郭籽蔚

（神東煤炭集團信息中心，陜西 神木 719315）

1 ARP協(xié)議概述

1.1 ARP協(xié)議簡介

ARP(Address Resolution Protocol)地址解析協(xié)議用于將計算機的網(wǎng)絡(luò)地址 (IP地址32位)轉(zhuǎn)化為物理地址(MAC地址48位)。

ARP協(xié)議是屬于鏈路層的協(xié)議，在以太網(wǎng)中的數(shù)據(jù)幀從一個主機到達網(wǎng)內(nèi)的另一臺主機是根據(jù)48位的以太網(wǎng)地址(硬件地址)來確定接口的，而不是根據(jù)32位的IP地址。內(nèi)核(如驅(qū)動)必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。當(dāng)然，點對點的連接是不需要ARP協(xié)議的。

1.2 ARP協(xié)議的缺陷

ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點的基礎(chǔ)上的，它很高效，但卻不安全。它是無狀態(tài)的協(xié)議，不會檢查自己是否發(fā)過請求包，也不管（其實也不知道）是否是合法的應(yīng)答，只要收到目標(biāo)MAC是自己的ARP reply包或arp廣播包（包括ARP request和ARP reply），都會接受并緩存。

2 ARP欺騙的攻擊過程

假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：A 的地址為：IP：192.168.100.1 MAC:AAAA-AA-AA-AA-AA

B 的 地 址 為 ：IP：192.168.100.2 MAC:BB-BB-BB-BB-BB-BB

C 的 地 址 為 ：IP：192.168.100.3 MAC:CC-CC-CC-CC-CC-CC

正常情況下A和C之間進行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址)，MAC地址是BBBB-BB-BB-BB-BB(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存(A被欺騙了)，這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四192.168.10.1(A的IP地址)，MAC地址是BB-BB-BB-BBBB-BB(A的MAC地址本來應(yīng)該是AA-AAAA-AA-AA-AA)，當(dāng)C收到B偽造的ARP應(yīng)答，也會更新本地ARP緩存 (C也被欺騙了)，這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么。這就是典型的ARP欺騙過程。

注意：一般情況下，ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。

ARP欺騙存在兩種情況：第一種是欺騙主機作為“中間人”，被欺騙主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù);第二種是欺騙者偽裝成網(wǎng)關(guān)只欺騙了其中一方，導(dǎo)致被欺騙主機直接斷網(wǎng)。

筆者所在公司發(fā)生的ARP欺騙攻擊大多是第二種情況。

3 ARP欺騙的解決方法：

3.1 ARP欺騙發(fā)生時的現(xiàn)象：

被攻擊網(wǎng)段內(nèi)的所有計算機，網(wǎng)絡(luò)5-10分鐘中斷1次，然后過段時候又恢復(fù)；如果馬上改IP地址，則又恢復(fù)正常通信。

3.2 ARP欺騙解決方法：

3.2.1 利用計算機操作系統(tǒng)自帶工具：

在“開始”“程序”“附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：

Arp-d (清除本機的arp緩存表)

Arp -s 00-21-5e-c4-4d-5c 192.168.1.254 (綁定網(wǎng)關(guān)的IP地址和正確的物理地址)

因為每次重啟計算機的時候，ARP緩存信息都會被全部清除。所以將這兩條命令做成一個批處理文件，然后將這個文件放到系統(tǒng)的啟動項中。當(dāng)程序隨系統(tǒng)的啟動而加載的話，就可以免除因為ARP靜態(tài)映射信息丟失的困擾了。

3.2.2 利用ARP防御軟件：

現(xiàn)在市場上的ARP防御軟件有很多，筆者使用的是一款名為“arp防火墻”的軟件，該軟件不僅可以攔截arp攻擊，還可以定位arp攻擊源?？梢杂脕斫y(tǒng)一管理單位所有的計算機。

3.3.3 利用交換機綁定IP地址和MAC地址：

現(xiàn)在的交換機都有IP地址和MAC地址的綁定功能。筆者所在公司使用的是思科系列交換機。具體配置命令如下：

Route(config)#arp 192.168.1.111 0024.5b 3d.63ed arpa

此方法還可以防止IP地址的非法使用。

這種方式的缺點是初期數(shù)據(jù)錄入工作量大，如果終端計算機太多或者更換頻繁，那么網(wǎng)管員將會不堪重負(fù)。所以這種方法一般用來綁定重要的服務(wù)器。

以上三種方法，建議普通用戶選擇使用防御軟件，網(wǎng)管可以將防御軟件和交換機綁定相結(jié)合來管理整個單位的網(wǎng)絡(luò)。

4 結(jié)語

ARP欺騙攻擊利用了ARP協(xié)議的漏洞，作為一種底層協(xié)議攻擊，從根源上無法徹底解決。只能從防御上著手，大力普及計算機知識，提高終端用戶的防范意識和計算機使用能力，才能從根本上減少攻擊源。

[1]許穎梅.局域網(wǎng)中ARP欺騙及防范[J].科技經(jīng)濟市場，2007-07-15.