基于ＡＲＰ的攻擊分析及防范策略

摘 要：隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，內(nèi)部網(wǎng)絡(luò)的安全問題逐漸成為人們關(guān)注的焦點(diǎn)。在頻繁發(fā)生的攻擊行為中，利用ARP協(xié)議的漏洞進(jìn)行攻擊是主要的手段之一。本文探討了基于ARP的攻擊分析及防范策略。

關(guān)鍵詞：ARP 防范 攻擊

一、ARP的工作原理

ARP(地址解析協(xié)議Address Resolution Protocol)解決了從IP地址到硬件地址的映射問題。比如，源主機(jī)欲向本網(wǎng)內(nèi)的其它主機(jī)發(fā)送數(shù)據(jù)包時(shí)，先在源主機(jī)的ARP高速緩存中查看有無目的主機(jī)的硬件地址，如存在，就將目的主機(jī)的硬件地址寫入MAC幀并發(fā)送；如不存在，源主機(jī)自動(dòng)在網(wǎng)內(nèi)廣播一個(gè)ARP請(qǐng)求報(bào)文來獲得目的主機(jī)的硬件地址，網(wǎng)內(nèi)的所有主機(jī)都收到此ARP請(qǐng)求，只有目的主機(jī)才會(huì)發(fā)回一個(gè)ARP響應(yīng)報(bào)文，并寫入自己的硬件地址，當(dāng)源主機(jī)收到目的主機(jī)的ARP響應(yīng)后，就在其ARP高速緩存中寫入目的主機(jī)的IP地址到硬件地址的映射。

傳統(tǒng)的共享式以太網(wǎng)是由集線器進(jìn)行網(wǎng)絡(luò)互連，而集線器屬于物理層設(shè)備，采用廣播技術(shù)將一個(gè)端口接收到的報(bào)文廣播到本網(wǎng)內(nèi)的所有機(jī)器上，目的主機(jī)會(huì)接收此報(bào)文，而非目的主機(jī)則丟棄該報(bào)文。但是，如果將網(wǎng)卡設(shè)為混雜模式，則非目的主機(jī)也可以接收此報(bào)文。

交換式以太網(wǎng)絡(luò)是采用屬于數(shù)據(jù)鏈路層設(shè)備的二層交換機(jī)進(jìn)行網(wǎng)絡(luò)互連，通過讀取數(shù)據(jù)包中的目的MAC地址并查找相應(yīng)的端口進(jìn)行轉(zhuǎn)發(fā)，如果找不到相應(yīng)的端口，則把數(shù)據(jù)包廣播到所有端口上，當(dāng)目的機(jī)器回應(yīng)時(shí)交換機(jī)就可以學(xué)習(xí)目的MAC地址與哪個(gè)端口對(duì)應(yīng)，這就是交換機(jī)的“學(xué)習(xí)”功能，再次轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)就有了依據(jù)。

基于二層交換機(jī)的特點(diǎn)，即使將網(wǎng)卡設(shè)為混雜模式，也只能捕獲目的MAC地址為本機(jī)地址的數(shù)據(jù)包，共享式以太網(wǎng)中的監(jiān)聽失效。但是，由于ARP協(xié)議的無連接、無認(rèn)證，局域網(wǎng)中的任何主機(jī)可隨時(shí)發(fā)送ARP請(qǐng)求包，也可以接收ARP應(yīng)答包，并且無條件地根據(jù)應(yīng)答包內(nèi)的內(nèi)容刷新本機(jī)的ARP緩存，所以ARP欺騙也可應(yīng)用于交換式以太網(wǎng)絡(luò)中。

二、ARP的攻擊方式

1. 簡(jiǎn)單的欺騙攻擊

這是比較常見的攻擊，它是通過發(fā)送偽造的ARP包來欺騙目標(biāo)主機(jī)或路由器，讓對(duì)方認(rèn)為這是一臺(tái)合法的主機(jī)，于是便完成了欺騙。這種欺騙多發(fā)生在同一個(gè)網(wǎng)段內(nèi)。

2. 對(duì)交換機(jī)(路由器)的MAC地址欺騙攻擊

交換機(jī)上同樣維護(hù)著一個(gè)動(dòng)態(tài)的MAC地址表，表內(nèi)記錄的是MAC地址與交換機(jī)端口相對(duì)應(yīng)的情況。如果有人發(fā)送偽造的ARP包來欺騙交換機(jī)，則交換機(jī)收到這個(gè)包后，會(huì)更新MAC地址表，將對(duì)應(yīng)的MAC地址指向這個(gè)端口，從而達(dá)到欺騙的目的。

還有一種情況是對(duì)交換機(jī)進(jìn)行MAC地址Flooding攻擊。這是一種比較危險(xiǎn)的攻擊，方法是通過發(fā)送大量的假M(fèi)AC地址的數(shù)據(jù)包，使交換機(jī)的ARP表溢出(交換機(jī)的MAC地址表大小有限，當(dāng)這個(gè)表的所有空間都用完了后就會(huì)溢出)，從而使整個(gè)網(wǎng)絡(luò)不能正常通信。

3. 基于ARP的DoS攻擊

DoS又稱拒絕服務(wù)攻擊，當(dāng)大量的連接請(qǐng)求被發(fā)送到一臺(tái)主機(jī)時(shí)，由于主機(jī)的處理能力有限，不能為正常用戶提供服務(wù)，便出現(xiàn)拒絕服務(wù)。這個(gè)過程如果使用ARP來隱藏自己，在被攻擊主機(jī)的日志上就不會(huì)出現(xiàn)真實(shí)的IP地址，攻擊的同時(shí)也不會(huì)影響到本機(jī)。

三、ARP欺騙的防范策略

1. 設(shè)置靜態(tài)ARP緩存。

使用靜態(tài)的IP->MAC的解析新ARP協(xié)議攻擊的最根本原理是改變IP與MAC地址的對(duì)應(yīng)關(guān)系。可以采取靜態(tài)MAC地址表法的方法進(jìn)行防范。主機(jī)的IP->MAC地址對(duì)應(yīng)表手工維護(hù)，輸入之后不再動(dòng)態(tài)更新，顯然可以避免ARP協(xié)議攻擊，大多數(shù)的三層交換機(jī)都支持這種方法。但是，這種方法也具有一定的缺陷，在移動(dòng)或經(jīng)常變化的網(wǎng)絡(luò)環(huán)境中，這種手工維護(hù)MAC表的方式不適用，而且它對(duì)網(wǎng)絡(luò)硬件也有較高的要求。另外，采用此方式設(shè)置靜態(tài)ARP緩存，管理員需要定期輪詢，檢查主機(jī)上的ARP緩存。

2. 交換機(jī)端口設(shè)置。

（1）端口保護(hù)（類似于端口隔離）：ARP欺騙技術(shù)需要交換機(jī)的兩個(gè)端口直接通訊，端口保護(hù)設(shè)為保護(hù)端口即可簡(jiǎn)單方便地隔離用戶之間信息互通，不必占用VLAN資源。同一個(gè)交換機(jī)的兩個(gè)端口之間不能進(jìn)行直接通訊，需要通過轉(zhuǎn)發(fā)才能相互通訊。

（2）數(shù)據(jù)過濾：如果需要對(duì)報(bào)文做更進(jìn)一步的控制，用戶可以采用ACL（訪問控制列表）。ACL利用IP地址、TCP/UDP端口等對(duì)進(jìn)出交換機(jī)的報(bào)文進(jìn)行過濾，根據(jù)預(yù)設(shè)條件，對(duì)報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。華為和Cisco的交換機(jī)均支持IP ACL和MAC ACL，每種ACL分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式。標(biāo)準(zhǔn)格式的ACL根據(jù)源地址和上層協(xié)議類型進(jìn)行過濾，擴(kuò)展格式的ACL根據(jù)源地址、目的地址以及上層協(xié)議類型進(jìn)行過濾，異詞檢查偽裝MAC地址的幀。

3. 網(wǎng)絡(luò)路由分割。

目前，網(wǎng)絡(luò)上已經(jīng)使用高層交換的方式，基于IP地址變換進(jìn)行路由的第三層(第四層)交換機(jī)逐漸被采用，第三層交換技術(shù)用的是IP路由交換協(xié)議。以往的鏈路層的MAC地址和ARP協(xié)議已經(jīng)不起作用，因而ARP欺騙攻擊在這種交換環(huán)境下不起作用。

4. 修改MAC地址，欺騙ARP欺騙技術(shù)。

就是假冒MAC地址，最穩(wěn)妥的一個(gè)辦法就是修改機(jī)器的MAC地址，只要把MAC地址改為別的，就可以欺騙過ARP欺騙，從而達(dá)到突破封鎖的目的。

5. 使用ARP代理服務(wù)器。

通過該服務(wù)器查找ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。但必須確保這臺(tái)ARP服務(wù)器不被黑客攻擊。

6. 定期捕獲ARP請(qǐng)求。

管理員定期在響應(yīng)的IP包中捕獲ARP請(qǐng)求，檢查ARP響應(yīng)的真實(shí)性。

7. 采用加密手段防范。

ARP欺騙過程中，即使是使用Sniffer類的抓包軟件抓取到了數(shù)據(jù)，但由于數(shù)據(jù)包都是以密文傳輸?shù)模圆粫?huì)造成嚴(yán)重影響。

參考文獻(xiàn)：

［1］鄭先偉.解析ARP 欺騙攻擊［J］.中國(guó)教育網(wǎng)絡(luò)，2006.

［2］趙均，陳克非.ARP協(xié)議安全漏洞分析及其防御方法［J］.信息安全與通信保密，2006.

［3］那罡.瘋狂的ARP痛苦的路由器［J］.中國(guó)計(jì)算機(jī)用戶，2006.

［4］陳海軍，龍艷軍.基于互聯(lián)網(wǎng)的WEB欺騙分析及其防范方案［J］.中國(guó)科技信息，2006.

［5］馬軍，王巖.ARP協(xié)議攻擊及其解決方案［J］.微計(jì)算機(jī)信息，2006.