局域網(wǎng)中的ARP攻擊與防護(hù)

秦小平　張向磊

【摘 要】當(dāng)網(wǎng)絡(luò)給人們帶來巨大便利的同時，也存在著越來越多的安全隱患問題。本文從介紹ARP的數(shù)據(jù)包結(jié)構(gòu)，ARP的工作原理，ARP的攻擊原理以及它的幾種攻擊類型，從而做出ARP的防護(hù)措施，從個人PC的病毒清理到整個網(wǎng)絡(luò)的安全策略設(shè)計(jì)，以及平常運(yùn)行過程中的網(wǎng)絡(luò)維護(hù)。

【關(guān)鍵詞】ARP；ARP攻擊；防護(hù)

中圖分類號： TP393.08 文獻(xiàn)標(biāo)識碼： A 文章編號： 2095-2457（2018）25-0290-003

DOI：10.19694/j.cnki.issn2095-2457.2018.25.133

【Abstract】While the Internet brings great convenience to people， there are more and more safety problems.This paper introduces the packet structure of ARP，the working principle of ARP，the attack principle of ARP and several attack types of ARP，so as to make ARP protection measures，involving virus cleanup of PC to security policy design of entire network，and network maintenance during normal operation.

【Key words】ARP；ARP Attack；Protection

ARP協(xié)議是常用的TCP/IP底層協(xié)議。在以太網(wǎng)中進(jìn)行IP通信的時候需要一個協(xié)議來建立IP地址與MAC地址的對應(yīng)關(guān)系，以使IP數(shù)據(jù)包能發(fā)到一個確定的地方去。這就是ARP（Address Resolution Protocol，地址解析協(xié)議）。在所有的網(wǎng)絡(luò)安全威脅中，對局域網(wǎng)最常見的攻擊手段就是ARP攻擊。攻擊者往往利用ARP協(xié)議本身存在的缺陷，用一些專門的工具進(jìn)行網(wǎng)絡(luò)的攻擊。這種攻擊會造成局域網(wǎng)中用戶信息數(shù)據(jù)的丟失，應(yīng)該采取相應(yīng)的安全措施來解決這些問題。

1 ARP攻擊的原理及常見類型

ARP攻擊主要是通過偽造IP地址和MAC地址進(jìn)行欺騙，使以太網(wǎng)數(shù)據(jù)包的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配，從而在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量導(dǎo)致網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要存在于局域網(wǎng)中，若其中一臺計(jì)算機(jī)感染ARP病毒，就會試圖通過ARP欺騙截獲局域網(wǎng)內(nèi)其他計(jì)算機(jī)的信息，造成局域網(wǎng)內(nèi)的計(jì)算機(jī)通信故障。

現(xiàn)在局域網(wǎng)中比較常見的ARP攻擊包括：上網(wǎng)時斷時續(xù)，拷貝文件無法完成，局域網(wǎng)內(nèi)的ARP包激增，出現(xiàn)不正常的MAC地址，MAC地址對應(yīng)多個IP地址，網(wǎng)絡(luò)數(shù)據(jù)發(fā)不出去了，網(wǎng)上發(fā)送信息被竊取，個人PC中毒，局域網(wǎng)內(nèi)MAC地址泛洪使MAC地址緩存表溢出等問題。

2 局域網(wǎng)中ARP的攻擊類型

2.1 ARP泛洪攻擊

通過向網(wǎng)關(guān)發(fā)送大量ARP報文，導(dǎo)致網(wǎng)關(guān)無法正常響應(yīng)。如圖2-1所示：主機(jī)（IP192.168.20.1）首先發(fā)送大量的ARP請求報文，然后又發(fā)送大量虛假的ARP響應(yīng)報文，從而造成網(wǎng)關(guān)部分的CPU利用率上升難以響應(yīng)正常服務(wù)請求，而且網(wǎng)關(guān)還會被錯誤的ARP表充滿導(dǎo)致無法更新維護(hù)正常ARP表，消耗網(wǎng)絡(luò)帶寬資源。

圖2-1 ARP泛洪攻擊

2.2 ARP欺騙主機(jī)的攻擊

ARP欺騙主機(jī)的攻擊也是ARP眾多攻擊類型中很常見的一種。攻擊者通過ARP欺騙使得局域網(wǎng)內(nèi)被攻擊主機(jī)發(fā)送給網(wǎng)關(guān)的流量信息實(shí)際上都發(fā)送給攻擊者。主機(jī)刷新自己的ARP使得在自己的ARP緩存表中對應(yīng)的MAC為攻擊者的MAC，這樣一來其他用戶要通過網(wǎng)關(guān)發(fā)送出去的數(shù)據(jù)流就會發(fā)往主機(jī)這里，這樣就會造成用戶的數(shù)據(jù)外泄。

2.3 欺騙網(wǎng)關(guān)的攻擊

欺騙網(wǎng)關(guān)就是把別的主機(jī)發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)通過欺騙網(wǎng)關(guān)的形式使得這些數(shù)據(jù)通過網(wǎng)關(guān)發(fā)送給攻擊者。這種攻擊目標(biāo)選擇的不是個人主機(jī)而是局域網(wǎng)的網(wǎng)關(guān)，這樣就會攻擊者源源不斷的獲取局域網(wǎng)內(nèi)其他用戶的數(shù)據(jù)，造成數(shù)據(jù)的泄露，同時用戶電腦中病毒的概率也會提升。

2.4 中間人攻擊

中間人攻擊是同時欺騙局域網(wǎng)內(nèi)的主機(jī)和網(wǎng)關(guān)，局域網(wǎng)中用戶的數(shù)據(jù)和網(wǎng)關(guān)的數(shù)據(jù)會發(fā)給同一個攻擊者，這樣，用戶與網(wǎng)關(guān)的數(shù)據(jù)就會泄露。如圖2-3所示：攻擊者通過發(fā)送ARP攻擊使得本來192.168.20.2要發(fā)送給網(wǎng)關(guān)192.168.20.3的數(shù)據(jù)發(fā)送給了MACA，然而在對于網(wǎng)關(guān)方面攻擊者通過發(fā)送回應(yīng)數(shù)據(jù)使得網(wǎng)關(guān)發(fā)給主機(jī)192.168.20.2的數(shù)據(jù)對應(yīng)的MAC為MACA，數(shù)據(jù)又會返回192.168.20.1的主機(jī)上面所以這樣192.168.20.2與網(wǎng)關(guān)192.168.20.3的通訊則都是通過192.168.20.1這樣則為發(fā)起中間人的攻擊。

圖2-2 ARP中間人攻擊

2.5 IP地址沖突攻擊

通過對局域網(wǎng)中的物理主機(jī)進(jìn)行掃描，掃描出局域網(wǎng)中的物理主機(jī)的MAC地址，然后根據(jù)物理主機(jī)的MAC進(jìn)行攻擊，導(dǎo)致局域網(wǎng)內(nèi)的主機(jī)產(chǎn)生IP地址沖突，影響用戶的網(wǎng)絡(luò)正常使用。

3 局域網(wǎng)中ARP的防護(hù)策略

3.1 用戶機(jī)綁定安全設(shè)置

要保證用戶機(jī)的安全，使主機(jī)IP與MAC綁定。常用方法是在運(yùn)行窗口中輸入CMD，在彈出窗口中輸入ipconfig /all，找到IPv4地址和物理地址，輸入arp -s IP地址，再輸入arp -s MAC地址，實(shí)現(xiàn)主機(jī)IP與物理地址的綁定。

3.2 用戶機(jī)病毒的清除

在局域網(wǎng)絡(luò)中ARP的攻擊很多是由于用戶機(jī)出現(xiàn)了病毒從而不斷的發(fā)出ARP的欺騙攻擊，導(dǎo)致整個局域網(wǎng)及所有用戶出現(xiàn)問題。Autorun是網(wǎng)絡(luò)中常見的病毒，通常會通過U盤傳播，感染相應(yīng)的用戶機(jī)，可以使用固定程序來實(shí)現(xiàn)對這種病毒的清除。

3.3 主機(jī)日常清理策略

我們平時在使用計(jì)算機(jī)時，會產(chǎn)生很多的系統(tǒng)垃圾。這些垃圾不僅會影響電腦的運(yùn)行速度，還會造成很多的電腦漏洞，如果不注意清理，就會為ARP的攻擊與ARP病毒的入侵創(chuàng)造了條件，更容易使我們的電腦或局域網(wǎng)絡(luò)中的服務(wù)器受到攻擊，給用戶帶來很多的問題。

3.4 端口綁定策略

通常情況下，ARP的攻擊往往是產(chǎn)生于局域網(wǎng)內(nèi)，所以要做ARP的防護(hù)首先要從接入層交換機(jī)來進(jìn)行。端口綁定技術(shù)就是通過IP+MAC+端口的策略來進(jìn)行端口安全的設(shè)定。局域網(wǎng)內(nèi)的ARP攻擊，通過綁定可以實(shí)現(xiàn)設(shè)備對轉(zhuǎn)發(fā)報文的過濾與控制，從而提高局域網(wǎng)絡(luò)的安全性。目前，各個廠商都有自己的端口綁定技術(shù)，比如CISCO推出的端口安全技術(shù)就是通過限制接入交換機(jī)綁定的MAC的數(shù)量，讓交換機(jī)自動獲取或手動配置這些地址，配置了該特性之后，接口會把自動學(xué)習(xí)到的地址轉(zhuǎn)換為粘性安全地址。

3.5 端口隔離策略

采用端口隔離的技術(shù)也是對ARP攻擊進(jìn)行防護(hù)的一種有效方法。通過端口的隔離，一旦局域網(wǎng)內(nèi)的用戶感染病毒或受到ARP病毒攻擊，只會影響一個端口，并不會影響其他用戶。端口隔離的方法也有很多，不同的廠商才用的方法也不一樣。常見的是CISCO采用基于端口VLAN的劃分，通過將不同的端口加入不同的VLAN中，從而實(shí)現(xiàn)端口的隔離。另外，華三、華為的方法通過劃分端口的策略來進(jìn)行端口的隔離。

3.6 DAI防止ARP攻擊策略

DAI（動態(tài)ARP檢測）是指從可信端口收到的ARP數(shù)據(jù)包，不用進(jìn)行任何檢查，直接進(jìn)行轉(zhuǎn)發(fā)；不可信端口上的所有ARP數(shù)據(jù)包在其更新本地ARP緩存之前，先根據(jù)IP與MAC地址綁定數(shù)據(jù)庫來檢測每個ARP數(shù)據(jù)包的合法性，丟棄并記錄與綁定數(shù)據(jù)庫信息不符的非法ARP數(shù)據(jù)包。也可以限制ARP數(shù)據(jù)包的發(fā)送速率，并且當(dāng)速率過高時，把接口轉(zhuǎn)變?yōu)閑rr-disable狀態(tài)。

以上是我們在局域網(wǎng)絡(luò)中常見的ARP攻擊類型，并針對這些類型的攻擊制定了安全策略。但在現(xiàn)實(shí)生活中，ARP的攻擊往往是錯綜復(fù)雜的，我們介紹的這些安全策略并不能完全解決局域網(wǎng)內(nèi)所有的ARP攻擊，還需要根據(jù)實(shí)際情況去做具體的完善。

【參考文獻(xiàn)】

[1]項(xiàng)寧.管群ARP漏洞及其ARP攻擊防范[J].軟件導(dǎo)刊，2009（11）.

[2]高喜龍.網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊[J].商情，2009（10）.

[3]孟曉明.基于ARP的網(wǎng)絡(luò)欺騙的檢測與防范[J].信息技術(shù)，2005（05）.