摘 要：在網(wǎng)絡(luò)日益復(fù)雜化、多樣化的今天，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為影響網(wǎng)絡(luò)發(fā)展重要因素之一。在局域網(wǎng)內(nèi)部，利用TCP/IP協(xié)議的漏洞進(jìn)行攻擊是用戶常遇見(jiàn)的網(wǎng)絡(luò)故障，本文將詳細(xì)介紹ARP的工作原理，ARP攻擊手段及幾種防范措施。

關(guān)鍵詞：ARP攻擊；地址欺騙；安全防范

中圖分類號(hào)：TP393.08

ARP攻擊是針對(duì)以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)。攻擊者通過(guò)截取或是篡改局域網(wǎng)上的數(shù)據(jù)封包，使得網(wǎng)絡(luò)上特定計(jì)算機(jī)或所有計(jì)算機(jī)無(wú)法正常連接。

ARP協(xié)議的工作原理是：當(dāng)主機(jī)A要向本局域網(wǎng)上的某主機(jī)B發(fā)送IP數(shù)據(jù)包時(shí)，若發(fā)現(xiàn)在其ARP高速緩存中查不到主機(jī)B的IP地址，此時(shí)主機(jī)A自動(dòng)運(yùn)行ARP，按以下步驟找出主機(jī)B的硬件地址：

（1）ARP進(jìn)程在本局域網(wǎng)上廣播發(fā)送一個(gè)ARP請(qǐng)求分組，向本局域網(wǎng)內(nèi)所有主機(jī)詢問(wèn)主機(jī)B的硬件地址。

（2）在本局域網(wǎng)上的所有主機(jī)上運(yùn)行的ARP進(jìn)程都收到此ARP請(qǐng)求分組。

（3）主機(jī)B在ARP請(qǐng)求分組中見(jiàn)到自己的IP地址，就向主機(jī)A發(fā)送ARP響應(yīng)分組，并寫入自己的硬件地址。其余所有主機(jī)則忽略這個(gè)ARP請(qǐng)求分組。

（4）主機(jī)A收到主機(jī)B的ARP響應(yīng)分組后，就在其ARP高速緩存中寫入主機(jī)B的IP地址到硬件地址的映射。值得注意的是，雖然ARP請(qǐng)求分組是廣播發(fā)送的，但ARP響應(yīng)分組是普通單播。

何為ARP攻擊？就是通過(guò)偽造IP地址和MAC地址，在網(wǎng)絡(luò)中產(chǎn)生大量的無(wú)用數(shù)據(jù)包使得網(wǎng)絡(luò)擁阻。攻擊者不斷發(fā)出偽造的ARP響應(yīng)分組以期望改變目標(biāo)主機(jī)ARP高速緩存中的IP地址到MAC地址的映射，造成網(wǎng)絡(luò)中斷或中間人攻擊，使得在同一局域網(wǎng)內(nèi)，有人可以正常上網(wǎng)，有人卻無(wú)法訪問(wèn)任何頁(yè)面。

ARP欺騙有二種，分別為：對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙、對(duì)路由器ARP映射表的欺騙。

對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙的原理是：建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而無(wú)法通過(guò)正常的路由器上網(wǎng)。ARP欺騙攻擊可能會(huì)造成大量機(jī)器無(wú)法正常進(jìn)行網(wǎng)絡(luò)連接。

對(duì)路由器ARP映射表的欺騙是：截獲網(wǎng)關(guān)數(shù)據(jù)。攻擊者發(fā)送偽造的ARP響應(yīng)分組給路由器，內(nèi)含一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷發(fā)送，使得真實(shí)的地址信息無(wú)法通過(guò)更新保存到路由器中，結(jié)果路由器只能將所有數(shù)據(jù)發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。

1 對(duì)于ARP攻擊，我們可采取以下方法進(jìn)行防范

1.1 捆綁IP地址和MAC地址

此方法可避免IP地址盜用。若是通過(guò)代理服務(wù)器上網(wǎng)，可在代理服務(wù)器端把靜態(tài)IP地址與上網(wǎng)計(jì)算機(jī)網(wǎng)卡的MAC地址進(jìn)行捆綁。若是通過(guò)交換機(jī)連接，可將交換機(jī)端口與計(jì)算機(jī)的IP地址、網(wǎng)卡的MAC地址綁定。

1.2 修改物理地址

將真實(shí)的物理地址隱藏，也就是修改上網(wǎng)機(jī)的MAC地址，欺騙過(guò)ARP欺騙，從而躲過(guò)ARP攻擊。

1.3 使用ARP服務(wù)器

通過(guò)ARP服務(wù)器查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播，并且要確保這臺(tái)ARP服務(wù)器不被攻擊。

1.4 交換機(jī)端口設(shè)置

端口保護(hù)：ARP欺騙需要交換機(jī)的兩個(gè)端口直接通訊，將端口設(shè)為保護(hù)端口即可簡(jiǎn)單方便地隔離用戶之間信息互通，不必占用VLAN資源。

數(shù)據(jù)過(guò)濾：如需對(duì)報(bào)文做更進(jìn)一步的控制用戶可以采用ACL（訪問(wèn)控制列表）。ACL利用IP地址、TCP/UDP端口等對(duì)進(jìn)出交換機(jī)的報(bào)文進(jìn)行過(guò)濾，可以預(yù)設(shè)條件，對(duì)報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。

1.5 利用硬件屏蔽主機(jī)

設(shè)置路由，確保IP地址能到達(dá)合法的路徑（靜態(tài)配置路由ARP條目），使用交換集線器和網(wǎng)橋無(wú)法阻止ARP欺騙。

1.6 禁止網(wǎng)絡(luò)接口做ARP解析

在相對(duì)系統(tǒng)中禁止某個(gè)網(wǎng)絡(luò)接口做ARP解析（對(duì)抗ARP欺騙攻擊），可以做靜態(tài)ARP協(xié)議設(shè)置。

1.7 定期檢查ARP緩存

利用響應(yīng)的IP包中獲得的RARP請(qǐng)求，檢查ARP響應(yīng)的真實(shí)性。定期檢查主機(jī)上的ARP緩存，使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。但是在使用SNMP的情況下，ARP欺騙有可能導(dǎo)致陷阱包丟失。

2 ARP防火墻對(duì)于ARP攻擊的防范

2.1 防火墻針對(duì)ARP欺騙的對(duì)策

在系統(tǒng)內(nèi)核層做策略，攔截可能發(fā)生的外來(lái)虛假數(shù)據(jù)或本機(jī)對(duì)外的ARP攻擊數(shù)據(jù)包，在保障本機(jī)不受ARP攻擊的同時(shí)，減少如感染惡意程序后對(duì)外的攻擊機(jī)會(huì)，保證網(wǎng)絡(luò)暢通。

（1）攔截IP沖突：在系統(tǒng)內(nèi)核層做策略，攔截IP沖突數(shù)據(jù)包。

（2）Dos攻擊抑制：在系統(tǒng)內(nèi)核層做策略，攔截對(duì)外的攻擊數(shù)據(jù)包，定位惡意發(fā)動(dòng)DoS攻擊的程序。

（3）安全模式：除網(wǎng)關(guān)外，不響應(yīng)其它機(jī)器發(fā)送的ARPRequest數(shù)據(jù)包，達(dá)到隱身效果。

（4）ARP數(shù)據(jù)分析：對(duì)本機(jī)接收到的所有ARP數(shù)據(jù)包進(jìn)行分析，找出潛在的攻擊者或中毒的機(jī)器。

（5）監(jiān)測(cè)ARP緩存：自動(dòng)監(jiān)測(cè)本機(jī)ARP緩存表，若發(fā)現(xiàn)網(wǎng)關(guān)物理地址被惡意程序篡改，及時(shí)報(bào)警并自動(dòng)修復(fù)。

（6）主動(dòng)防御：主動(dòng)與網(wǎng)關(guān)保持通訊，通告網(wǎng)關(guān)正確的MAC地址。

（7）追蹤攻擊者：發(fā)現(xiàn)攻擊行為后，自動(dòng)快速鎖定攻擊者IP地址。

（8）ARP病毒專殺：發(fā)現(xiàn)本機(jī)的對(duì)外攻擊行為，自動(dòng)定位查殺本機(jī)感染的惡意程序、病毒程序。

2.2 在局域網(wǎng)針對(duì)ARP欺騙的策略

（1）檢查本機(jī)的“ARP欺騙”木馬染毒進(jìn)程

（2）檢查網(wǎng)內(nèi)感染“ARP欺騙”木馬染毒的計(jì)算機(jī)

（3）設(shè)置ARP表避免“ARP欺騙”木馬影響的方法

（4）靜態(tài)ARP綁定網(wǎng)關(guān)

2.3 入侵檢測(cè)技術(shù)

（1）入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對(duì)系統(tǒng)資源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。

（2）一個(gè)有效的入侵檢測(cè)系統(tǒng)應(yīng)限制誤報(bào)出現(xiàn)的次數(shù)，但同時(shí)又能有效截?fù)?。誤報(bào)是指被入侵檢測(cè)系統(tǒng)測(cè)報(bào)警的是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的訪問(wèn)。誤報(bào)是入侵檢測(cè)系統(tǒng)最頭疼的問(wèn)題，攻擊者可以而且往往是利用包的結(jié)構(gòu)偽造無(wú)威脅的“正常”假警報(bào)，而誘導(dǎo)沒(méi)有警覺(jué)性的管理員人把入侵檢測(cè)系統(tǒng)關(guān)掉。

（3）沒(méi)有一個(gè)應(yīng)用系統(tǒng)不會(huì)發(fā)生錯(cuò)誤，入侵檢測(cè)發(fā)生誤報(bào)的四個(gè)主要原因是：缺乏共享數(shù)據(jù)的機(jī)制、缺乏集中協(xié)調(diào)的機(jī)制、缺乏揣摩數(shù)據(jù)在一段時(shí)間內(nèi)變化的能力、缺乏有效的跟蹤分析。

（4）根據(jù)入侵檢測(cè)的信息來(lái)源不同，可以將入侵檢測(cè)系統(tǒng)分為兩類：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

（5）入侵檢測(cè)的方法：1）目前入侵檢測(cè)方法有三種分類依據(jù)：根據(jù)物理位置進(jìn)行分類、根據(jù)建模方法進(jìn)行分類、根據(jù)時(shí)間分析進(jìn)行分類。2）常用的方法有兩種：靜態(tài)配置分析、異常性檢測(cè)方法。

參考文獻(xiàn)：

[1]朱齊勇，范旗，李朋.種關(guān)于ARP攻擊的防范措施[J].中國(guó)商界（下半月），2010，10.

[2]鄧光明.利用H3C的3600交換機(jī)尋找計(jì)算機(jī)ARP病毒[J].大眾科技，2011，07.

[3]王磊，淺析ARP協(xié)議安全漏洞及對(duì)策[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2008，09.

[4]朱光迅，鄧秀華.ARP欺騙原理及防護(hù)技術(shù)方案[J].韶關(guān)學(xué)院學(xué)報(bào)，2007，06.

[5]張振，楊闈元.局域網(wǎng)ARP攻擊分析及應(yīng)對(duì)策略[J].黑龍江科技信息，2010，17.

作者單位：湖南司法警官職業(yè)學(xué)院，長(zhǎng)沙 410013