胡清桂

(內江師范學院現(xiàn)代教育技術中心， 四川 內江 641112)

0 前 言

隨著Internet應用的不斷發(fā)展，網絡已經成為獲取信息的重要手段,也給人們的生活帶來了極大的方便.然而近年來出現(xiàn)的ARP欺騙給網絡安全造成了巨大威脅, 尤其對局域網的安全管理工作造成了嚴重的危害.本文通過對ARP協(xié)議原理的直觀分析，闡明了ARP欺騙過程，提出了新的解決ARP欺騙的具體方案，并對新的方案進行了仿真，仿真結果表明，新的方案在很大程度上可以防范ARP欺騙.

1 ARP欺騙簡介

1.1 ARP協(xié)議工作原理

ARP全稱為Address Resolution protocol，地址解析協(xié)議.所謂“地址解析”就是主機在發(fā)送數(shù)據(jù)包前將目標主機IP地址轉換成目標主機MAC地址的過程.在每臺安裝有TCP/IP協(xié)議的機器里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的.當某機器A要向主機B發(fā)送報文時，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數(shù)據(jù)傳輸[1].如果未找到，則廣播一個ARP請求報文，請求主機B回答其物理地址.網上所有主機包都收到這一ARP請求，但只有主機B向A主機發(fā)回一個ARP響應報文, 響應報文中就包含有主機B自己的IP地址和MAC地址，A接收到B的應答后，就會更新本地的ARP緩存表, 接著便用這個MAC地址發(fā)送數(shù)據(jù)[2].

1.2 ARP協(xié)議的缺陷

從ARP協(xié)議概述中可知，ARP協(xié)議是建立在對局域網內所有結點都信任這一基礎上的，它高效卻不安全[3].它不會檢查自己是否發(fā)過請求包，也不管對方的應答是否真實，只要收到數(shù)據(jù)幀的目標MAC是需要自己響應的，它都會接受并更新自己的ARP緩存表.這一缺陷造成局域網內的不安全，為ARP欺騙(即ARP攻擊)提供了可能，攻擊者可以隨意發(fā)布虛假的ARP報文欺騙其它主機.

當主機A廣播一個ARP請求報文請求主機B回答時, 網上所有主機都收到這一ARP請求，本來只是需要主機B回答ARP響應報文, 但假如主機C不斷回答ARP響應報文, 它謊稱自己是主機B，并告訴主機A它自己的MAC地址，則A接收到這個應答后，并不知道這是一個虛假的響應報文，它依然會更新本地的ARP緩存表, 接著便用這個MAC地址向主機B發(fā)送數(shù)據(jù).很明顯，主機A原本打算發(fā)向主機B的數(shù)據(jù)結果都發(fā)送到了主機C那里，這就是一個簡單的ARP欺騙.

1.3 幾種主要的ARP欺騙方式和常見防范措施

利用ARP協(xié)議本身的缺陷，病毒主機可以對其它主機進行ARP欺騙，其欺騙方式主要有以下幾種.

第一，假冒網關的ARP reply包(單播)，當某一主機A廣播一個ARP報文請求網關回答時，病毒主機假冒網關回答.主機A收到響應報文后，就更新本地緩存表，把病毒主機當作是自己的網關.

第二，假冒網關的ARP request(廣播)，這種情況下，病毒主機主動發(fā)出ARP請求報文，報文內容可以理解為“Hello everyone(為廣播的MAC)！我是網關，我的IP是XXX并且我的MAC是YYY”， 其它主機收到廣播報文后，就更新本地緩存表，把病毒主機當作是自己的網關.

第三，假冒網內某個節(jié)點的ARP reply包(單播)，當某一主機A廣播一個ARP請求報文請求主機B回答時，病毒主機假冒主機B回答.主機A收到響應報文后，就會把病毒主機當作是主機B.

第四，假冒網內某個節(jié)點的ARP request(廣播)，這種情況下，病毒主機主動發(fā)出ARP請求報文，報文內容可以理解為“Hello everyone(為廣播的MAC)！我是主機B，我的MAC是YYY”， 其它主機收到廣播報文后，就更新本地緩存表，把病毒主機當作是主機B.

當病毒主機不斷地向局域網內發(fā)送ARP欺騙報文時，會造成整個局域網無法正常通信的局面.如果病毒主機發(fā)出的ARP欺騙報文中源IP地址為其它主機IP地址，對方收到ARP欺騙報文后，檢查到源IP地址和自己的IP地址相同，windows操作系統(tǒng)就會彈出IP沖突的警告.如果病毒主機不斷地發(fā)出類似的ARP欺騙報文，就會出現(xiàn)局域網內到處都是IP沖突的局面[4].總之，ARP欺騙已經對局域網的安全構成了嚴重威脅.

針對ARP欺騙給局域網帶來的危害，目前主要有以下幾種防范措施.

第一是靜態(tài)綁定，這是防范ARP欺騙常用的方法之一.這種方法就是在網內把所有主機和網關都做IP和MAC綁定.這種方法的缺點是工作量大，不易操作.比如網絡中有數(shù)百臺甚至上千臺主機，每一臺都去做靜態(tài)綁定，工作量太大，比較麻煩.另外，以校園網為例，學生流動量大，電腦經常更換，這種情況做靜態(tài)綁定就更困難了.

第二是劃分安全域，這也是防范ARP欺騙最常用的方法之一[5].ARP攻擊是在同一個廣播域中進行的，一旦有一臺主機受到ARP病毒的感染，就會蔓延到整個廣播域.所以，廣播域越大，病毒的影響范圍就越大.在內網中，可以通過劃分VLAN減小廣播域，將ARP欺騙的攻擊控制在一個小范圍內.劃分安全域的方法在一定程度上能有效緩解ARP攻擊，但缺點是安全域劃分太細會使局域網的管理和資源共享不方便，另外劃分安全域也需要設備的支持，簡單地說，當三層交換設備端口不夠時，就無法劃分更細的安全域.

第三是在接入交換機啟用802.1x協(xié)議，針對網關型ARP欺騙病毒, 有的公司研制了一整套產品, 在接入交換機啟用802.1x協(xié)議, 用戶上網必須通過認證, 由此獲取用戶真實的IP、MAC地址，對用戶發(fā)出的ARP廣播進行分析, 對疑似ARP報文進行攔截, 并對IP地址和MAC地址進行綁定, 這種方案由于需要購買專用的設備及軟件, 實施起來比較復雜, 成本較高.

第四是隔離病毒主機，就是將中ARP病毒的主機查找出來，將其隔離網絡，用戶只有將ARP病毒查殺干凈或重裝系統(tǒng)后才能重新接入網絡.這種方法的缺點是費時費力，以校園網為例，校園局域網一般有上萬臺主機，對各個有ARP病毒的網段都要查找病毒主機，確實比較煩瑣.

綜上所述，目前常用的幾種防范措施都有其明顯的缺點，所以我們還需要尋找更為有效的ARP欺騙防范措施.

2 ARP協(xié)議的改進

針對ARP協(xié)議本身存在的缺陷，筆者提出了一種新的ARP協(xié)議改進方案，如圖1、圖2所示. 在每臺安裝有TCP/IP協(xié)議的機器里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應.當某機器A要向主機B發(fā)送報文時，會查詢本地的ARP緩存表，如果找到B的IP地址對應的MAC地址后就會進行數(shù)據(jù)傳輸.如果未找到，則廣播一個ARP請求報文(攜帶主機A自身的IP地址IPa和物理地址)，請求IP地址為IPb的主機B回答其物理地址.網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應報文, 響應報文中就包含有主機B自己的IP地址和MAC地址，A接收到B的應答后，并不會馬上更新本地的ARP緩存表, 而是首先檢查響應報文中的MAC地址會不會和本地緩存表中某一個MAC地址相同.

圖1 修改后的ARP協(xié)議工作原理

需要說明的是，本地緩存表中如果有MAC地址和響應報文中的MAC地址相同，則它們對應的IP地址肯定是不同的.因為主機A向主機B發(fā)送報文前，首先會查詢本地的ARP緩存表，如果找到B的IP地址，則會使用相對應的MAC地址直接進行數(shù)據(jù)傳輸，而不需要廣播ARP請求報文.換句話說，主機A的緩存表中并沒有主機B的IP地址才會發(fā)送ARP廣播報文，而它收到的ARP響應報文是主機B的IP地址，所以它們兩者的IP地址一定不同.

如果主機A本地緩存表中某一MAC地址和響應報文中的MAC地址相同，說明有兩種可能情況，第一種可能情況是這一MAC地址對應的主機更換了新的IP地址，而緩存表中這一MAC地址對應的是以前使用的舊的IP，另一種可能情況是出現(xiàn)了ARP欺騙.

圖2 修改后的ARP協(xié)議示意圖

不管是哪種情況，如果主機A檢查到本地ARP緩存表中有MAC地址和響應報文中的MAC地址相同，就會向這一MAC地址對應的兩臺主機同時發(fā)出ARP確認報文，當主機A僅僅收到主機B的確認回答，而沒有收到另一主機的確認回答，它便相信這一響應報文，更新本地的ARP緩存表，接著便用這個MAC地址發(fā)送數(shù)據(jù).

如果主機A收到主機B的確認回答，然后又收到另一主機的確認回答，說明存在ARP欺騙，因為一個MAC地址只能對應一個IP地址.這種情況下，主機A不會更新本地的ARP緩存表，也不會用這個MAC地址發(fā)送數(shù)據(jù).

如果主機A沒有收到主機B的確認回答，但又收到另一主機的確認回答，也說明存在ARP欺騙，如果主機A沒有收到任何主機的確認回答，那么這就說明有可能是網絡擁塞，也有可能是主機B在發(fā)出ARP響應報文時虛構了IP地址或者虛構MAC地址，導致主機A無法收到任何確認回答.這兩種情況下，主機A都不會更新本地的ARP緩存表，也不會用這個MAC地址發(fā)送數(shù)據(jù).

對于其它形式的ARP欺騙，包括假冒網關的ARP單播和廣播、假冒其它主機的ARP廣播，按照筆者的思想，如圖3所示，一臺主機一旦收到ARP包，它首先應檢查ARP包中的MAC地址和IP地址在本地緩存表中是否已經存在，這時會出現(xiàn)下面4種情況.

第一，如果ARP包中的MAC地址在本地緩存表中已經存在，但IP在本地緩存表中不存在，說明有可能是ARP欺騙，也有可能是這一MAC對應的機器更換了新的IP.

第二，如果ARP包中的IP在本地緩存表中已經存在，但MAC地址本地緩存表中不存在，說明有可能是ARP欺騙，也有可能是這一用戶更換了新的機器，從而出現(xiàn)了新的MAC.

第三，如果ARP包中的IP和MAC地址在本地緩存表中都不存在，說明可能是一個新的用戶，使用的是新的機器，當然，也有可能是病毒主機發(fā)送ARP包時虛構了并不存在的IP和MAC地址.

第四，如果ARP包中的IP和MAC地址在本地緩存表中都已經存在，而且這一IP和MAC地址在本地緩存表中是相對應的，那么它就可以忽略這個ARP包，如果它們是不對應的，也就是說IP在本地緩存表中有，但它對應另一個MAC，MAC在本地緩存表中也有，而它對應另一個IP，說明有可能是網內的這一個IP在網內另一個機器上使用，也有可能是發(fā)送ARP包的主機虛構了網內的其它用戶IP和MAC地址.

對于上面出現(xiàn)的4種情況，主機都應當向ARP包中的源主機發(fā)送ARP確認包，同時向本地緩存表中已經存在的MAC地址或者IP地址對應的主機發(fā)送ARP確認包.如果僅僅收到前者的確認回答，而沒有收到后者的確認回答，這種情況下，主機會相信這一ARP包，更新本地的ARP緩存表，其它情況都不會相信這一ARP包，從而不會更新本地的ARP緩存表.

而按照現(xiàn)行的ARP協(xié)議，一臺主機對網內所有其它主機都是信任的，一旦收到一個ARP包，它都會相信，這是不合理的.

3 使用OPNET軟件對改進協(xié)議的仿真

OPNET是最常用的網絡仿真軟件之一，它采用三層建模機制，分別為進程模型、節(jié)點模型和網絡模型，這種建模方式和協(xié)議、設備、網絡對應，可以全面反映網絡的相關特性.使用OPNET進行網絡建模仿真大體上可以分為以下幾個步驟：配置網絡拓撲(topology)、節(jié)點模型和進程的設計、配置業(yè)務(traffic)、運行仿真(simulation)，最后發(fā)布仿真報告(report)[6].

3 1 配置網絡結構模型

為了對改進后的ARP協(xié)議進行仿真，筆者配置了如下簡單的網絡結構模型， 4個客戶端電腦連接一個交換機，交換機通過路由器連接另一個交換機，另一個交換機上也連接有4個客戶端電腦，如圖4所示.

3 2 節(jié)點模型和進程設計

上面網絡結構模型中，客戶端電腦節(jié)點模型采用OPNET軟件現(xiàn)有的名為ethernet_wkstn_adv的節(jié)點模型，如圖5所示.在這個節(jié)點模型中，ARP模塊進程采用的是OPNET軟件現(xiàn)有的名為ip_arp_v4的進程模型，如圖6所示[7].

圖3 網絡拓撲結構 圖4 ethernet_wkstn_adv節(jié)點模型

圖5 ip_arp_v4進程

為了對改進后的ARP協(xié)議進行仿真，筆者對ARP模塊對應的ip_arp_v4進程進行了改進，如圖7所示.事實上，采用不同的進程來實現(xiàn)不同協(xié)議的仿真是OPNET軟件最常用的功能.

如圖7所示，仿真開始時，本模塊相關參數(shù)值在init狀態(tài)中進行初始化工作，之后進入到等待狀態(tài).如果某時刻數(shù)據(jù)分組到達就會觸發(fā)ARRIVAL條件,這時狀態(tài)機就會由等待狀態(tài)進入到InquiryIPMAC狀態(tài)，仿真程序便會檢查ARP包中的MAC地址和IP地址在本地緩存表中是否已經存在，如果存在，狀態(tài)機就會進入到sendack2狀態(tài), 向相應的主機發(fā)送確認信息，否則狀態(tài)機就進入到sendack1狀態(tài)，只向ARP包中的源主機發(fā)送確認信息，然后狀態(tài)機就會進入waitack狀態(tài)，如果只收到ARP包中的源主機返回的確認回答，沒有收到其它主機返回的確認回答，則更新本地的ARP緩存表，然后返回到等待狀態(tài)，否則直接返回到等待狀態(tài).

圖6 新的arp進程 圖 7 兩種不同協(xié)議狀況下點對點的排隊延遲

3.3 業(yè)務量配置和仿真結果

完成網絡拓撲結構配置以及節(jié)點模型和進程設計后，開始配置業(yè)務量和確定統(tǒng)計量.對于配置業(yè)務量，本文采用的方法是在traffic選項中再選擇Import conversation pairs選項進行相關參數(shù)的配置[8].需要說明的是，配置業(yè)務量時讓一個電腦不斷地向整個網絡發(fā)送ARP欺騙包，然后對比新老兩種不同協(xié)議狀況下點對點的排隊延遲(queuing delay).從仿真結果可以看出，采用新的ARP協(xié)議時排隊延遲時間要低，而采用老的ARP協(xié)議時排隊延遲時間要高.

4 結束語

本文首先介紹了ARP協(xié)議原理，分析了幾種主要的ARP欺騙方式，同時介紹了幾種相應的防范措施，然后針對ARP欺騙提出了新的ARP協(xié)議，并采用OPNET仿真軟件對新的協(xié)議進行了仿真，仿真結果表明，新的協(xié)議對防范ARP欺騙是有效的.

參考文獻

[1] 徐 磊,李曉輝,方紅雨. 基于OPNET的Ad Hoc網絡建模與仿真[J]. 計算機工程, 2009, 35(1): 123-125.

[2] 伍俊洪,楊 洋,李惠杰,等. 網絡仿真方法和OPNET仿真技術[J]. 計算機工程, 2004, 30(5): 106-108.

[3] 陳 敏. OPENT網絡仿真[M]. 北京: 清華大學出版社, 2004.

[4] 孫飛燕,張朝陽,仇佩亮. HFC接入網絡MAC層隨機訪問機制靜態(tài)特性及動態(tài)穩(wěn)定性分析[J]. 電路與系統(tǒng)學報, 2003, 8(2): 33-38.

[5] 朱子行,梁 俊,趙 輝. 基于TDMA的臨近空間通信網MAC層協(xié)議仿真[J]. 電訊技術, 2009, 49(6): 19-22.

[6] 管明祥,郭 慶,李 陸. 基于臨近空間通信網絡混合業(yè)務的MAC協(xié)議[J]. 華南理工大學學報(自然科學版), 2008, 36(5): 65-69.

[7] 梁 俊,田 斌,仝海波,等. 一種支持QoS的D-TDMA協(xié)議性能分析與仿真[J]. 空軍工程大學學報(自然科學版),2010,11(1): 59-63.

[8] 顧韻華,劉素英. 動態(tài)口令身份認證機制及其安全性研究[J]. 微計算機信息，2007，23(11): 51-53.