黃益群， 潘澤強

（江西中醫(yī)學院 計算機學院，南昌 330006）

0 前言

隨著計算機網絡的普及，網絡安全日益受到人們的關注，但由于網絡本身的復雜性，其管理難度也越來越大，任何一個小的問題都可能影響到整個網絡的正常運行。如最近流行的ARP欺騙攻擊，它可以在很短的時間內使整個網絡陷于癱瘓。因此，如何有效地防范ARP欺騙攻擊成為了人們研究的一項重要課題。本文主要從ARP原理、ARP欺騙過程和如何防御等三個方面進行簡單的介紹。

1 ARP協議原理

源主機在傳輸數據前，首先要對初始數據進行封裝，在該過程中會把目的主機的IP地址和MAC地址封裝進去。在通信的最初階段，我們能夠知道目的主機的IP地址，而MAC地址卻是未知的。這時如果目的主機和源主機在同一個網段內，源主機會以第二層廣播的方式發(fā)送ARP請求報文。ARP請求報文中含有源主機的IP地址和MAC地址，以及目的主機的IP地址。當該報文通過廣播方式到達目的主機時，目的主機會響應該請求，并返回ARP響應報文，因而源主機可以獲取目的主機的MAC地址，同樣目的主機也能夠獲得源主機的MAC地址。如目的主機和源主機地址不在同一個網段內，源主機發(fā)出的IP數據包會送到交換機的默認網關，而默認網關的MAC地址同樣可以通過ARP協議獲取[1]。經過ARP協議解析IP地址之后，主機會在緩存中保存IP地址和MAC地址的映射條目，此后再進行數據交換時只要從緩存中讀取映射條目即可。ARP工作原理如圖1所示。

圖1 ARP工作原理

2 ARP欺騙過程

2.1 對網內主機的欺騙

在Ethernet中，任何一臺主機當收到一個ARP報文之后更新自己ARP緩沖區(qū)。但由于主機無法驗證報文的真實性，當收到欺騙性的報文時，它也會更新本身的ARP緩沖區(qū)，這樣就造成“IP—MAC”的映射錯誤，使主機之間無法通信[2]。以表1為例，假設有三臺主機A、B、C，具體信息如表1所示。

表1 三臺主機A、B、C的具體信息

B為攻擊者，A、C為被攻擊者。首先B分別向A、C發(fā)送ARP請求報文，當A、C收到以后分別向B發(fā)送一個ARP響應報文，B收到后更新A、C的“IP—MAC”映射，并不斷地向A、C發(fā)送ARP響應報文，發(fā)送給A報文中的發(fā)送方的IP地址為10.30.5.4，MAC地址03-03-03-03-03-03，發(fā)送給C報文中發(fā)送方的IP地址為10.30.5.2，MAC地址03-03-03-03-03-03；當A、C收到以后分別更新本機的ARP緩存這樣主機A、C就會誤認為B就是對方，造成了A、C之間不能通信。這種攻擊方法也稱為中間人攻擊。還有一些其他的攻擊方法，但這些攻擊都有一個共同特點就是發(fā)送一些欺騙性的ARP報文。

2.2 網內主機與網關之間信息的竊取

當主機B想要獲取主機A對外通信的內容時，會分別給主機A和網關D發(fā)送一個ARP應答包，讓A和D都把第三方監(jiān)聽者誤認為是對方，這樣，主機A看似成功的實施了對外通信，而實際上中間夾著監(jiān)聽主機B。此時，主機B不僅可以完成監(jiān)聽，而且還可以隨意更改數據包中地某些信息，并成功完成數據包轉發(fā)。

簡單說，ARP欺騙的目的就是為了實現全交換環(huán)境下的數據監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達到這個目的。

3 ARP欺騙的發(fā)現及防御

3.1 ARP欺騙的發(fā)現

當局域網中有ARP攻擊時，它一般不會單獨的攻擊某一臺機器，而是整個局域網，涉及面積比較大，可以在很短的時間內使整個網絡癱瘓。因此及時地發(fā)現ARP攻擊源是非常重要的。一般可以采用以下幾種方法：

1）使用“ARP -a”命令

如上文中提到的中間人攻擊，當我們在主機C上輸入此命令時，顯示本機的ARP緩存：緩存中10.30.5.2所對應的MAC地址與真正的MAC地址不符，說明攻擊源的MAC地址為22-22-22-22-22-22。另外，還有一種情況比較具有迷惑性，當主機C除了向網關A沒有向其他主機發(fā)出連接，主機C的ARP緩存如下所示：

ARP緩存沒有任何異常，但主機C和網關A之間無法通信，這主要是由于主機B不斷的向本網段內的主機發(fā)送ARP請求報文，其他主機向主機B發(fā)送一個響應，這樣主機B就可以用主機C的信息向網關A發(fā)送偽造的ARP報文，該報文的源MAC地址為主機C的地址，當交換機收到該幀時，交換機把指向主機C端口改到和主機B相同。查看網關D的ARP緩存，會看到指向主機B和很多主機都指向了同一個端口。

2）監(jiān)聽數據報

當有ARP攻擊的時候，攻擊源一般會向本網段內的所有主機發(fā)送ARP請求報文。因此可以利用一些抓包工具，如用Sniffer等進行抓包，如發(fā)現有大量的ARP請求報文從某一臺機器發(fā)出，那么這臺機器極有可能就是攻擊源。

3）查看網關ARP緩存

ARP攻擊時最主要的攻擊對象就是網關。因此可以查看網關的ARP緩存，如果有很多個IP地址都指向同一個MAC地址，那么就說明存在A R P欺騙攻擊，這個MAC地址對應的主機就是A R P攻擊源。

由于ARP攻擊主要利同ARP協議的漏洞，因此目前沒有徹底的方法來防御ARP攻擊。我們可以通過一些安全措施提高網絡的安全性。

3.2 ARP欺騙的防御

3.2.1 在客戶端綁定網關和ARP服務器的真實MAC地址

在本文設計的方案中，通過在客戶端的主機上靜態(tài)綁定網關和ARP服務器的MAC地址，來防范第三方對源主機與網關和ARP服務器之間的通信進行監(jiān)視，這樣設置的結果是主機發(fā)送數據前不需要通過向所在的局域網廣播請求來得到網關的MAC地址，它會直接查詢靜態(tài)記錄以獲得的地址。攻擊者若在沒有收到ARP請求的情況下仍發(fā)送偽造的ARP應答數據包企圖實施欺騙時，源主機將拒絕用偽造的數據更新ARP緩存表的靜態(tài)記錄[3]。即不再對ARP緩存表中對信息進行更新，這樣可以防止第三者對主機與網關之間的通信信息進行竊聽，也能保證定時發(fā)往ARP服務器的ARP應答包沒有經過第三者轉發(fā)，所以通信是可靠的?？梢詤⒄障旅娴睦訉钟蚓W內的主機進行靜態(tài)的MAC地址綁定。

例如：假設計算機所處網段的網關為10.30.5.1，本機地址為10.30.5.3，在“開始”-“程序”-“附件”菜單下調出“命令提示符”，輸入：arp-a，在計算機上運行arp -a后顯示如下信息：

其中，01-01-01-01-01-01就是網關10.30.5.1對應的MAC地址，類型是動態(tài)(dynamic)的，因此是可被改變的。

手工綁定的命令為：

arp-s 10.30.5.1 00-01-02-03-04-05

綁定完后，可再用arp -a查看arp緩存：:

這時，型變?yōu)殪o態(tài)(static)，就不會再受攻擊影響了。但是需要說明的是，手工綁定在計算機關機重啟后就會失效，需要再次重新綁定。所以，要想永久綁定可以將上面的命令做成批處理文件，在計算機啟動時便已對網關和ARP服務器的MAC地址進行了綁定，編寫一個批處理文件aarp.bat，內容如下：

保存為：aarp.bat。

運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中，如果需要立即生效，請運行此文件。

通過以上的設定，能有效的阻止攻擊者對用戶和網關之間實施ARP欺騙，本方案在設計的時候，之所以沒有對局域網內的其他主機的MAC地址沒有實行靜態(tài)綁定，是考慮到在局域網內的用戶經常會處于各種原因對主機的IP地址進行修改如果每個主機都采用靜態(tài)記錄，那么當對主機的IP地址進行正當調整后，如果忘記重新設置該靜態(tài)記錄，局域網內部就會出現混亂。因此不宜對局域網內其他主機的MAC地址進行靜態(tài)綁定。

3.2.2 設置ARP服務器

ARP服務器的主要功能是接受局域網內的所有主機定時發(fā)送的ARP應答數據包，對各個主機的ARP請求進行應答，然后對接收到的所有應答包的信息進行分析判斷，看是否存在相同的IP地址對應不同的MAC地址，如果存在，對發(fā)生矛盾的信息暫時不進行更新，然后服務器將判斷的結果再發(fā)送給網關，網關通過這個MAC地址查出用來實施ARP欺騙攻擊的主機在交換機上所對應的物理端口，從而進行控制。在服務器和網關之間實行聯動機制，使得ARP攻擊能及時被發(fā)現并被及時被清除[4]。系統要求網內各個主機發(fā)往ARP服務器的數據要定期主動發(fā)送，即使在沒有收到ARP服務器發(fā)送的ARP請求時也要進行發(fā)送，其發(fā)送周期要盡量小，原則上不能超過服務器對ARP緩存表進行更新的周期(一般為2分鐘)，這樣設置的理由是周期越小，服務器越能即使發(fā)現企圖實施攻擊的計算機，以便通知網關對其通信端口進行控制。

3.3.3 設置主機的ARP請求

當源主機要和局域網內的一臺主機進行通信時，源主機就發(fā)送一個ARP請求數據包給ARP服務器，服務器對接受到的信息進行行分析，分別發(fā)送給要通信的兩臺主機一個ARP應答數據包，內容就是對方的IP地址和對應的MAC地址。由于兩臺主機對服務器的地址都進行了綁定，所以受到的信息是可靠的，兩臺主機收到這個信息后就可以進行通信了，ARP服務器設置于網關的前端，對客戶端來說是透明的。

4 結束語

上述的幾種防御措施也存在各自的局限性，一般是多種方案配合使用，可以最大限度的阻止ARP欺騙攻擊的出現，但是還有以下問題需要繼續(xù)研究，一是如何設置主機定時向ARP服務器發(fā)送一個ARP應答包來報告自己的IP地址和MAC地址的對應關系，二是如何實現ARP服務器和網關之間的聯動機制，三是如何讓主機只識別來自ARP服務器的ARP應答數據包。從根本上解決這一問題，最好的方法是重新設計一種安全的地址解析協議。在IPv6中人們已經考慮到了這個問題，不再使用ARP和RARP協議，而采用了更安全的NDP，從而杜絕了來自底層的攻擊。

[1] 任俠,呂述望.ARP協議欺騙原理分析與抵御方法[J].計算機工程, 2003,29(9):127-128.

[2] 孟曉明.基于ARP的網絡欺騙的檢測與防范[J].信息技術,2005,(5):41- 44.

[3] 李海鷹,程灝,呂志強等.針對ARP攻擊的網絡防御式設計與實現[J].計算機工程,2005,31(5):170- 171.

[4] 徐功文,陳曙.ARP協議攻擊原理及其防范措施[J].網絡與信息安全,2005,(1):4- 6.