高校公共機(jī)房ＡＲＰ雙向綁定的設(shè)計(jì)及實(shí)現(xiàn)

摘要：該文從ARP協(xié)議基本原理談起，闡述了ARP欺騙的產(chǎn)生原因和欺騙的手段，并據(jù)此提出了ARP雙向綁定的思路，并給出了實(shí)際的解決方案。

關(guān)鍵詞：ARP協(xié)議；ARP緩存；雙向綁定

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)32-1240-02

The Design and Implement of ARP Two-way Binding in College Computer Room

ZHANG Yu-rong1， CHANG Zhen-dong2

(1.Modern Education Center of Shijiazhuang University of Economics，Shijiazhuang 050031，China);2.HeBei Vocational Art College， Shijiazhuang 050031，China)

Abstract: The author first talks about the fundamentals of ARP agreement and then elaborates on how ARP deception comes into being and by means of which it deceives people. After that she proposes the two-way binding approach and puts forward the solution to this problem.

Key words: ARP agreement; ARP cache;ARP deception; two-way binding

近一段時(shí)間來一種基于“地址解析協(xié)議欺騙”（簡稱：ARP欺騙）的惡意木馬程序開始在互聯(lián)網(wǎng)上大肆傳播，嚴(yán)重影響了局域網(wǎng)用戶的正常網(wǎng)絡(luò)使用。下面我們將從ARP病毒的基本原理入手介紹如何在局域網(wǎng)中對(duì)網(wǎng)關(guān)和用戶計(jì)算機(jī)實(shí)施ARP雙向綁定以達(dá)到防治ARP病毒的目的。

1 ARP協(xié)議簡介

我們大家都知道，在局域網(wǎng)中，一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行通信，必須要知道目標(biāo)主機(jī)的IP地址，但是最終負(fù)責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識(shí)別IP地址的，只能識(shí)別其硬件地址即MAC地址。MAC地址是48位的，通常表示為12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用“-”或者冒號(hào)隔開，如：00-0B-2F-13-1A-11就是一個(gè)MAC地址。每一塊網(wǎng)卡都有其全球唯一的MAC地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對(duì)方網(wǎng)卡的MAC地址進(jìn)行發(fā)送，這時(shí)就需要一個(gè)將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議，而這個(gè)重要的任務(wù)將由ARP協(xié)議完成。

ARP全稱為Address Resolution Protocol，地址解析協(xié)議。所謂“地址解析”就是主機(jī)在發(fā)送數(shù)據(jù)包前將目標(biāo)主機(jī)IP地址轉(zhuǎn)換成目標(biāo)主機(jī)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。 這時(shí)就涉及到一個(gè)問題，一個(gè)局域網(wǎng)中的電腦少則幾臺(tái)，多則上百臺(tái)，這么多的電腦之間，如何能準(zhǔn)確的記住對(duì)方電腦網(wǎng)卡的MAC地址，以便數(shù)據(jù)的發(fā)送呢？這就涉及到了另外一個(gè)概念，ARP緩存表。在局域網(wǎng)的任何一臺(tái)主機(jī)中，都有一個(gè)ARP緩存表，該表中保存著網(wǎng)絡(luò)中各個(gè)電腦的IP地址和MAC地址的對(duì)照關(guān)系。當(dāng)這臺(tái)主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時(shí)候，會(huì)根據(jù)ARP緩存表里的對(duì)應(yīng)關(guān)系進(jìn)行發(fā)送。

下面，我們用一個(gè)模擬的局域網(wǎng)環(huán)境，來說明ARP欺騙的過程。

2 ARP欺騙過程

假設(shè)一個(gè)只有三臺(tái)電腦組成的局域網(wǎng)，該局域網(wǎng)由交換機(jī)(Switch)連接。其中一臺(tái)電腦名叫A，代表攻擊方；一臺(tái)電腦叫S，代表源主機(jī)，即發(fā)送數(shù)據(jù)的電腦；一臺(tái)電腦名叫D，代表目的主機(jī)，即接收數(shù)據(jù)的電腦。這三臺(tái)電腦的IP地址分別為192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分別為MAC_A，MAC_S，MAC_D。其網(wǎng)絡(luò)拓?fù)洵h(huán)境如圖1。

現(xiàn)在，S電腦要給D電腦發(fā)送數(shù)據(jù)了，在S電腦內(nèi)部，上層的TCP和UDP的數(shù)據(jù)包已經(jīng)傳送到了最底層的網(wǎng)絡(luò)接口層，數(shù)據(jù)包即將要發(fā)送出去，但這時(shí)還不知道目的主機(jī)D電腦的MAC地址MAC_D。這時(shí)候，S電腦要先查詢自身的ARP緩存表，查看里面是否有192.168.0.4這臺(tái)電腦的MAC地址，如果有，那很好辦，就將其封裝在數(shù)據(jù)包的外面。直接發(fā)送出去即可。如果沒有，這時(shí)S電腦要向全網(wǎng)絡(luò)發(fā)送一個(gè)ARP廣播包，大聲詢問：“我的IP是192.168.0.3，硬件地址是MAC_S，我想知道IP地址為192.168.0.4的主機(jī)的硬件地址是多少？” 這時(shí)，全網(wǎng)絡(luò)的電腦都收到該ARP廣播包了，包括A電腦和D電腦。A電腦一看其要查詢的IP地址不是自己的，就將該數(shù)據(jù)包丟棄不予理會(huì)。而D電腦一看IP地址是自己的，則回答S電腦：“我的IP地址是192.168.0.4，我的硬件地址是MAC_D”需要注意的是，這條信息是單獨(dú)回答的，即D電腦單獨(dú)向S電腦發(fā)送的，并非剛才的廣播。現(xiàn)在S電腦已經(jīng)知道目的電腦D的MAC地址了，它可以將要發(fā)送的數(shù)據(jù)包上貼上目的地址MAC_D，發(fā)送出去了。同時(shí)它還會(huì)動(dòng)態(tài)更新自身的ARP緩存表，將192.168.0.4－MAC_D這一條記錄添加進(jìn)去，這樣，等S電腦下次再給D電腦發(fā)送數(shù)據(jù)的時(shí)候，就不用大聲詢問發(fā)送ARP廣播包了。這就是正常情況下的數(shù)據(jù)包發(fā)送過程。這樣的機(jī)制看上去很完美，似乎整個(gè)局域網(wǎng)也天下太平，相安無事。但是，上述數(shù)據(jù)發(fā)送機(jī)制有一個(gè)致命的缺陷，即它是建立在對(duì)局域網(wǎng)中電腦全部信任的基礎(chǔ)上的，也就是說它的假設(shè)前提是：無論局域網(wǎng)中哪臺(tái)電腦，其發(fā)送的ARP數(shù)據(jù)包都是正確的。那么這樣就很危險(xiǎn)了！因?yàn)榫钟蚓W(wǎng)中并非所有的電腦都安分守己，往往有非法者的存在。比如在上述數(shù)據(jù)發(fā)送中，當(dāng)S電腦向全網(wǎng)詢問“我想知道IP地址為192.168.0.4的主機(jī)的硬件地址是多少？”后，D電腦也回應(yīng)了自己的正確MAC地址。但是當(dāng)此時(shí)，一向沉默寡言的A電腦也回話了：“我的IP地址是192.168.0.4，我的硬件地址是MAC_A” ，注意，此時(shí)它竟然冒充自己是D電腦的IP地址，而MAC地址竟然寫成自己的！由于A電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包，本來S電腦的ARP緩存表中已經(jīng)保存了正確的記錄：192.168.0.4－MAC_D，但是由于A電腦的不停應(yīng)答，這時(shí)S電腦并不知道A電腦發(fā)送的數(shù)據(jù)包是偽造的，導(dǎo)致S電腦又重新動(dòng)態(tài)更新自身的ARP緩存表，這回記錄成：192.168.0.4－MAC_A，很顯然，這是一個(gè)錯(cuò)誤的記錄（這步也叫ARP緩存表中毒），這樣就導(dǎo)致以后凡是S電腦要發(fā)送給D電腦，也就是IP地址為192.168.0.4這臺(tái)主機(jī)的數(shù)據(jù)，都將會(huì)發(fā)送給MAC地址為MAC_A的主機(jī)，這樣，在光天化日之下，A電腦竟然劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)！這就是ARP欺騙的過程。

3 ARP雙向綁定

了解了問題產(chǎn)生的原因，我們就需要采取相應(yīng)的對(duì)策。通過剛才的分析用一句話來概括ARP欺騙的本質(zhì)就是“錯(cuò)誤的ARP數(shù)據(jù)占據(jù)了ARP緩存從而造成正確的ARP數(shù)據(jù)被溢出了”。解決此問題的方法就是對(duì)ARP表實(shí)施靜態(tài)綁定，以剛才發(fā)生ARP欺騙的例子為例， 將S電腦中的對(duì)應(yīng)D電腦的ARP數(shù)據(jù)進(jìn)行靜態(tài)綁定，在命令提示符下輸入：

ARP192.168.0.4MAC_D –S

這樣便對(duì)S主機(jī)中D的ARP信息進(jìn)行了綁定，S主機(jī)便不會(huì)響應(yīng)其它關(guān)于D主機(jī)的ARP請(qǐng)求包了。這樣做看似完美了么？其實(shí)不然，實(shí)際的ARP欺騙大多發(fā)生在網(wǎng)關(guān)上，即對(duì)網(wǎng)關(guān)的ARP緩存進(jìn)行欺騙，修改網(wǎng)關(guān)的ARP緩存表將局域網(wǎng)內(nèi)各個(gè)主機(jī)的MAC地址改為病毒主機(jī)的MAC地址，這樣各主機(jī)雖然都能夠?qū)?shù)據(jù)成功的發(fā)送到網(wǎng)關(guān)，但是從網(wǎng)關(guān)返回的數(shù)據(jù)卻都發(fā)送到了病毒主機(jī)上。可見要想從根本解決ARP問題，必須對(duì)局域網(wǎng)中的主機(jī)和網(wǎng)關(guān)實(shí)施雙向綁定。據(jù)此筆者編寫了一個(gè)雙向綁定的批處理供大家參考。

@echo off

:::::::::::::清除所有的ARP緩存

arp -d

:::::::::::::讀取本地連接配置

ipconfig /all>ipconfig.txt

:::::::::::::讀取內(nèi)網(wǎng)網(wǎng)關(guān)的IP

for /f \"tokens=13\" %%I in (’find \"Default Gateway\" ipconfig.txt’) do set GatewayIP=%%I

:::::::::::::PING三次內(nèi)網(wǎng)網(wǎng)關(guān)

ping %GatewayIP% -n 3

:::::::::::::讀取與網(wǎng)關(guān)arp緩存

arp -a|find \"%GatewayIP%\">arp.txt

:::::::::::::讀取網(wǎng)關(guān)MAC并綁定

for /f \"tokens=1，2\" %%I in (’find \"%GatewayIP%\" arp.txt’) do if %%I==%GatewayIP% arp -s %%I %%J

:::::::::::::讀取本機(jī)的 IP+MAC

for /f \"tokens=15\" %%i in (’find \"IP Address\" ipconfig.txt’) do set ip=%%i

for /f \"tokens=12\" %%i in (’find \"Physical Address\" ipconfig.txt’) do set mac=%%i

:::::::::::::綁定本機(jī)的 IP+MAC

arp -s %ip% %mac%

:::::::::::::刪除所有的臨時(shí)文件

del ipconfig.txt

del arp.txt

exit

此批處理可配合路由器對(duì)客戶機(jī)實(shí)現(xiàn)雙向綁定。

ARP雙向綁定在一定程度上緩解了局域網(wǎng)遭受ARP攻擊的風(fēng)險(xiǎn)，但是在某些情況下雙向綁定還是顯得無能為力，例如局域網(wǎng)中的機(jī)器情況不固定，這樣就無法對(duì)網(wǎng)關(guān)的ARP表進(jìn)行綁定。所以要從根本上解決ARP欺騙的問題，還值得我們做更進(jìn)一步的研究和思考。