論無線局域網中ARP的安全攻防戰

李迎接 查蘊初 吳開

【摘 要】在這個信息化發展迅速的社會，無線局域網在我們生活中的地位日益上升，具有不可替代的特征。無線局域網的速度快，穩定，價錢低廉等優勢獲得現代人的青睞，現如今無論到哪首先想找的是一個有無線局域網的地方，進行休息與工作。但給人們帶來便捷的同時也帶來了諸多危險，無線局域網的安全問題已經變得十分嚴峻，個人私密信息的泄露，支付賬號密碼被盜用，設備被黑客惡意的操控利用，對我們的正常生活造成了極大的危害。基于此本文將針對當前社會無線局域網中多種威脅之一的ARP攻擊分析其原理提出相應的防范措施。

【關鍵詞】ARP攻擊；網絡安全；無線局域網

一、ARP攻擊原理分析

1、ARP攻擊：這種攻擊方式是歷史悠久的入侵網絡手段，有著廣泛的操作空間，簡單來說這是一種間接性的攻擊入侵方式，通過篡改攔截和嗅探，可以獲得兩臺電腦之間的所有數據信息，然而通信雙方都無法察覺，換言之，利用這種攻擊方式可以獲取到對方的所有發出的數據信息，或者替換對方所有接收到的數據信息。這種攻擊方式歷史悠久，分布廣泛，操作簡單，極易上手，而且基本能夠滿足大多數黑客竊取，阻斷個人私密信息流的目的，依靠的是ARP協議中互相信任的這一弊端，這也是ARP攻擊方式中區別于其他攻擊方式的一大特點。在此協議剛開始的那段時間里，設計師的目的是要讓電腦與電腦之間能夠快速連接，互相識別與通信，而且在當時并不會有人會想到能夠利用ARP協議中的設計弊端進行攻擊，于是在設計之初也就忽略了安全性問題，最終反應在現實中的是：在同一個局域網中所有設備在通信時，都是互相信任的，只要得到了相應的應答反饋信息，絕不會進行校驗甄別是否是目標主機發送的，并存在自己的ARP緩存之中留作下次傳遞數據使用。然而隨著社會的不斷發展，技術的不斷進展更新，逐漸有人發現了這一弊端并利用了起來。這里舉一個簡單的例子來說明ARP攻擊的原理，首先有三臺電腦端，分別為：A、B、C，它們的IP地址分別為：IPA、IPB、IPC，它們的MAC地址分別為：MACA、MACB、MACC，他們所對應的接口分別為：PA、PB、PC，其中電腦B為使用ARP攻擊的黑客電腦，還有一個交換機X。正常情況下，電腦A想與電腦C進行通信時，電腦A會向所在的局域網絡中交換機X發送多個ARP請求包，其中包含著電腦A的IPA和MACA，以及電腦C的IPC、MACC，交換機X接收到請求后進行封包，根據交換機中的CAM表（MAC轉換為相對應的接口協議），將電腦A發來的ARP請求包通過對應的端口PB、PC發送給電腦B和電腦C，由于電腦A想與電腦C進行通信，正常來說的電腦B會將電腦A所發送的ARP請求包直接丟掉（因為請求包當中沒有關于電腦B的MAC和IP地址），而電腦C接收到電腦A已發出的ARP請求包后會明白電腦A要與電腦C通信，于是乎電腦C也會像之前電腦A發出請求包給C一樣經過交換機返回一個應答包給電腦A，而黑客所操控的電腦B可以對整個過程進行監聽，那么問題隨之而來了，電腦必會收到電腦A的請求包，根據請求包可以分析得出電腦C的MAC地址和IP地址，這時，電腦B可以偽造一個其中包含IPC和MACB的應答包，反饋給電腦A，如果電腦A這時儲存了電腦B發出的應答包，這是可以稱電腦A的ARP緩存被毒化，然而正確的應答包應該是IPC和MACC，（注意這里替換了MAC地址），ARP緩存毒化過后的電腦A就會交接下來要發送的信息全部發送給電腦B，達到了所說的竊取數據。簡單說：IP地址可以視為一個快遞當中收貨方的名字，MAC地址可以視為快遞當中的收貨地址，我只是需要知道人是我想要發的人就行了地址并不會管，但是在這個過程當中會有一個問題，電腦B和電腦C會同時向電腦A回饋信息，這時電腦A應該把哪個的反饋包緩存到自己的ARP緩存當中呢，這里需要遵循一個數據傳遞的統一原則：先到先得，后到優先，也就是說電腦A最后收到的應答包才會儲存在ARP緩存當中，層層覆蓋，而且在ARP緩存列表當中有兩種形式，一種是靜態一種是動態，靜態緩存列表即使關機重新啟動以后才會被清空刪除，而動態這是每20秒會更新一次，這樣是為了保證通信的順暢以及及時應對IP地址更改時的通信問題，那么如何保證電腦B所發出的請求包會在電腦C的之后呢，這里只需要不斷的向電腦A發送請求包即可，總會有后與電腦C的請求包將其覆蓋，這一操作可以在滲透軟件當中進行調整發送頻率，達到目的效果，同時也需要以相同的方式向電腦C進行操作，相當于電腦B成為了電腦A與電腦C的中間人，這也就是我們常說的中間人攻擊，中間人攻擊如果在操作合理的情況下，被攻擊雙方根本無法察覺。這里只是簡單的偽裝成電腦C，當然也可以偽裝成網關，偽裝成網關以后可以控制整個局域網對外的聯絡，限制速度，也可以當個對一個IP地址進行封殺網絡連接。這里舉一個簡單的安卓APP，wIfI殺手，有人曾在高中時段，利用wIfI殺手這一APP將全校網絡用戶全部封殺，其利用的就是ARP攻擊，而應對措施就是，斷開，重新連接，這樣操作可以使得自己的IP地址進行變化，收到wIfI殺手需要重新再掃描一次局域網用戶才可以起到封殺作用。

二、ARP攻擊防范措施

由于IP地址是收貨人的姓名，是兩個電腦識別的關鍵，如果網速變慢或者根本無法上網或者有其他現象證明自己被ARP攻擊，可以嘗試不斷變更自己的IP地址，使得發送機和接收機之間的識別機制不斷進行更新，方可避免ARP攻擊。或者直接使用可以預防ARP攻擊的第三層交換機，設置MAC與IP的靜態綁定，雖然每次重啟機器以后需要重新設置一下，但也是一個簡單的能夠預防的措施，合理分配VLAN，從根本上阻止盜用MAC地址和IP地址。

【參考文獻】

[1]林宏剛，陳麟，王標，吳彥偉.一種主動檢測和防范ARP攻擊的算法研究[J]. 四川大學學報（工程科學版），2008（03）：143-149.

[2]李軍鋒.基于計算機網絡安全防ARP攻擊的研究[J].武漢工業學院學報，2009，28（01）：57-59.

[3]史雋彬，秦科.ARP攻擊現狀分析及一種應對ARP攻擊的方法[J].陜西理工學院學報（自然科學版），2013，29（02）：45-49.

[4]郭征，吳向前，劉勝全.針對校園網ARP攻擊的主動防護方案[J].計算機工程，2011，37（05）：181-183.

[5]郭會茹，楊斌，牛立全.ARP攻擊原理分析及其安全防范措施[J].網絡安全技術與應用，2015（06）：5-6.