企業局域網防范ARP欺騙的解決方案

2011-12-30 21:46:44郭籽蔚

中國新技術新產品 2011年16期

關鍵詞：計算機

郭籽蔚

（神東煤炭集團信息中心，陜西神木 719315）

1 ARP協議概述

1.1 ARP協議簡介

ARP(Address Resolution Protocol)地址解析協議用于將計算機的網絡地址 (IP地址32位)轉化為物理地址(MAC地址48位)。

ARP協議是屬于鏈路層的協議，在以太網中的數據幀從一個主機到達網內的另一臺主機是根據48位的以太網地址(硬件地址)來確定接口的，而不是根據32位的IP地址。內核(如驅動)必須知道目的端的硬件地址才能發送數據。當然，點對點的連接是不需要ARP協議的。

1.2 ARP協議的缺陷

ARP協議是建立在信任局域網內所有結點的基礎上的，它很高效，但卻不安全。它是無狀態的協議，不會檢查自己是否發過請求包，也不管（其實也不知道）是否是合法的應答，只要收到目標MAC是自己的ARP reply包或arp廣播包（包括ARP request和ARP reply），都會接受并緩存。

2 ARP欺騙的攻擊過程

假設一個網絡環境中，網內有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：A 的地址為：IP：192.168.100.1 MAC:AAAA-AA-AA-AA-AA

B 的地址為：IP：192.168.100.2 MAC:BB-BB-BB-BB-BB-BB

C 的地址為：IP：192.168.100.3 MAC:CC-CC-CC-CC-CC-CC

正常情況下A和C之間進行通訊，但是此時B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址)，MAC地址是BBBB-BB-BB-BB-BB(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存(A被欺騙了)，這時B就偽裝成C了。同時，B同樣向C發送一個ARP應答，應答包中發送方IP地址四192.168.10.1(A的IP地址)，MAC地址是BB-BB-BB-BBBB-BB(A的MAC地址本來應該是AA-AAAA-AA-AA-AA)，當C收到B偽造的ARP應答，也會更新本地ARP緩存 (C也被欺騙了)，這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數據都經過了B。主機B完全可以知道他們之間說的什么。這就是典型的ARP欺騙過程。

注意：一般情況下，ARP欺騙的某一方應該是網關。

ARP欺騙存在兩種情況：第一種是欺騙主機作為“中間人”，被欺騙主機的數據都經過它中轉一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數據;第二種是欺騙者偽裝成網關只欺騙了其中一方，導致被欺騙主機直接斷網。

筆者所在公司發生的ARP欺騙攻擊大多是第二種情況。

3 ARP欺騙的解決方法：

3.1 ARP欺騙發生時的現象：

被攻擊網段內的所有計算機，網絡5-10分鐘中斷1次，然后過段時候又恢復；如果馬上改IP地址，則又恢復正常通信。

3.2 ARP欺騙解決方法：

3.2.1 利用計算機操作系統自帶工具：

在“開始”“程序”“附件”菜單下調出“命令提示符”。輸入并執行以下命令：

Arp-d (清除本機的arp緩存表)

Arp -s 00-21-5e-c4-4d-5c 192.168.1.254 (綁定網關的IP地址和正確的物理地址)

因為每次重啟計算機的時候，ARP緩存信息都會被全部清除。所以將這兩條命令做成一個批處理文件，然后將這個文件放到系統的啟動項中。當程序隨系統的啟動而加載的話，就可以免除因為ARP靜態映射信息丟失的困擾了。

3.2.2 利用ARP防御軟件：

現在市場上的ARP防御軟件有很多，筆者使用的是一款名為“arp防火墻”的軟件，該軟件不僅可以攔截arp攻擊，還可以定位arp攻擊源。可以用來統一管理單位所有的計算機。

3.3.3 利用交換機綁定IP地址和MAC地址：

現在的交換機都有IP地址和MAC地址的綁定功能。筆者所在公司使用的是思科系列交換機。具體配置命令如下：

Route(config)#arp 192.168.1.111 0024.5b 3d.63ed arpa

此方法還可以防止IP地址的非法使用。

這種方式的缺點是初期數據錄入工作量大，如果終端計算機太多或者更換頻繁，那么網管員將會不堪重負。所以這種方法一般用來綁定重要的服務器。

以上三種方法，建議普通用戶選擇使用防御軟件，網管可以將防御軟件和交換機綁定相結合來管理整個單位的網絡。

4 結語

ARP欺騙攻擊利用了ARP協議的漏洞，作為一種底層協議攻擊，從根源上無法徹底解決。只能從防御上著手，大力普及計算機知識，提高終端用戶的防范意識和計算機使用能力，才能從根本上減少攻擊源。

[1]許穎梅.局域網中ARP欺騙及防范[J].科技經濟市場，2007-07-15.