李少峰 周天宏

（1.鄖陽師范高等?？茖W校 湖北 442000；2.武漢商學院 湖北 430079）

0 引言

分布式拒絕服務（DDoS）攻擊是配置多個DOS代理，一起發(fā)送攻擊流量到一個受害者的計算機。[1]DDoS攻擊是一種故意的行為，它是消耗計算機系統(tǒng)的帶寬、系統(tǒng)資源和處理時間，從而降低計算機的服務質(zhì)量和可用性。因此，用戶無法充分訪問一個或多個Web服務。由于DDoS攻擊像洪水一般的數(shù)據(jù)包攻擊，那么計算機資源枯竭的程度取決于流量類型，攻擊流量的體積及計算機的處理能力。根據(jù)（CERT / CC）中心的調(diào)研報告，分布式拒絕服務（DDoS）增加了針對Windows終端用戶和服務器攻擊。Windows終端用戶相比專業(yè)人員和網(wǎng)絡(luò)管理員通常缺少安全意識、防范意識。而且，大量Windows用戶的互聯(lián)網(wǎng)服務提供商相對容易確定，因此攻擊者或入侵者利用Windows最終用戶的服務器和計算機系統(tǒng)，選擇網(wǎng)絡(luò)攻擊目標。

1 ARP攻擊的類型

在局域網(wǎng)中，一些計算機受到拒絕服務（DoS）攻擊后也會發(fā)送大量的ARP請求，占用其他計算機的資源。拒絕服務攻擊在快速掃描時，可以造成蠕蟲等紅色代碼形成ARP風暴，網(wǎng)絡(luò)中受到DDOS攻擊的計算機和服務器會出現(xiàn)大量的ARP風暴。受到ARP風暴攻擊的計算機，可能會收到大量來自同一局域網(wǎng)中其他計算機攻擊的ARP請求，這會占用受ARP風暴攻擊的網(wǎng)絡(luò)帶寬和處理信息的能力。蠕蟲紅色代碼的快速掃描活動可能導致拒絕服務服務器攻擊，蠕蟲紅色代碼只要有一個補丁沒有完成，就可以很容易地擴展到這個系統(tǒng)。對于在網(wǎng)絡(luò)上感染蠕蟲的計算機，其IP地址會一遍又一遍遭到攻擊，這會導致網(wǎng)絡(luò)中大量的流量流失，影響服務器的性能。我們探討ARP攻擊，發(fā)現(xiàn) ARP請求不斷的向受害者的計算機發(fā)起攻擊的同時，在同一個局域網(wǎng)段的受害者計算機也會形成ARP流量攻擊其他計算機。

2 處理ARP數(shù)據(jù)包請求

2.1 ARP數(shù)據(jù)包請求

在局域網(wǎng)中的網(wǎng)關(guān)或主機，使用ARP請求廣播消息的IP地址必需和硬件綁定，ARP報文中包含的IP地址，主機的硬件地址需要解析。所有的網(wǎng)絡(luò)上的計算機接受ARP報文只需要通過發(fā)送一個回復，包涵計算機所需要的硬件地址。

2.2 ARP數(shù)據(jù)包格式

ARP是實用于各種網(wǎng)絡(luò)技術(shù)，ARP數(shù)據(jù)包的格式取決于正在使用的網(wǎng)絡(luò)類型。用于以太網(wǎng)的ARP數(shù)據(jù)包的格式如圖1所示。使用8字節(jié)的ARP報文格式，解決IP協(xié)議的以太網(wǎng)硬件地址。ARP報文格式包含發(fā)送端和接收端的硬件地址和IP地址如圖1。制作一個ARP請求時，發(fā)送方將目標IP地址，硬件地址設(shè)置為空（這是由目標計算機填充）。

表1 ARP數(shù)據(jù)包格式

在ARP請求廣播的報文中，發(fā)送方提供自己更新的硬件和IP地址，以及發(fā)送方未來通信的ARP緩存表。[2]在以太網(wǎng)中，ARP數(shù)據(jù)包的格式是2字節(jié)的硬件類型，網(wǎng)絡(luò)類型。2字節(jié)的協(xié)議類型字段指定 IP 地址等高層協(xié)議的使用。在任意網(wǎng)絡(luò)中使用ARP協(xié)議的情況下，每一個字節(jié)指定了硬件地址和協(xié)議地址的長度。2字節(jié)的操作字段指定了四種可能性，即1為ARP請求，2表示ARP應答，3 RARP請求和4為RARP應答。[3]

3 兩種不同類型ARP

局域網(wǎng)上的計算機將從網(wǎng)絡(luò)接收兩種不同類型的 ARP請求包。ARP請求包的第一類可稱為直接ARP請求流量，其中ARP請求數(shù)據(jù)包的IP地址與本地計算機的IP地址相匹配。第二類 ARP請求流量是通過局域網(wǎng)上計算機的接收稱為間接ARP請求流量，在ARP請求數(shù)據(jù)包的IP地址不匹配本地計算機的IP地址。換句話說，一臺計算機的IP地址在局域網(wǎng)可能會收到兩種類型的ARP攻擊即：

（1）直接ARP流量- 這是包括帶有IP地址的ARP請求報文的流量={χ|χ=pi}

（2）間接ARP流量- 這是包括帶有IP地址的ARP請求報文的流量={χ|χ≠pi}

ARP攻擊計算機一般是直接ARP流量攻擊，同一局域網(wǎng)段內(nèi)，沒有遭到直接 ARP流量攻擊的其他計算機將遭到間接ARP流量攻擊。直接ARP攻擊發(fā)送者和目標計算機數(shù)據(jù)包的IP和硬件地址，只是針對發(fā)送方計算機。間接ARP攻擊一旦確定ARP請求數(shù)據(jù)包不是本地計算機，間接ARP消息被簡單地丟棄。在局域網(wǎng)中非受害者的電腦接收間接的ARP請求幀，相比受害者計算機接收直接ARP請求幀涉及多個處理，一個ARP請求幀所需的處理是相當簡單。一個間接的ARP請求消息被接收相對處理較少，受害者的計算機或服務器會有大量的信息給相對較少的計算機進行處理。ARP攻擊的直接ARP請求幀、間接ARP請求幀耗盡計算機處理器性能，取決于計算機處理器的速度和帶寬。

4 檢測和預防

局域網(wǎng)中ARP風暴可以迅速消耗所有計算機的計算資源，從而影響處理能力。因此，在整個局域網(wǎng)網(wǎng)段內(nèi)要檢測ARP風暴并立即預防。為了發(fā)現(xiàn)ARP攻擊，重要的是要監(jiān)控每個局域網(wǎng)段上的ARP流量。例如ARP 表，在每個局域網(wǎng)段上可以用來監(jiān)控ARP流量。還可以使用SNMP監(jiān)視器在路由器和交換機的ARP映射表變化，提高發(fā)生ARP攻擊報警。

防止ARP風暴的方法之一是涉及第2層交換機上開始建立控制的ARP廣播風暴的源頭。這可以通過允許在每個端口上的廣播或多流量端口來實現(xiàn)。此外，這些多流量的每個端口應該被限制帶寬，利用ARP廣播在交換機端口設(shè)置消耗，防止ARP廣播通過在交換機上端口消耗帶寬。為了支持多層次的預防，路由器也可用于控制網(wǎng)段ARP風暴傳播給他人的局域網(wǎng)。網(wǎng)絡(luò)管理員可以配置路由器（使用控制政策）以IM限制ARP請求速率，然后再進行相關(guān)的局域網(wǎng)網(wǎng)段的限制。當該ARP請求流量超過設(shè)定ARP請求流量，則該ARP請求報文通過路由器丟棄。路由器的硬件必須足夠快，以檢查和丟棄超過規(guī)定流量的ARP請求報文，否則很可能導致路由器崩潰或處理速度放緩，更重要的后果是本身成為一個瓶頸導致最終的拒絕服務（DOS）。

5 結(jié)論

分布式拒絕服務（DDoS）攻擊，由于ARP風暴可以發(fā)現(xiàn)許多計算機局域網(wǎng)系統(tǒng)被蠕蟲感染。如紅色代碼或DDoS代理。在本文中，ARP攻擊可以分為兩類，直接ARP流量和間接ARP流量攻擊，這兩種攻擊對受害者和非受害者的電腦系統(tǒng)在受影響的情況下網(wǎng)絡(luò)處理進行了對比。在一個給定的局域網(wǎng)內(nèi)，ARP攻擊不僅耗盡了受害者的計算機資源，同時也耗盡了其他非受害者計算機資源。那么，有效設(shè)計和使用交換機和路由器的流量，提高和預防ARP攻擊。

[1]李鵬，追蹤反射器DDoS攻擊[D].吉林大學 2005年.

[2]曾光裕，基于ARP協(xié)議的網(wǎng)絡(luò)監(jiān)聽技術(shù)研究[J].《計算機工程與技術(shù)》 2009年.

[3]黃向黨，數(shù)據(jù)包的捕獲與分析[J].《福建電腦》 2012年.