江蘇省城市職業(yè)學(xué)院南通辦學(xué)點(diǎn) 徐勤岸 謝 琴

一、引言

隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)的規(guī)模越來越大，人們對網(wǎng)絡(luò)的使用也越來越多，隨之而來的各種網(wǎng)絡(luò)攻擊行為也在急劇增加。2O11年1月發(fā)布的《第27次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中顯示，截至2O1O年12月，有92.7%的中國中小企業(yè)接入了互聯(lián)網(wǎng)，規(guī)模較大的企業(yè)中互聯(lián)網(wǎng)得接入比例已經(jīng)接近1OO%。同時(shí)有2.O9億人遇到過病毒或木馬攻擊，占到網(wǎng)民總數(shù)的45.8%。為了提高企業(yè)的安全防護(hù)水平，在接入互聯(lián)網(wǎng)得中小企業(yè)中，有91.7%的中小企業(yè)安裝了殺毒軟件，有76.5%的中小企業(yè)加裝了防火墻。雖然這些措施可以防范大部分病毒和木馬的攻擊，但是對ARP攻擊卻有點(diǎn)無可奈何。

中小企業(yè)內(nèi)部基本都擁有規(guī)模不等的局域網(wǎng)，ARP攻擊對局域網(wǎng)的影響非常大。ARP欺騙木馬只需成功感染一臺電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓。更嚴(yán)重的是，它還可以竊取用戶密碼。如盜取QQ密碼、各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動(dòng)等。校園網(wǎng)作為一種局域網(wǎng)，同樣面臨ARP攻擊的威脅。

ARP攻擊對局域網(wǎng)的威脅這么大，那么什么是ARP攻擊，它又是如何實(shí)現(xiàn)的？

二、ARP攻擊及其原理

1、故障現(xiàn)象

某一日學(xué)校機(jī)房管理員向筆者反映某機(jī)房內(nèi)的所有計(jì)算機(jī)突然不能上網(wǎng)了。進(jìn)入機(jī)房實(shí)地檢查后發(fā)現(xiàn)，計(jì)算機(jī)可以使用銳捷客戶端通過認(rèn)證，但是卻無法連接到互聯(lián)網(wǎng)。據(jù)在機(jī)房上機(jī)的學(xué)生講，剛開始是可以上網(wǎng)，但過一會(huì)就打不開網(wǎng)頁了。于是筆者將機(jī)房內(nèi)所有計(jì)算機(jī)關(guān)機(jī)，然后再單獨(dú)啟動(dòng)一臺計(jì)算機(jī)，這時(shí)可以通過銳捷認(rèn)證并上網(wǎng)。但是當(dāng)所有計(jì)算機(jī)啟動(dòng)之后，很快整個(gè)機(jī)房又無法上網(wǎng)了。于是筆者判斷機(jī)房內(nèi)某臺計(jì)算機(jī)感染了ARP病毒，從而造成整個(gè)機(jī)房網(wǎng)絡(luò)遭受了ARP攻擊。

圖1 以太網(wǎng)數(shù)據(jù)幀結(jié)構(gòu)

2、ARP攻擊的概念

ARP攻擊是針對以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)。這種攻擊可讓網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無法正常連接，造成網(wǎng)絡(luò)的擁塞甚至癱瘓。

3、ARP攻擊原理

ARP攻擊利用ARP協(xié)議的不足實(shí)現(xiàn)其攻擊目的。ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皵?shù)據(jù)幀”。數(shù)據(jù)幀里面是有目標(biāo)主機(jī)的MAC地址的（以太網(wǎng)數(shù)據(jù)幀結(jié)構(gòu)如圖1所示，目的地址和源地址都是使用的MAC地址）。在以太網(wǎng)中，一臺計(jì)算機(jī)要與另一臺計(jì)算機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但是目標(biāo)主機(jī)的MAC地址卻不是一開始就知道的。它是通過地址解析協(xié)議（即ARP協(xié)議）獲得的。所謂“地址解析”就是計(jì)算機(jī)在發(fā)送數(shù)據(jù)幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。計(jì)算機(jī)會(huì)將查詢到的MAC地址及其對應(yīng)的IP地址用一個(gè)ARP高速緩存存放起來。

由于ARP是個(gè)早期的網(wǎng)絡(luò)協(xié)議，早期的互聯(lián)網(wǎng)采取的是信任模式，在科研機(jī)構(gòu)、大學(xué)內(nèi)部使用，追求的是功能和速度，所以對網(wǎng)絡(luò)安全考慮的很少。尤其是以太網(wǎng)的洪泛特點(diǎn)，能夠很方便的用來查詢。但就為日后的黑客開了方便之門。

默認(rèn)情況下，ARP從緩存中讀取IPMAC條目，緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動(dòng)態(tài)變化的。因此，只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，即會(huì)更新ARP高速緩存中的IP-MAC條目。正是因?yàn)锳RP協(xié)議有這樣的特點(diǎn)，所以在局域網(wǎng)中，黑客通過監(jiān)聽ARP Request廣播包，能夠偷聽到其它節(jié)點(diǎn)的（IP，MAC）地址，然后黑客就可以利用偷聽到的信息偽裝為某計(jì)算機(jī)節(jié)點(diǎn)A，告訴計(jì)算機(jī)節(jié)點(diǎn)B（受害者）一個(gè)假地址，使得B在發(fā)送給A的數(shù)據(jù)包都被黑客截取，而A、B卻渾然不知。

如果攻擊者持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IPMAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

后來，有人利用這一原理，制作了一些所謂的“管理軟件”。例如網(wǎng)絡(luò)剪刀手、執(zhí)法官、終結(jié)者等。有些人使用這些軟件的目的不一定是用于管理，而是以惡意破壞為目的，這樣就導(dǎo)致了ARP惡意攻擊的泛濫。再后來病毒木馬程序也加入了ARP攻擊的行列。盜號程序就是為了竊取用戶帳號密碼數(shù)據(jù)而進(jìn)行的ARP欺騙。

ARP攻擊主要是存在于局域網(wǎng)中。如果局域網(wǎng)中有一臺計(jì)算機(jī)感染ARP木馬，則計(jì)算機(jī)將會(huì)試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。因?yàn)檫@種攻擊是利用ARP請求報(bào)文進(jìn)行“欺騙”的，所以防火墻會(huì)誤以為是正常的請求數(shù)據(jù)包，不予攔截。因此普通的防火墻很難抵擋這種攻擊。

三、ARP攻擊的防范

防止ARP攻擊是比較困難的，修改ARP協(xié)議也是不大可能的。但是我們可以通過其它一些方法來提高校園網(wǎng)絡(luò)的安全性。

1、在用戶層面進(jìn)行防范

這主要通過在計(jì)算機(jī)上安裝一些安全軟件來實(shí)現(xiàn)對ARP攻擊。通過使用這些安全軟件，我們可以綁定網(wǎng)關(guān)的IP地址和MAC地址，同時(shí)只接受來自網(wǎng)關(guān)的ARP請求，對其它計(jì)算機(jī)發(fā)來的ARP請求進(jìn)行丟棄處理，這樣就不會(huì)將“錯(cuò)誤”的ARP信息更新到當(dāng)前計(jì)算機(jī)的ARP緩存中；我們還可以綁定計(jì)算機(jī)自身的IP地址和MAC地址，同時(shí)定期向外廣播ARP信息，保證自身的ARP信息不被黑客篡改。從而達(dá)到防范ARP攻擊的目的。這樣就可以保證和網(wǎng)關(guān)通信的通暢，實(shí)現(xiàn)自己ARP信息不被篡改。這方面的產(chǎn)品很多，主要是一些ARP防火墻和一些帶ARP防火墻功能的安全軟件。如彩影ARP防火墻、36OARP防火墻、金山貝殼ARP防火墻和服務(wù)器安全狗（DDOS/ARP防火墻）等軟件產(chǎn)品。

2、在校園網(wǎng)絡(luò)層面進(jìn)行防范

由于筆者所在學(xué)校使用的都是銳捷的網(wǎng)絡(luò)設(shè)備，所以通過可以結(jié)合相關(guān)的軟硬件設(shè)備對銳捷接入交換機(jī)進(jìn)行設(shè)置來實(shí)現(xiàn)對ARP攻擊的防范。

（1）利用銳捷交換機(jī)的地址綁定（address-bind）功能

在銳捷交換機(jī)的配置模式下使用addre-ss-bind 192.168.O.2 OO24.216e.12a3命令，可以將計(jì)算機(jī)的IP地址192.168.O.2和MAC地址OO24.216e.12a3進(jìn)行綁定。如果機(jī)房有1OO臺機(jī)器，就需要將每臺計(jì)算機(jī)的IP地址和MAC地址一個(gè)一個(gè)地進(jìn)行1OO次綁定，而且我們還要事先收集到這1OO計(jì)算機(jī)的IP地址和MAC地址。很明顯，如果計(jì)算機(jī)很多，這種綁定的工作量是很大的，所以我們可以采取批量導(dǎo)入的方法。由于學(xué)校購買了RG-SAM安全計(jì)費(fèi)管理系統(tǒng)，這個(gè)系統(tǒng)可以記錄使用銳捷客戶端登錄計(jì)算機(jī)的相關(guān)信息，其中就包括聯(lián)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址。我們可以使一個(gè)機(jī)房的計(jì)算機(jī)統(tǒng)一登錄，將收集到的IP地址和MAC地址導(dǎo)出。同時(shí)我們將銳捷交換機(jī)的配置導(dǎo)出，將機(jī)房計(jì)算機(jī)的所有IP地址和對應(yīng)的MAC地址加入到配置文件后再重新導(dǎo)入到交換機(jī)，從而減少地址綁定的工作量。

（2）使用銳捷交換機(jī)端口安全功能，并啟用arp-check功能

通過設(shè)置接入交換機(jī)的端口安全功能也可以有效防范ARP攻擊。首先進(jìn)入某接口，然后在該接口綁定用戶的MAC和IP地址。具體命令為switchport port-security mac-address OO24.216e.12a3 ip-address 192.168.O.2，然后使用switchport portsecurity開啟端口安全功能，最后使用switchport port-security arp-check開啟端arp檢查功能。

該方法對機(jī)房管理員來說工作量同樣很大，可以參考第一種方法實(shí)施批量導(dǎo)入。

（3）使用銳捷交換機(jī)的ARP動(dòng)態(tài)檢測功能（DAI）

如果機(jī)房內(nèi)計(jì)算機(jī)是通過DHCP服務(wù)器來自動(dòng)獲取IP地址的話，那么也可以通過配置銳捷交換機(jī)的ARP動(dòng)態(tài)檢測功能（DAI）來防范ARP攻擊。具體步驟為，在全局配置模式下通過ip dhcp snooping開啟dhcp snooping，接著進(jìn)入上聯(lián)端口使用ip dhcp snooping trust將其設(shè)置為信任端口，這樣只有此端口連接的服務(wù)器發(fā)出的DHCP響應(yīng)報(bào)文才能夠被轉(zhuǎn)發(fā)，然后進(jìn)入其它端口使用ip dhcp snooping address-bind配置DHCP snooping的地址綁定功能，最后在全局配置模式下使用命令ip arp inspection來啟用全局的DAI，同時(shí)使用ip arp inspection vlan 1啟用vlan1的DAI報(bào)文檢查功能。

四、受到ARP攻擊后的應(yīng)對措施

如果局域網(wǎng)已經(jīng)被ARP病毒感染，正在遭受ARP攻擊，我們可以通過一些軟件找出ARP病毒的源頭，并對其進(jìn)行清除，然后再使用上面提到的ARP防范方法將ARP攻擊從根本上的杜絕。

1、對ARP攻擊的定位

定位ARP攻擊不是件容易的事，不過借助一些軟件我們還是可以將“元兇”找出來。

（1）主動(dòng)定位方式

因?yàn)樗械腁RP攻擊源都會(huì)有其特征——網(wǎng)卡會(huì)處于混雜模式，可以通過ARPKi-ller這樣的工具掃描網(wǎng)內(nèi)有哪臺機(jī)器的網(wǎng)卡是處于混雜模式的，從而判斷這臺機(jī)器有可能就是“元兇”。定位好機(jī)器后，再做病毒信息的收集。

（2）被動(dòng)定位方式

在局域網(wǎng)發(fā)生ARP攻擊時(shí)，查看交換機(jī)動(dòng)態(tài)ARP表中的內(nèi)容，確定攻擊源的MAC地址。也可以在局域網(wǎng)中部署Sniffer工具，定位ARP攻擊源的MAC。一般ARP攻擊都是冒充網(wǎng)關(guān)的MAC地址，所以我們可以直接Ping網(wǎng)關(guān)IP，完成Ping后，用ARP–a查看網(wǎng)關(guān)IP對應(yīng)的MAC地址，此MAC地址應(yīng)該為欺騙地址，使用NBTSCAN可以取到PC的真實(shí)IP地址、機(jī)器名和MAC地址。

2、對ARP病毒的處理

我們可以使用趨勢科技提供的ARP病毒清除工具對ARP病毒進(jìn)行清除，然后再安裝ARP防火墻軟件，對網(wǎng)關(guān)的IP地址和MAC地址進(jìn)行綁定。這樣就可以將ARP攻擊拒之門外了。

五、小結(jié)

ARP攻擊會(huì)影響校園網(wǎng)絡(luò)的正常使用，甚至?xí)?dǎo)致校園網(wǎng)的癱瘓。通過對校園網(wǎng)中的計(jì)算機(jī)安裝ARP防火墻，在接入交換機(jī)上進(jìn)行防ARP攻擊的設(shè)置，就可以有效應(yīng)對ARP攻擊，保證校園網(wǎng)絡(luò)的正常運(yùn)行。

[1]中國互聯(lián)網(wǎng)絡(luò)信息中心.第27次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[EB/OL].http://www.cnnic.net.cn/dtygg/dtgg/201101/t20110118_20250.htm,2011-01-19/2011-11-10.

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)第五版[M].北京:電子工業(yè)出版社,2008.

[3]星網(wǎng)銳捷網(wǎng)絡(luò)有限公司.RG-S2600系列交換機(jī)RGOSV10.4(3)版本配置手冊[EB/OL].http://www.ruijie.com.cn/service/doc-searchone.aspx?uniid=c90cba58-5592-457f-a9bccbb4e8ffdfb9,2011-08-10/2011-11-10.