圖書館局域網(wǎng)ＡＲＰ欺騙攻擊與安全防范

摘要：介紹了ARP的定義和工作原理，分析了ARP欺騙攻擊的過程和攻擊危害，最后給出了安全防范的措施。

關(guān)鍵詞：圖書館；局域網(wǎng)；ARP欺騙；安全防范

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)27-1953-02

Library Network ARP Spoofing Attacks and Security Precautions

ZHANG Hong-jing

(Nanjing College for Population Programme Management Library， Nanjing 210042，China)

Abstract:This article introduces the ARP definition and principle，analyzes the ARP spoofing attack process and the attack harm，gives the security precautions finally.

Key words: library; network; ARP spoofing; security precautions

近期，多數(shù)圖書館局域網(wǎng)遭受了一種叫磁碟機(jī)病毒的侵害。該病毒是近幾年以來發(fā)現(xiàn)的病毒技術(shù)含量最高、破壞性最強(qiáng)的病毒，其破壞能力、自我保護(hù)和反殺毒軟件能力均10倍于“熊貓燒香”。由于該病毒主要通過局域網(wǎng)ARP攻擊傳播，圖書館電子閱覽室局域網(wǎng)管理人員要對(duì)ARP欺騙攻擊給予高度重視。

1 ARP定義

ARP“Address Resolution Protocol”（地址解析協(xié)議），它是一個(gè)鏈路層協(xié)議，工作在OSI模型的第二層，在本層和硬件接口間進(jìn)行聯(lián)系，同時(shí)為上層（網(wǎng)絡(luò)層）提供服務(wù)。第二層網(wǎng)絡(luò)設(shè)備不能識(shí)別32位的IP地址，它們是以48位MAC地址傳輸數(shù)據(jù)的，ARP就是將網(wǎng)絡(luò)層IP地址轉(zhuǎn)換成數(shù)據(jù)鏈路層MAC地址的過程。ARP的功能分為兩部分：一部分在發(fā)送數(shù)據(jù)包時(shí)請(qǐng)求獲得目標(biāo)主機(jī)的物理地址；另一部分向請(qǐng)求物理地址的主機(jī)發(fā)送解析結(jié)果。

2 ARP工作原理

首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)（ARP Cache）中建立一個(gè)ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包發(fā)送給目標(biāo)主機(jī)時(shí)，會(huì)首先檢查自己ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址，如果有，就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包，查詢此目標(biāo)主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、MAC地址、以及目標(biāo)主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目標(biāo)IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將源主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址。源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目標(biāo)主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。

ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以大大減少緩存表的長度，加快查詢速度。

3 ARP欺騙攻擊

按照RFC的規(guī)定，主機(jī)在發(fā)ARP應(yīng)答時(shí)，不需要一定要收到ARP請(qǐng)求報(bào)文，局域網(wǎng)中任何一臺(tái)主機(jī)都可以向網(wǎng)絡(luò)中其他主機(jī)發(fā)送ARP應(yīng)答。 ARP欺騙攻擊的核心思想就是向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答，并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP地址與MAC地址之間的映射對(duì)，以此更新目標(biāo)主機(jī)ARP緩存。

ARP欺騙攻擊一般分為兩種，一種是攻擊者偽造網(wǎng)關(guān)欺騙目標(biāo)主機(jī)，一種是攻擊者偽造目標(biāo)主機(jī)欺騙網(wǎng)關(guān)。

第一種欺騙過程中，攻擊者在目標(biāo)主機(jī)和網(wǎng)關(guān)正常通信前，發(fā)送虛假的ARP報(bào)文，將自己的MAC地址或者一個(gè)虛假的MAC地址當(dāng)作網(wǎng)關(guān)MAC地址通告給目標(biāo)主機(jī)，目標(biāo)主機(jī)學(xué)習(xí)到虛假的網(wǎng)關(guān)MAC地址，從而無法和真實(shí)的網(wǎng)關(guān)進(jìn)行通信。

第二種欺騙過程中，攻擊者向網(wǎng)關(guān)發(fā)送大量虛假的ARP報(bào)文，通告目標(biāo)主機(jī)的MAC地址是自己的MAC地址或者一個(gè)虛假的MAC地址，并按照一定的頻率不斷進(jìn)行，使目標(biāo)主機(jī)真實(shí)的MAC地址無法通過更新保存在網(wǎng)關(guān)中，結(jié)果網(wǎng)關(guān)的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成目標(biāo)主機(jī)無法收到信息。

4 ARP欺騙攻擊危害

ARP欺騙攻擊的中毒癥狀表現(xiàn)為：使用局域網(wǎng)時(shí)網(wǎng)速變慢，會(huì)突然掉線，過一段時(shí)間后又會(huì)恢復(fù)正常， IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)是通過身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關(guān)），重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后，又可恢復(fù)上網(wǎng)。

ARP欺騙攻擊只需成功感染一臺(tái)計(jì)算機(jī)，就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，ARP病毒發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他讀者上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取讀者密碼，如盜取QQ號(hào)和密碼、電子郵件帳號(hào)和密碼、網(wǎng)上銀行賬號(hào)和密碼等，給讀者造成了很大的不便和巨大的經(jīng)濟(jì)損失。

5 ARP安全防范

1） 靜態(tài)綁定MAC地址。對(duì)于主機(jī)，使用arp命令靜態(tài)綁定網(wǎng)關(guān)MAC，格式如下：arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC。如果覺得每次手動(dòng)輸入比較復(fù)雜，可以編寫一個(gè)簡單的批處理文件，然后將它放在「開始」菜單\\程序\\啟動(dòng)中，讓它每次開機(jī)時(shí)自動(dòng)運(yùn)行。

對(duì)于網(wǎng)關(guān)，使用IP+MAC綁定模式，交換機(jī)啟用靜態(tài)ARP綁定功能，將讀者計(jì)算機(jī)的IP與MAC進(jìn)行靜態(tài)綁定，防止ARP欺騙發(fā)生。

2） 使用防ARP攻擊的軟件。可以下載和使用防ARP攻擊的軟件，如Anti ARP Sniffer、ARP衛(wèi)士或者ARP防火墻等。這種防范簡單高效易行。

3） 及時(shí)下載更新系統(tǒng)補(bǔ)丁程序，安裝有效的殺毒軟件，并及時(shí)升級(jí)病毒庫，使用U盤拷貝文件時(shí)，一定要先用殺毒軟件查殺后方可使用。

4） 增強(qiáng)讀者的網(wǎng)絡(luò)安全意識(shí)，建議讀者最好不要輕易下載、使用盜版和存在安全隱患的軟件，發(fā)現(xiàn)所訪問網(wǎng)頁內(nèi)容與自己要訪問的目標(biāo)不符時(shí)，千萬不要隨便去點(diǎn)擊，不要隨便打開來歷不明的郵件，尤其是郵件附件。

ARP欺騙攻擊利用的是ARP協(xié)議本身的缺陷，因此在圖書館局域網(wǎng)尤其是電子閱覽室中，經(jīng)常會(huì)出現(xiàn)磁碟機(jī)病毒之類的ARP病毒攻擊，嚴(yán)重影響讀者正常使用計(jì)算機(jī)，對(duì)于ARP欺騙攻擊，目前還無法徹底控制這種攻擊，管理人員只有切實(shí)做好安全防范工作，使ARP欺騙攻擊造成的影響降到最小。

參考文獻(xiàn)：

[1] 鄭先偉.磁碟機(jī)使校園網(wǎng)再次遭受ARP欺騙攻擊[J].中國教育網(wǎng)絡(luò)，2008(4):34-34.

[2] 陳偉斌，薛芳，任勤生.ARP欺騙攻擊的整網(wǎng)解決方案研究[J].廈門大學(xué)學(xué)報(bào)（自然科學(xué)版），2007，46(s2):100-103.

[3] 任俠，呂述望.ARP協(xié)議欺騙原理分析與抵御方法[J].計(jì)算機(jī)工程，2003，29(9):127-128.