ARP欺騙攻擊防控方法的研究

劉昌烜

【摘要】本文在對(duì)ARP欺騙攻擊防控方法分析研究中，對(duì)局域網(wǎng)在運(yùn)行過(guò)程中存在的安全問(wèn)題作為研究基礎(chǔ)，了解ARP協(xié)議存在的不足，同時(shí)為計(jì)算機(jī)系統(tǒng)帶來(lái)的安全隱患，進(jìn)而對(duì)ARP欺騙攻擊防控方法進(jìn)行詳細(xì)闡述。筆者在分析研究之后發(fā)現(xiàn)，不同類(lèi)別ARP欺騙攻擊防控方法都具有不同特征，局域網(wǎng)在實(shí)際應(yīng)用過(guò)程中可以按照實(shí)際應(yīng)用情況進(jìn)行結(jié)合。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；ARP欺騙攻擊；防控方法

在傳統(tǒng)網(wǎng)絡(luò)安全內(nèi)，主要對(duì)外網(wǎng)對(duì)局域網(wǎng)所造成的攻擊進(jìn)行分析研究，所采取的網(wǎng)絡(luò)安全技術(shù)主要針對(duì)外網(wǎng)攻擊進(jìn)行設(shè)計(jì)，例如防火墻、入侵檢測(cè)系統(tǒng)等。內(nèi)部攻擊主要表示由內(nèi)部人員引起，對(duì)系統(tǒng)所造成的不良影響。研究人員在研究之后認(rèn)為，在已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事故內(nèi)，大部分網(wǎng)絡(luò)安全事故全部屬于內(nèi)網(wǎng)。在A(yíng)RP欺騙攻擊防控方法內(nèi)，ARP是主要遭受到的安全威脅。

1 ARP欺騙攻擊

1.1 ARP工作原理

兩個(gè)主機(jī)在進(jìn)行傳輸過(guò)程中，需要通過(guò)網(wǎng)卡內(nèi)物理地址落實(shí)，ARP在實(shí)際應(yīng)用過(guò)程中主要功能就是對(duì)主機(jī)地址進(jìn)行了解，了解對(duì)應(yīng)主機(jī)地址，進(jìn)而保證兩臺(tái)主機(jī)之間能夠順利通信。

主機(jī)在發(fā)出數(shù)據(jù)包之前，主機(jī)會(huì)按照網(wǎng)段廣播申請(qǐng)ARP，對(duì)目的主機(jī)進(jìn)行查詢(xún)，物理網(wǎng)絡(luò)內(nèi)主機(jī)在接受到這ARP請(qǐng)求之后，需要對(duì)數(shù)據(jù)包內(nèi)地址進(jìn)行對(duì)比，保證IP地址相一致，要是數(shù)據(jù)包存在差別，就可以忽略不計(jì)。要是IP地址相同，主機(jī)就會(huì)將ARP數(shù)據(jù)包回傳到主機(jī)內(nèi)。主機(jī)在接受到ARP數(shù)據(jù)包之后，主機(jī)地址和針對(duì)地址都存儲(chǔ)到針對(duì)緩存列表內(nèi)，并且借助物理通道對(duì)信息進(jìn)行傳輸。

1.2 ARP欺騙攻擊類(lèi)型

ARP協(xié)議是建設(shè)在局域網(wǎng)結(jié)點(diǎn)上面，在實(shí)際應(yīng)用過(guò)程中具有較高運(yùn)行效率，但是運(yùn)行安全系數(shù)卻較低。主機(jī)在接受到目標(biāo)之后，ARP協(xié)議會(huì)接受針對(duì)主機(jī)內(nèi)容，對(duì)目標(biāo)內(nèi)容進(jìn)行儲(chǔ)存，但是并不需要對(duì)主機(jī)ARP請(qǐng)求包進(jìn)行檢驗(yàn)，同時(shí)也不會(huì)判斷應(yīng)打包是都合理。在這種情況下，ARP非常容易造成攻擊，攻擊者可以借助ARP存在的安全漏洞，傳播虛假信息，對(duì)主機(jī)之間的通信造成不良影響。從網(wǎng)絡(luò)連接通暢方式而言，ARP欺騙攻擊主要可以分為三種類(lèi)別，分別為內(nèi)網(wǎng)主機(jī)欺騙、ARP表格欺騙及中間人攻擊。

2 ARP欺騙攻擊防控方法

2.1 IP靜態(tài)綁定

IP靜態(tài)綁定是以靜態(tài)ARP表作為基礎(chǔ)原理，將Mac地址和ARP地址進(jìn)行綁定，非法攻擊者在向主機(jī)傳輸非法地址情況下，ARP就會(huì)申請(qǐng)針對(duì)性數(shù)據(jù)包，主機(jī)并不會(huì)發(fā)現(xiàn)自身所儲(chǔ)存的ARP緩存表存在錯(cuò)誤。IP靜態(tài)綁定實(shí)現(xiàn)方法步驟為：（1）按照主機(jī)所應(yīng)用指令，對(duì)命令進(jìn)行針對(duì)性傳輸，主要是對(duì)IP地址及Mac地址進(jìn)行傳輸；（2）以?xún)?nèi)網(wǎng)交換機(jī)端口作為基礎(chǔ)條件，對(duì)Mac地址和IP地址在主機(jī)上合法綁定。IP靜態(tài)綁定方法在實(shí)際應(yīng)用過(guò)程中，主要在機(jī)器數(shù)量較少及較為固定地點(diǎn)上應(yīng)用，例如學(xué)校機(jī)房等地點(diǎn)，并不適合在大型局域網(wǎng)上面應(yīng)用。主要原因是由于IP靜態(tài)綁定方法在應(yīng)用過(guò)程中需要配置任務(wù)作為保證，工作數(shù)量及難度較高。

2.2劃分安全域

ARP遭受到局域網(wǎng)攻擊過(guò)程中，其中主機(jī)在遭受到ARP病毒感染情況下，整個(gè)局域網(wǎng)都會(huì)遭受到病毒影響。因此，局域網(wǎng)覆蓋范圍月越廣，病毒所造成的不良影響將會(huì)越加嚴(yán)重。在內(nèi)部網(wǎng)絡(luò)環(huán)境內(nèi)，可以借助VLAN對(duì)局域網(wǎng)進(jìn)行劃分，也就是將ARP欺騙攻擊控制在合理范圍。劃分安全域在實(shí)際應(yīng)用過(guò)程中能夠有效緩解ARP攻擊，對(duì)ARP攻擊傳播范圍進(jìn)行控制。但是劃分安全域在應(yīng)用過(guò)程中也存在一定缺點(diǎn)，也就是安全域劃分要是過(guò)細(xì)，就會(huì)造成局域網(wǎng)資源共享難度較高，局域網(wǎng)管理難度顯著提高。

2.3 s-arp

s-arp是以ARP協(xié)議作為基礎(chǔ)，所形成的協(xié)議，同時(shí)和ARP協(xié)議之間具有良好兼容性，借助非對(duì)稱(chēng)加密機(jī)制，對(duì)ARP數(shù)據(jù)包完整性和精確性進(jìn)行保證，有效填補(bǔ)原有ARP協(xié)議存在的缺陷，進(jìn)而對(duì)ARP攻擊有效防范。局域網(wǎng)內(nèi)s-arp協(xié)議，主機(jī)上都具有針對(duì)性密鑰及證書(shū)，每一個(gè)證書(shū)上都具有Mac地址及IP地質(zhì)，并且主機(jī)上都具有簽名信息。不同主機(jī)在通信傳輸過(guò)程中，主機(jī)需要對(duì)傳輸?shù)腗ac地址及IP地質(zhì)信息進(jìn)行驗(yàn)證，保證用戶(hù)身份合理性，因此非法攻擊者無(wú)法通過(guò)竊取信息應(yīng)打包進(jìn)行檢驗(yàn)。S-arp協(xié)議有效階級(jí)了傳統(tǒng)ARP協(xié)議存在的問(wèn)題，但是現(xiàn)階段僅僅能夠在linux系統(tǒng)內(nèi)應(yīng)用，無(wú)法在windows系統(tǒng)內(nèi)應(yīng)用。S-arp協(xié)議在今后分析研究中，在windows平臺(tái)上應(yīng)用進(jìn)行分析研究。這幾種ARP欺騙攻擊防控方法在應(yīng)用過(guò)程中存在不同優(yōu)勢(shì)，進(jìn)而局域網(wǎng)管理人員在對(duì)其選擇中，需要按照局域網(wǎng)實(shí)際需求，選擇適合自身應(yīng)用的ARP欺騙攻擊防控方法，保證局域網(wǎng)并不遭受到ARP欺騙攻擊。

結(jié)論

本文主要以局域網(wǎng)ARP工作原理進(jìn)行分析研究，了解ARP欺騙攻擊防控類(lèi)別，并且對(duì)不同ARP欺騙攻擊防控方法進(jìn)行了解。簡(jiǎn)而言之，在局域網(wǎng)內(nèi)，攻擊者在不了解局域網(wǎng)操作系統(tǒng)及應(yīng)用軟件情況下，僅僅利用ARP協(xié)議存在的漏洞，可以對(duì)局域網(wǎng)網(wǎng)絡(luò)內(nèi)攻擊進(jìn)行了解，提高主機(jī)信息利用效率。所以，提高網(wǎng)絡(luò)邊界防護(hù)的情況下，也需要提高對(duì)局域網(wǎng)內(nèi)部防護(hù)關(guān)注程度。

參考文獻(xiàn)

[1]邢金閣，劉揚(yáng).ARP欺騙攻擊的檢測(cè)及防御技術(shù)研究[J].東北農(nóng)業(yè)大學(xué)學(xué)報(bào)，2012，08：74-77.

[2]宋玉芹.基于WINPCAP實(shí)現(xiàn)ARP欺騙攻擊[J].吉林省教育學(xué)院學(xué)報(bào)，2011，09：150-152.

[3]王紹龍，王劍，馮超.ARP欺騙攻擊的取證和防御方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，10：27-28.