(fù)，請不要在繁忙的網(wǎng)絡(luò)上使用。2、建立靜態(tài)ARP表這是一種很有效的方法，而且對系統(tǒng)影響不大。缺點(diǎn)是破壞了動態(tài)ARP協(xié)議。可以建立如下的文件。test.nsfocus.com 08：00：20：ba：a1：f2 user. nsfocus.com 08：00：20：ee：de：1f 使用arp –f filename加載進(jìn)去，這樣的ARP映射將不會過期和被新的ARP數(shù)據(jù)刷新，除非使用arp –d才能刪除。但是一旦合法主機(jī)的網(wǎng)卡硬件地址改變，就必須手工刷新這個(gè)arp文件。這個(gè)方法，不適合于經(jīng)常變動的網(wǎng)絡(luò)環(huán)境。3、禁止ARP，可以通過ipconfig interface –arp 完全禁止ARP，這樣，網(wǎng)卡不會發(fā)送ARP和接受ARP包。但是使用前提是使用靜態(tài)的ARP表，如果不在ARP表中的計(jì)算機(jī)將不能通信。這個(gè)方法不適用與大多數(shù)網(wǎng)絡(luò)環(huán)境，因?yàn)檫@增加了網(wǎng)絡(luò)管理的成本。但是對小規(guī)模的安全網(wǎng)絡(luò)來說，還是有效可行的。

參考文獻(xiàn)

[1] 單國杰. 基于ARP欺騙攻擊的防御策略研究[D]. 山東師范大學(xué) 2011

[2] 朱澤波. ARP防攻擊技術(shù)的研究與實(shí)現(xiàn)[D]. 南京理工大學(xué) 2013

[3] 王力. 基于WinPcap的ARP欺騙實(shí)時(shí)檢測與恢復(fù)[D]. 武漢工業(yè)學(xué)院 2012

[4] 龔?fù)ラ? 關(guān)于網(wǎng)絡(luò)欺騙攻擊實(shí)現(xiàn)和防范的研究[D]. 南京郵電大學(xué) 2012