王斐人 李 毅
摘要:本文通過對ARP協(xié)議的工作原理的研究,描述在局域網(wǎng)絡(luò)中ARP欺騙原理和欺騙的方式、方法,并提出防范ARP網(wǎng)絡(luò)欺騙攻擊的方法。
關(guān)鍵詞:ARP協(xié)議;ARP欺騙;防范
1引言
在計算機技術(shù)高速發(fā)展的今天,網(wǎng)絡(luò)已經(jīng)成為我們工作生活中不可或缺的部分;然而網(wǎng)絡(luò)在給我們的工作、生活帶來了極大便利的同時,也帶來了一系列負面問題。眾所周知,計算機一旦與網(wǎng)絡(luò)互聯(lián),幾乎都遇到過各式各樣的網(wǎng)絡(luò)攻擊,媒體上經(jīng)常有服務(wù)器被黑客入侵或被病毒攻擊的報道;網(wǎng)絡(luò)安全已經(jīng)受到了日益嚴(yán)重的威脅。
現(xiàn)在局域網(wǎng)中感染ARP病毒的情況日益增多,清理和防范都比較困難,給不少網(wǎng)絡(luò)管理員造成了很大的困擾。本文在分析當(dāng)前局域網(wǎng)特點的基礎(chǔ)上,旨在找出感染ARP病毒的原因和防范ARP病毒的機制,為局域網(wǎng)的管理提供解決的思路和方法。
2ARP協(xié)議工作原理
ARP(Address Resolution Protocol,地址解析協(xié)議)是一個位于OSI參考模型中的數(shù)據(jù)鏈路層(DL)協(xié)議,負責(zé)將網(wǎng)絡(luò)層(OSI的第三層)IP地址解析為數(shù)據(jù)鏈路層(OSI的第二層)的MAC地址。
假設(shè):
計算機A的IP為17225.13.1,MAC地址為00-1E-90-33-46-01;
計算機B的IP為172.25.13.2,MAC地址為00-1E-90-33-46-02;
ARP工作原理如下:
在TCP/IP協(xié)議中,A給B發(fā)送IP包,在包頭中需要填寫B(tài)的IP為目標(biāo)地址,但這個IP包在以太網(wǎng)上傳輸?shù)臅r候,還需要進行一次以太包的封裝,在這個以太包中,目標(biāo)地址就是B的MAC地址。
計算機A是如何得知B的MAC地址的呢?解決問題的關(guān)鍵就在于ARP協(xié)議。
在A不知道B的MAC地址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(172.25.13.2),以太網(wǎng)中的所有計算機都會接收這個請求,而正常的情況下只有B會給出ARP應(yīng)答包,包中就填充上了B的MAC地址,并回復(fù)給A。A得到ARP應(yīng)答后,將B的MAC地址放入本機緩存,便于下次使用。本機MAC緩存是有生存期的,生存期結(jié)束后,將再次重復(fù)上面的過程。
3ARP欺騙原理
ARP欺騙作為一種典型的欺騙類攻擊,包括構(gòu)造偽造的ARP請求和ARP應(yīng)答包。攻擊主機通過發(fā)送偽造的ARP應(yīng)答來更新目標(biāo)主機的ARP緩存,從而使自身贏得目標(biāo)主機的信任。然后再實施有效攻擊或非法監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包,造成目標(biāo)主機被攻破或機密信息泄漏等一系列災(zāi)難性后果。
ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包,就能更改目標(biāo)主機ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。
ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一個人感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其他計算機的通信信息,并因此造成網(wǎng)內(nèi)其他計算機的通信故障。
4防范技術(shù)
4.1基于交換機的端口與MAC地址綁定
機柜交換機進行IP-MAC-交換機端口配對綁定,服務(wù)器只能在指定交換機端口使用,防止內(nèi)部ARP攻擊機發(fā)送虛假IP地址,虛假MAC地址,偽造網(wǎng)關(guān),進行欺騙攻擊。
機柜交換機進行網(wǎng)關(guān)IP-網(wǎng)關(guān)MAC靜態(tài)綁定,為機柜內(nèi)部服務(wù)器提供靜態(tài)的網(wǎng)關(guān)MaC地址解析。
4.2創(chuàng)建PC機上的綁定腳本文件
以在XP系統(tǒng)上的設(shè)置為例,采用雙向綁定的方法解決并且防止ARP欺騙。
(1)首先,獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC地址[例如網(wǎng)關(guān)地址172.25.13.254的MAC地址為00-1 E-90-33-46-5A)。
(2)編寫一個批處理文件rarp.bat內(nèi)容如下:
@echo Off
arp-d
arp-S 172.25.13.254 00-1E-90-33-46-5A
將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為實際使用的網(wǎng)關(guān)IP地址和MAC地址即可。
將這個批處理軟件拖到“Windows開始→所有程序→啟動”中。
4.3在交換機上做單端口
VLAN設(shè)定:由于ARP欺騙攻擊一般在同網(wǎng)段危害比較大,我們將網(wǎng)絡(luò)分段劃分得比較細,從而減少危害影響面,達到一定的保護作用。具體做法是,在交換機上有多少個端口就設(shè)定多少個VLAN,將端口設(shè)定為工作在某個指定的VLAN。這樣可在局域網(wǎng)內(nèi)起到防范ARP欺騙攻擊的作用。
4.4軟件防控
安裝360安全衛(wèi)士的360arp防火墻,在窗口中選擇“網(wǎng)關(guān)保護設(shè)置→綜合設(shè)置→自動獲取→保存設(shè)置”就可完成保護設(shè)定。
安裝AntiArp軟件。運行AntiArp軟件后,輸入本網(wǎng)段網(wǎng)關(guān)的正確IP地址后,單擊“獲取網(wǎng)關(guān)MAC地址”,點擊“自動保護”,即可完成保護設(shè)定工作。該方法由于安裝、設(shè)置比較簡單,適合普通用戶的使用,是目前個人計算機上使用比較多的一種保護方式。
5結(jié)束語
通過以上幾種方法來解決ARP病毒對于局域網(wǎng)的欺騙攻擊是比較有效果的。但是由于ARP病毒版本在不斷更新、升級中,所以仍會給局域網(wǎng)用戶帶來新的沖擊與危害。因此有必要提前做好局域網(wǎng)ARP病毒的防范工作,使得ARP病毒的危害減少到最小程度。當(dāng)然,在網(wǎng)絡(luò)安全領(lǐng)域,沒有任何一種技術(shù)手段可以解決所有的問題,對于各種類型的網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)管理員應(yīng)當(dāng)密切檢查網(wǎng)絡(luò),不斷提高自身的技術(shù)水平,確保網(wǎng)絡(luò)安全的正常運行。