黑客攻防之ARP欺騙技術

徐其崗 韓肖杰 周陸洲

【摘要】ARP欺騙技術因為其有較強的隱蔽性、易操作性而成為局域網中最常見、最易發生的一種欺騙方式，該欺騙方式因為危害性大成為局域網中最惹人關注的“殺手”之一，本文通過ARP原理及協議缺陷的介紹，從而進行ARP欺騙的技術的闡述。

【關鍵詞】ARP欺騙技術 網絡安全

一、ARP及ARP欺騙原理

ARP（Address Resolution Protocol）即地址解析協議，是一種將IP地址轉化成物理地址的協議。不管網絡層使用什么協議，在網絡鏈路上傳送數據幀時，最終還是必須使用硬件地址的。而每臺機器的MAC地址都是不一樣的，具有全球唯一性，因此可以作為一臺主機或網絡設備的標識。目標主機的MAC地址就是通過ARP協議獲得的。

ARP欺騙原理則是通過發送欺騙性的ARP數據包致使接收者收到數據包后更新其ARP緩存表，從而建立錯誤的IP與MAC對應關系，源主機發送數據時數據便不能被正確地址接收。

二、ARP協議的漏洞分析

ARP協議是一個高效的數據鏈路層協議.但是設計初衷是方便數據的傳輸.設計前提是網絡絕對安全的情況.ARP協議是建立在局域網主機相互信任的基礎之上.ARP具有廣播性、無狀態性、無認證性、無關性和動態性等一系列的安全缺陷。

（1）ARP協議尋找MAC地址是廣播方式的。攻擊者可以應答錯誤的MAC地址.同時攻擊者也可以不問斷地廣播ARP請求包.造成網絡的緩慢甚至網絡阻塞；

（2）ARP協議是無狀態和動態的。任意主機都可以在沒有請求的情況下進行應答.且任何主機只要收到網絡內正確的ARP應答包.不管它本身是否有ARP請求。都會無條件的動態更新緩存表；

（3）ARP協議是無認證的。ARP協議默認情況下是信任網絡內的所有節點.只要是存在ARP緩存表里的IP/MAC映射以及接收到的ARP應答中的IP/MAC映射關系.ARP都認為是可信任的.并沒有對IP/MAC映射的真實性，有效性進行檢驗.也沒有維護映射的一致性。

三、ARP欺騙的分類

從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。

第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

四、ARP欺騙相關工具

常用工具：ARPsniffer、局域網終結者、網絡執法官

ARPsniffer工作原理：

在使用該工具時，它會將網絡接口設置為混雜模式，該模式下工具可以監聽到網絡中傳輸的所有數據幀，而不管數據幀的目的地是自己還是其他網絡接口的地址。嗅探器會對探測到的每一個數據幀產生硬件數據中斷，交由操作系統處理，這樣就實現了數據截獲。

局域網終結者工作原理：

一個主機接收到與自已相同IP發出的ARP請求就會彈出一個IP沖突框來。利用局域網終結者可以偽造任一臺主機的IP向局域網不停地發送ARP請求，同時自已的MAC也是偽造的，那么被偽造IP的主機便會不停地收到IP沖突提示，致使該主機無法上網。這便構成了局域網終結者的攻擊原理。

網絡執法官工作原理：

網絡執法官原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址，使其找不到網關真正的MAC地址。

五、ARP欺騙的危害

ARP欺騙帶來的危害可以分為幾大類，

1. 網絡異常。具體表現為：掉線、IP沖突等。

2. 數據竊取。具體表現為：個人隱私泄漏（如MSN聊天記錄、郵件等）、賬號被盜用（如QQ賬號、銀行賬號等）。

3. 數據篡改。具體表現為：訪問的網頁被添加了惡意內容，俗稱“掛馬”。

4. 非法控制。具體表現為：網絡速度、網絡訪問行為（例如某些網頁打不開、某些網絡應用程序用不了）受第三者非法控制。

六、ARP欺騙的防護方案

1、. 劃分VLAN 眾所周知ARP報文是一種廣播報文，也就是說它只能在一個廣播域內傳輸。所以這就決定了ARP欺騙不能跨網段實施，通過VLAN技術隔離廣播域，從一定的程度上減少ARP攻擊的范圍，使ARP欺騙局限于一個被感染的虛擬局域網內，不會影響整個局域網的運行。但是虛擬局域網技術是需要高端的網絡設備才可以實現的，低端的網絡設備是沒有網絡管理配置功能的，也就無法實現VLAN技術。

2. 信息加密 基于ARP欺騙原理，監聽不易為通信雙方察覺。如果通信雙方對信息進行加密，即便信息被攻擊者獲取也因沒有方法解密而無法獲得有用信息，從而保證網絡傳輸的安全性。但此方法是一種消極的防護策略。一旦受到ARP欺騙，該方法不能使網絡通信保持正常狀態。

3. 制定ARP緩存更新策略 由于ARP協議在無ARP請求的情況下任意接收ARP應答并更新緩存，這為ARP欺騙創造了條件，因此可制定ARP緩存更新規則。規定接收ARP協議報文的順序是先發送ARP請求然后才能接收與此匹配的ARP應答報文，對到達的無ARP請求或者不匹配的應答報文一律丟棄，這樣可以有效防止攻擊方利用ARP欺騙報文更新ARP緩存達到欺騙目的。但是這種方法由于引入了安全性方面的的考慮，在一定程度上增加了ARP協議的復雜度。一般此類方法的執行速度較慢，具有一定的局限性。故該方法的應用要綜合考慮安全性和網絡性能等多方面的因素。