曾曉華　張寧丹

[摘要]由于ARP協(xié)議自身設(shè)計上的不足，使得ARP協(xié)議在使用的過程中存在ARP攻擊等網(wǎng)絡(luò)安全問題。分析ARP攻擊的幾種方式，給出幾種抵御ARP攻擊的防范措施。

[關(guān)鍵詞]ARP協(xié)議 MAC地址 ARP攻擊

中圖分類號：TP3文獻標(biāo)識碼：A文章編號：1671－7597（2009）0220073－01

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ钪胁豢扇鄙俚牟糠帧Ｓ捎诰W(wǎng)絡(luò)的開放性、資源的共享性等特點，各種對網(wǎng)絡(luò)的攻擊與破壞方式也逐漸增多。本文就針對較常見的一些利用ARP協(xié)議的漏洞對網(wǎng)絡(luò)進行攻擊的方式進行分析，并提出幾種較有效的防范策略。

一、ARP協(xié)議的工作特點

ARP，全稱Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務(wù)。

IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，在通信過程中，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。這個以太網(wǎng)地址（MAC地址）就是通過ARP協(xié)議獲得的。即ARP協(xié)議的作用是將網(wǎng)絡(luò)中的IP地址解析為的MAC地址，以保證通信的順利進行。

二、ARP欺騙原理

在網(wǎng)絡(luò)中，每臺計算機具有兩個不同的地址：IP地址和物理地址（MAC地址），局域網(wǎng)內(nèi)部的主機是根據(jù)MAC地址來通信的。ARP協(xié)議是根據(jù)目標(biāo)主機的IP地址來獲得其MAC地址，當(dāng)IP數(shù)據(jù)包準備發(fā)送時，由數(shù)據(jù)鏈路層加上源MAC地址和目的MAC地址封裝成以太網(wǎng)數(shù)據(jù)包發(fā)送出去，如果數(shù)據(jù)鏈路層不知道目的IP的MAC地址，它就向局域網(wǎng)廣播一個ARP請求，報文給局域網(wǎng)中的每一計算機，只有具有此IP的主機收到這份廣播報文才會向源主機回送一個包含其MAC的ARP應(yīng)答報文，每個主機都有一個ARP高速緩存，存放了最近的IP-MAC映像，主機每隔一段時間或當(dāng)收到ARP應(yīng)答都會更新緩存。對大多數(shù)操作系統(tǒng)而言，如果收到一個ARP應(yīng)答，它們不管自己是否在此之前曾發(fā)出ARP請求報文，都會自動更新自己的ARP緩存。因此，ARP協(xié)議的攻擊方法最根本的途徑，就是利用主機對ARP應(yīng)答的無條件信任，篡改主機的ARP緩沖，從而實現(xiàn)各種攻擊。比如，主機A發(fā)送報文給主機C，攻擊者利用ARP欺騙將C的MAC地址映射為主機D，這樣就把主機A發(fā)送給主機C的報文的發(fā)送給了攻擊者所指定的一臺主機D，而主機A卻沒有察覺。

三、ARP協(xié)議的網(wǎng)絡(luò)攻擊方式

（一）簡單的欺騙攻擊

攻擊者通過發(fā)送偽造的ARP包來欺騙目標(biāo)主機或路由器，讓對方認為這是一臺合法的主機，從而達到欺騙的目的。這種欺騙多發(fā)生在同一個網(wǎng)段內(nèi)。

（二）中間人攻擊

中間人攻擊就是攻擊者將自己的主機插入兩個目標(biāo)主機通信路徑之間，截獲并且轉(zhuǎn)發(fā)雙方的數(shù)據(jù)包，通過截獲數(shù)據(jù)包，可以探測有價值的信息，破壞信息的機密性，甚至纂改信息的內(nèi)容，并發(fā)出虛假信息，竊取或騙取用戶的錢財和信息。

（三）基于ARP的DOS攻擊

將ARP攻擊和DOS（Denial of Service，拒絕服務(wù)）攻擊相結(jié)合，這是一種新的攻擊手段，也叫拒絕服務(wù)攻擊。如果攻擊者將目標(biāo)主機ARP緩存中的MAC地址全部改為根本就不存在的地址，或者攻擊者將大量ARP連接請求都發(fā)送到一臺目標(biāo)主機時，由于主機的處理能力有限，使網(wǎng)絡(luò)中其他主機就無法與該主機進行通信，從而導(dǎo)致目標(biāo)主機產(chǎn)生拒絕服務(wù)。

（四）更改主機IP

攻擊者通過發(fā)出更改過的ARP報文，將一個錯誤的MAC地址強行映射到目的主機的IP地址，當(dāng)系統(tǒng)檢測到兩個不同的MAC地址對應(yīng)了一個IP地址，誤以為網(wǎng)絡(luò)中該IP地址已經(jīng)被其他主機使用，Windows操作系統(tǒng)會彈出IP地址沖突的警告對話框，并使網(wǎng)絡(luò)中斷。

四、ARP欺騙的防范措施

分析基于ARP協(xié)議的攻擊方法最根本的途徑，就是利用主機對ARP應(yīng)答的無條件信任，篡改主機的ARP緩沖，從而實現(xiàn)各種攻擊。而在實際的網(wǎng)絡(luò)運行當(dāng)中，有很多用戶不知道自己的計算機已經(jīng)被欺騙攻擊了，然后在不知情的情況下自己又對別的計算機發(fā)起攻擊或進行ARP欺騙的。因此，對ARP的欺騙防范不僅要從技術(shù)上進行防范，也要從管理上進行防范。主要防范措施有以下幾點：

1．檢測自己主機的IP地址是否正在被其它機器挪用。主機定期向所在局域網(wǎng)發(fā)送查詢自己IP地址的ARP請求報文，如果能夠收到另一ARP響應(yīng)報文，則說明該網(wǎng)絡(luò)上另有一臺機器與自己具有相同的IP地址。一旦發(fā)現(xiàn)攻擊，應(yīng)立即采取有效措施，解決被攻擊主機的問題，以恢復(fù)網(wǎng)絡(luò)的正常使用。

2．定期對計算機進行系統(tǒng)升級，安裝防范殺毒軟件。設(shè)置系統(tǒng)自動檢測殺毒軟件的病毒特征庫是否升級到最新版本，并能自動更新。關(guān)閉一些不必要的服務(wù)，以防止攻擊者利用服務(wù)漏洞進行攻擊。

3．設(shè)置靜態(tài)IP。ARP協(xié)議攻擊的最根本原理是改變IP與MAC地址的對應(yīng)關(guān)系。所以可以采取靜態(tài)MAC地址表法的方法進行防范，即在目標(biāo)主機的ARP緩存中設(shè)置靜態(tài)地址映射記錄，設(shè)置之后不再動態(tài)更新，這樣可以避免ARP協(xié)議攻擊。但是，這種方法的缺陷也很明顯，在一個局域網(wǎng)內(nèi)經(jīng)常會出于各種正當(dāng)?shù)脑蛐枰薷闹鳈C的IP地址，這種手工維護MAC表的方式不適用，而且它也要求網(wǎng)絡(luò)硬件支持這種配置方式，因此在實際中用得較少。

4．使用ARP服務(wù)器。指定局域網(wǎng)內(nèi)部的一臺機器作為ARP服務(wù)器，專門保存并且維護可信范圍內(nèi)的所有主機的IP地址與MAC地址映射記錄。該服務(wù)器通過查閱自己的ARP緩存的靜態(tài)記錄并以被查詢主機的名義響應(yīng)局域網(wǎng)內(nèi)部的ARP請求。同時可以設(shè)置局域網(wǎng)內(nèi)部的其它主機只使用來自ARP服務(wù)器的ARP響應(yīng)，但必須保證ARP服務(wù)器不被黑客攻擊。

5．使用硬件屏障主機。設(shè)置好路由器，在路由器上將IP地址與MAC地址綁定，啟用ARP檢查，以過濾偽造源MAC地址的ARP攻擊，這樣可以防止路由器受到ARP攻擊。

五、結(jié)束語

ARP協(xié)議攻擊主要來源于協(xié)議自身設(shè)計上的不足。ARP攻擊給網(wǎng)絡(luò)帶來了極大的安全隱患。本文通過研究ARP協(xié)議的各種攻擊方式，給出了一些抵御ARP攻擊的方法，從而提高網(wǎng)絡(luò)的安全性。

參考文獻：

[1]雙木編著，網(wǎng)絡(luò)管理之ARP協(xié)議篇[M].中國人民大學(xué)出版,2003-06-05.

[2]馬軍、王巖，ARP協(xié)議攻擊及其解決方案[J].微計算機信息，2006(15):70-71,140.

[3]陳英、馬洪濤，局域網(wǎng)內(nèi)ARP協(xié)議攻擊及解決辦法[J].中國安全科學(xué)學(xué)報，2007(7):126-131.

[4]任俠、呂述望，ARP協(xié)議欺騙原理分析與抵御方法[J].計算機工程，2003(9):127-128，182.