談談ＡＲＰ攻擊原理和解決方法

前言

ARP欺騙始于網游興起后的網絡盜號。作為一種很好的盜取信息的方式，使欺騙者利用找到的內網網關MAC地址，然后發送ARP欺騙，由于找不到真正的網關，被騙的機器無法上網，而發送的所有信息都會被發送ARP欺騙的機器收到，通過分析收到的信息，欺騙者可以從中找到有用信息，特別是帳號部分，產生盜號事件。 那么隨著互聯網絡在社會各部門機關層級的廣泛使用，使ARP欺騙的應用范圍也更加廣泛，對各類存放在網絡結點中的數據信息安全危害也越來越大。

在網絡的日常使用中，如果我們發現網絡整體突然掉線，或者有不定時的部分機器掉線，再或者出現一臺一臺機器的掉線.而且一般情況下幾種掉線都會自動恢復，或者當我們打開PC的DOS界面，輸入ARP -A命令時看到相關的ARP表里出現錯誤的網關MAC地址，那么我們就說網絡出現了ARP欺騙。那么什么是ARP，它的原理是什么，又該如何解決呢？下面就該現象做一下探討。

一、什么是ARP協議

ARP（即Address Resolution Protocol）是將IP地址轉化成物理地址的地址解析協議。ARP具體來說就是把網絡層地址解析為數據連接層的MAC地址（MAC地址也叫物理地址、硬件地址或鏈路地址，由網絡設備制造商生產時寫在硬件內部，每個以太網設備都具有唯一的MAC地址）。

二、ARP協議工作原理

在TCP/IP協議中，每一個網絡結點是用IP地址標識的，IP地址是一個邏輯地址。而在以太網中數據包是靠48位MAC地址（物理地址）尋址的。因此，必須建立IP地址與MAC地址之間的對應（映射）關系，ARP協議就是為完成這個工作而設計的。TCP/IP協議棧維護著一個ARP cache表，在構造網絡數據包時，首先從ARP表中找目標IP對應的MAC地址，如果找不到，就發一個ARP request廣播包，請求具有該IP地址的主機報告它的MAC地址，當收到目標IP所有者的ARP reply后，更新本地的ARP緩存。接著使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。

三、ARP協議的缺陷

ARP協議建立在信任局域網內所有結點的基礎上，高效卻不安全。因為它是一種無狀態協議，不會檢查自己是否發過請求包，也不知道是否是合法的應答，只要收到目標MAC是自己的ARP reply包或arp廣播包、ARP request或是ARP reply，都會接受并緩存。當計算機接收到ARP應答數據包時，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中，當局域網中的某臺機器b向a發送一個自己偽造的ARP應答，如果這個應答是b冒充c偽造來的，即IP地址為c的IP，而MAC地址是偽造的，則當a接收到b偽造的ARP應答后，就會更新本地的ARP緩存，這樣在a看來c的IP地址沒有變，而它的MAC地址已經不是原來的那個了。由于局域網的網絡流通不是根據IP地址進行，而是按照MAC地址傳輸。所以，偽造出來的MAC地址在a上被改變成一個不存在的MAC地址，造成網絡不通，導致a Ping不通c！形成一個基本的ARP欺騙模式。

四、ARP欺騙種類

ARP欺騙—網絡執法官原理。在網絡執法官中，只要點擊“網卡”菜單中的“權限”，選擇指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇“權限”，在彈出的對話框中即可限制該用戶的權限。對于未登記網卡，就可以限定其上線：只要設定好所有已知用戶（登記）后，將網卡的默認權限改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，從而禁止其上網。 但是我們還可以通過修改MAC地址，騙過網絡執法官的掃描，從而達到突破封鎖的目的。打開網絡鄰居的屬性，雙擊對應網卡項的MAC Address的高級設置項，即可直接修改MAC地址。 另外，網絡執法官的原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址，使其找不到網關真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效，就隔開突破它的限制。事先Ping一下網關，然后再用ARP -a命令得到網關的MAC地址，最后用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。 解除了網絡執法官的封鎖后，我們可以利用Arpkiller的“Sniffer殺手”掃描整個局域網IP段，然后查找處在“混雜”模式下的計算機。

作為黑客常用的攻擊手段，ARP欺騙一般分為對路由的欺騙和對PC的欺騙。

對路由器欺騙原理是截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存到路由器，結果路由器上的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。

對內網PC的欺騙原理是偽造網關。它通過建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。

ARP欺騙在網絡中的表象就是“網絡PC大面積掉線”，如果網絡管理人員對此不十分了解，出現該種故障時，認為PC沒有問題，交換機也不會掉線，電信也不承認寬帶故障，通過排查，會發現一般重啟路由器，網絡就會全面恢復，從而錯誤的認定問題是出在了路由器上。

五、ARP欺騙的防范

1、通過在網絡內不停的廣播制定的IP正確的MAC地址進行主動維護，可以直接解決ARP欺騙的掉線問題，但是并不是理想方法。具體方法是將需要保護的IP 放到“維護對象”表內，設定好發包頻率，即每秒發送多少個正確的包給網絡內所有機器。強烈建議盡量少的廣播IP，盡量少的廣播頻率。一般設置1－2次就可以，如果沒有綁定IP的情況下，出現ARP欺騙，可以設置到50－100次，如果還有掉線可以設置更高，即可以實現快速解決ARP欺騙的問題。但是想真正解決ARP問題，還是要參照下面方法。

2、建立MAC數據庫。把所有網卡的MAC地址記錄下來，每個MAC和IP、地理位置統統裝入數據庫，以便及時查詢備案。

3、IP與MAC綁定。給每個網卡，綁定固定唯一IP地址。在PC上IP+MAC綁，網絡設備上IP+MAC+端口綁。務必保持網內的機器IP/MAC一一對應的關系。編寫一個批處理文件warp.bat內容如下:

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

將文件中的網關IP地址和MAC地址更改為實際使用的網關IP地址和MAC地址，然后將這個批處理軟件拖到“windowsà開始à程序à啟動”中。

但Win 98/me、未打arp補丁的win 2000/xp sp1等系統使用arp -s所設置的靜態ARP項還是會被ARP欺騙所改變。如果網絡設備上只做IP+MAC綁定，其實也是不安全的，假如同一二層下的某臺機器發偽造的arp reply給網關，還是會造成網關把流量送到欺騙者所連的那個物理端口從而造成網絡不通。

4、建立DHCP服務器。建議在網關上建立DHCP服務器，因為DHCP占用極少的CPU資源，而且ARP欺騙攻擊一般總是先攻擊網關，我們就是要讓他先攻擊網關，因為網關設有監控程序，網關地址建議選擇192.168.X.2 ，把192.168.X.1留空，讓犯罪程序愚蠢的去攻擊空地址。所有客戶機的IP地址及相關主機信息，只能從網關取得。在網關開通DHCP服務。當IP與MAC綁定后客戶機雖然是DHCP取地址，但每次開機的IP地址都是一樣的。

5、網關機器關閉ARP動態刷新的過程，使用靜態路郵，使犯罪嫌疑人使用ARP欺騙攻擊網關對網關無效，確保主機安全。

6、網關監聽網絡安全。網關上面使用TCPDUMP程序截取每個ARP程序包，使用腳本分析軟件分析這些ARP協議。ARP欺騙攻擊的包一般有兩個特點，其中任一特點出現均可視為攻擊包報警:一是以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。再是ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內，或者與自己網絡MAC數據庫 MAC/IP 不匹配。這些均可作為第一時間報警，查到這些以太網數據包的源地址，基本就可以知道哪臺機器在發起攻擊了。

7、對于采用了大量交換機的局域網，采取支持arp過濾的防火墻等方法，使用瑞星等專業的ARP防火墻。

8、在運營商方面可采用Super VLAN或PVLAN技術。Super VLAN也叫VLAN聚合，這是在同一個子網中化出多個Sub VLAN，而將整個IP子網指定為一個VLAN聚合，所有的Sub VLAN都使用Super VLAN的默認網關IP地址，不同的Sub VLAN仍保留各自獨立的廣播域。子網的所有主機只能與自己的默認網關通信。如果將交換機或IP DSLAM設備的每個端口化為一個Sub VLAN，則實現了所有端口的隔離，也就避免了ARP欺騙。PVLAN即私有VLAN ，PVLAN采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化為一個下層VLAN，則實現了所有端口的隔離。PVLAN和SuperVLAN技術都可以實現端口隔離，但實現出發點、方式有所不同。PVLAN是為了節省VLAN，而SuperVlan是節省IP地址。

（四川省自貢市貢井區社會保險事業局）