“ARP攻擊與防范”課程實驗設(shè)計

摘要:針對“ARP攻擊與防范”課程教學(xué)，分析了ARP協(xié)議及ARP攻擊的工作原理，提出了一種更好理解“ARP攻擊與防范”的課程實驗設(shè)計方案。

關(guān)鍵詞:ARP協(xié)議;ARP攻擊;ARP防范;實驗設(shè)計

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)03-611-02

Experimental Design of Courses Based on the ARP Attack and Prevention

SONG Xing-yue

(Department of Information Technology， Liaoning Finance Vocatinal College， Shenyang 110122， China)

Abstract: Based on ARP attack and prevention courses teaching， analyzed the principle of ARP protocol and ARP attacks. A advanced experiment method about the ARP attack and prevention is introduced， and it is helpful for students to study ARP attack and prevention.

Key words: ARP protocol; ARP attack; ARP prevention; experiment design

互聯(lián)網(wǎng)是一個面向大眾的開放系統(tǒng)，設(shè)計初衷是信息共享、開放、靈活和快速，對于信息的保密措施和系統(tǒng)的安全性考慮得并不完備，這些特性不可避免地引發(fā)一些網(wǎng)絡(luò)安全問題，而且，這些問題隨著信息技術(shù)的發(fā)展也就日益嚴(yán)重，如何有效地防范各種攻擊，增強(qiáng)網(wǎng)絡(luò)安全性，是一項重要的課題。

網(wǎng)絡(luò)協(xié)議安全是網(wǎng)絡(luò)安全中的重要領(lǐng)域，研究ARP協(xié)議及其在網(wǎng)絡(luò)攻防中的應(yīng)用具有積極的意義。但ARP攻擊方式在不斷變換，就連一些資深的網(wǎng)絡(luò)管理員也為此感到十分頭疼。更何況學(xué)校里沒有實際工作經(jīng)驗的學(xué)生?；诖?，本文設(shè)計了一套ARP攻擊與防范實驗方案，增強(qiáng)學(xué)生對ARP協(xié)議、ARP攻擊原理的理解，并提高對網(wǎng)絡(luò)實際操作和故障解決的能力。

1 ARP協(xié)議工作原理

ARP協(xié)議，全稱Address Resolution Protocol，中文名是地址解析協(xié)議，它工作在OSI模型的數(shù)據(jù)鏈路層，用于將IP地址轉(zhuǎn)化為網(wǎng)絡(luò)接口的硬件地址(MAC地址)。無論是任何高層協(xié)議的通信，最終都將轉(zhuǎn)換為數(shù)據(jù)鏈路層硬件地址的通訊。

當(dāng)網(wǎng)絡(luò)中一臺主機(jī)要向另一臺主機(jī)或者路由器發(fā)送數(shù)據(jù)時，會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址，如有，就直接將數(shù)據(jù)包發(fā)送到該MAC地址;如無，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機(jī)對應(yīng)的MAC地址，此ARP請求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到該ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包;如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址;源主機(jī)收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并以超時則刪除的策略加以維護(hù)。

ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點的基礎(chǔ)上的，它很高效，但卻不安全。它不會檢查自己是否發(fā)過請求包，也不管(其實也不知道)是否是合法的應(yīng)答，只要收到目標(biāo)MAC是自己的ARP Reply包或ARP廣播包都會接受并緩存，這就為欺騙提供了可能。

2 ARP攻擊原理

ARP欺騙的核心思想是向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答，并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP地址與MAC地址之間的映射對，以此更新目標(biāo)主機(jī)ARP緩存。

2.1 ARP攻擊過程

設(shè)在同一網(wǎng)段的三臺主機(jī):A、B、C。其IP地址和MAC地址映射關(guān)系如表1所示。

假設(shè)A與B是信任關(guān)系，A欲向B發(fā)送數(shù)據(jù)包。攻擊方C通過前期準(zhǔn)備，收集信息，發(fā)現(xiàn)B的漏洞，使B暫時無法工作。然后C發(fā)送一個源IP地址為192.168.0.3源MAC地址為BB:BB:BB;BB:BB:BB的包給A。由于大多數(shù)的操作系統(tǒng)在接收到ARP應(yīng)答后會及時更新ARP緩存，而不考慮是否發(fā)出過真實的ARP請求，所以A接收到應(yīng)答后，就更新它的ARP緩存，建立新的IP/MAC地址映射對，即192.168.0.2→CC:CC:CC:CC:CC:CC。這樣，A就將發(fā)往B的數(shù)據(jù)包發(fā)向了C，這就是典型的ARP欺騙過程。

2.2 ARP攻擊方式

根據(jù)影響網(wǎng)絡(luò)連接的方式，ARP欺騙技術(shù)主要有:對路由器ARP表的欺騙、對局域網(wǎng)內(nèi)的主機(jī)網(wǎng)關(guān)欺騙以及IP地址欺騙等等。其中偽造網(wǎng)關(guān)是一種典型的ARP欺騙。就是建立假網(wǎng)關(guān)，讓被它欺騙的主機(jī)向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，造成無法通過正常的路由器途徑上網(wǎng)。雖與其它主機(jī)可以連接，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

3 ARP攻擊與防范實驗

利用WinArpAttacke的Send功能實現(xiàn)ARP攻擊，主機(jī)1對主機(jī)2發(fā)動ARP攻擊，導(dǎo)致主機(jī)2無法與外界通信，即主機(jī)2與主機(jī)3ping不同。實驗網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

1) 運行WinArpAttacke軟件，在Opitions中選擇IP地址192.168.10.0網(wǎng)段的網(wǎng)卡Adapter，確定。點擊“Scan”能夠掃描出這個網(wǎng)段中存活的主機(jī)及對應(yīng)的MAC地址。也可以采用ipconfig/all和arp-a命令獲得被攻擊前各主機(jī)的Mac地址，各主機(jī)IP地址及Mac地址對應(yīng)如表2所示。攻擊前各主機(jī)均能ping通。

2)主機(jī)1發(fā)動ARP禁止上網(wǎng)攻擊，告訴主機(jī)2網(wǎng)關(guān)的MAC地址是一個假的MAC地址(00-11-22- 33-44-55)，則主機(jī)2要發(fā)往網(wǎng)關(guān)的數(shù)據(jù)都發(fā)不到真正的網(wǎng)關(guān)上，在主機(jī)1上設(shè)置Dst Hardware Mac: 00 -15-58-E8-C2-7B，Src Hardware Mac:00-15-58-E9- 0A-C0，Dst Protocol Mac:00-00-00-00-00-00，Scr Protocol Mac: 00-11-22-33-44-55，Dst IP: 192.168.10.20，Src IP: 192.168.10. 254。選中“Continuously”發(fā)送連續(xù)欺騙，點擊“Send”發(fā)送，則主機(jī)2會認(rèn)為網(wǎng)關(guān)192.168.10.254的MAC地址為00-11-22-33-44-55，所以主機(jī)2 Ping不通主機(jī)3。

3) ARP禁止上網(wǎng)攻擊的防御:

我們可以在交換機(jī)上打開Port Security Arp Check開防止ARP欺騙，配置步驟如下:

Switch#con

Switch#port-security arp-check

Switch#interface fastEthernet 0/5

Switch#switchport port-security maximum 1

Switch#switchport port-security ip-address 192.168.10.10

Switch#switchport port-security

Switch#end

配置完畢之后，主機(jī)1和主機(jī)2打開Ethereal軟件進(jìn)行監(jiān)聽，主機(jī)1再對主機(jī)2發(fā)動ARP禁止上網(wǎng)攻擊，通過監(jiān)聽可以看出，主機(jī)1發(fā)送了ARP數(shù)據(jù)包但得不到應(yīng)答，而主機(jī)2根本沒有收到主機(jī)發(fā)送過來的ARP數(shù)據(jù)包，主機(jī)2還是可以與主機(jī)3之間正常通信。原因在于交換機(jī)收到端口5的arp的數(shù)據(jù)包的地址不是設(shè)定的192.168.10.10，則將數(shù)據(jù)包丟棄，從而防止了ARP欺騙。

4 總結(jié)

ARP欺騙是一種典型的欺騙攻擊類型，它利用了ARP協(xié)議存在的安全隱患，以及通過使用一些專門的攻擊工具，使得這種攻擊變得普及并有較高的成功率。筆者承擔(dān)計算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)的“網(wǎng)絡(luò)信息安全”課程教學(xué)，在講到“ARP攻擊與防范”課題時采用了這個實驗，將抽象復(fù)雜的網(wǎng)絡(luò)協(xié)議與實際應(yīng)用結(jié)合起來，極大提高了學(xué)生實驗積極性，學(xué)生反應(yīng)良好，達(dá)到了較好的學(xué)習(xí)效果。

參考文獻(xiàn):

[1] 任俠.ARP協(xié)議欺騙原理分析與抵御方法[J].計算機(jī)工程，2003，29(9):1272128.

[2] 傅軍.基于ARP協(xié)議的欺騙及其預(yù)防[J].中國科技論文在線，2007(1):55258.

[3] 馬宜興.網(wǎng)絡(luò)安全與病毒防范[M].上海:上海交通大學(xué)出版社，2007:32.

[4] 黃學(xué)林.ARP協(xié)議欺騙原理分析及防范措施[J].廣東科技，2007，169:172-173.