陳禹航

摘要：在以太網環(huán)境下，ARP攻擊一方面會造成網絡連接不穩(wěn)定，引發(fā)用戶通信中斷，另一方面截取用戶報文進而獲取用戶敏感信息等危害。為此，該文從ARP協(xié)議的原理入手，分兩類分析了四種常見的ARP攻擊方式的過程和原理，然后提出以太網環(huán)境下計算機和交換機的全面立體的ARP防御方案，最后結合一個實際案例分析以太網環(huán)境下ARP攻擊的定位過程。

關鍵詞：ARP協(xié)議；ARP攻擊；IP地址；MAC地址；ARP防御；ARP攻擊定位

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）32-7594-04

Abstract： In the Ethernet environment，when ARP attack happens， network connection is precarious to interrupt communication network on one hand and and intercept users packets to get users sensitive messages on the other hand .So，taking the principle of ARP protocol as a key， this paper discusses four common ARP attacks，then，

Key words：ARP protocol；ARP attack；IP address；MAC address；defence for ARP；location of ARP attacking

在以太網接入因特網環(huán)境下，ARP攻擊時有發(fā)生，造成網內主機頻繁斷網，甚至截取用戶報文，給網內用戶帶來很大的不便。

1 ARP協(xié)議的工作原理

1） 網關首先查看本機的ARP緩存中是否存在主機A的IP地址對應的MAC地址。若有，則直接利用ARP表中的MAC地址，封裝IP數(shù)據(jù)包再發(fā)送給主機A。

2） 若無，以廣播方式發(fā)送一個ARP請求報文。ARP請求報文中的發(fā)送端IP和MAC地址分別為網關的IP和MAC地址，目標IP和MAC地址分別為主機A的IP地址和全0的MAC地址。由于ARP請求報文以廣播方式發(fā)送，該網段上的所有主機都可以接收到該請求，但只有被請求的主機，即主機A，會對該請求進行處理，如圖1中的②。

3） 主機A比較自己的IP地址和ARP請求報文中的目標IP地址，當兩者相同時進行如下處理：將ARP請求報文中的發(fā)送端（即網關）的IP和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應報文給主機A，其中包含了自己的MAC地址，如圖1中的③。

4） 網關收到ARP響應報文后，將主機A的MAC地址加入到自己的ARP表中，同時將IP數(shù)據(jù)包進行封裝后發(fā)送出去。

為避免ARP數(shù)據(jù)包過多地占用網絡帶寬，ARP協(xié)議設計計算機、交換機、路由器及防火墻等網絡設備維護本機的ARP緩存。在正常情況下，ARP緩存可以有效保證數(shù)據(jù)傳輸?shù)恼_性。

2 ARP攻擊技術

按照ARP協(xié)議的設計，網絡設備在收到ARP包時并沒有判斷包的合法性，直接更新本機的ARP緩存，這就為ARP攻擊提供了條件。在本文中，將分兩類討論ARP攻擊的四種常見方式，并分析它們的攻擊過程與原理。

2.1 ARP欺騙攻擊

ARP欺騙攻擊，是指攻擊者通過發(fā)送偽造的ARP報文，惡意修改網絡設備或網絡內其他用戶主機的ARP表項，造成網絡或用戶的報文通信異常。

2.1.1基于ARP的中間人攻擊

拓撲圖如圖3，假設主機A是攻擊者，主機B是被攻擊者，攻擊過程如下：

1） 主機A向主機B連續(xù)發(fā)送大量虛假ARP響應包，使主機B的ARP表更新為：網關的IP地址192.168.1.1對應的MAC地址為MAC-A；

2） 主機A以192.168.1.1為源IP構造SYN數(shù)據(jù)包，向主機B發(fā)起偽TCP連接；

3） 當主機B收到該包后，就構造一個目的IP為192.168.1.1的SYN ACK包發(fā)往網關。由于主機B的ARP緩存中192.168.1.1對應的MAC地址為MAC-A，這個SYN ACK包實際上是發(fā)往主機A；

4） 由于主機A的IP地址為192.168.1.2，與SYN ACK包的目的IP不一致，所以主機A的系統(tǒng)將丟棄SYN ACK包。但是，主機A可以在數(shù)據(jù)鏈路層直接把數(shù)據(jù)幀獲取下來，并再次以192.168.1.1為源IP構造偽裝SYN ACK包發(fā)往主機B以完成TCP的第三次握手。這樣，TCP的三次握手完成，主機A對主機B的偽連接也成功建立；

5） 主機A以192.168.1.1為源IP向主機B連續(xù)發(fā)送大量數(shù)據(jù)，這樣，主機B的所有可用的操作系統(tǒng)資源都被消耗殆盡，最終主機B無法處理合法用戶的服務請求。

2.2.2 MAC泛洪現(xiàn)象

泛洪是快速散布網絡設備更新信息到網絡每一個結點的一種方法。MAC泛洪是交換機的ARP緩存溢出現(xiàn)象，即因為交換機可以主動學習客戶端的IP與MAC地址對以建立和維護其固定大小的ARP高速緩存表，當交換機收到大量的ARP欺騙包時，其ARP緩存將迅速被填滿錯誤的ARP條目，同時，這些ARP條目將被更新到網絡中的其他交換機中，從而造成它們的ARP表溢出、負載過大、網絡緩慢、丟包甚至網絡癱瘓。

3.2.2 靜態(tài)ARP與端口綁定

靜態(tài)ARP是針對交換機的ARP緩存的技術，即ARP緩存中的IP與MAC地址對固定，交換機在收到ARP報文時其不會被動態(tài)修改；而端口綁定是一種簡單的安全機制，通過交換機上的綁定功能，可以對端口轉發(fā)的報文進行過濾控制。當端口接收到報文后查找綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉發(fā)該報文，否則丟棄處理。

3.2.3 ARP報文限速

該技術可以防止設備因處理大量ARP報文，導致CPU負荷過重而無法處理其他業(yè)務。該技術的原理是通過對每秒內交換機全局、VLAN、接口或源IP接收的ARP報文數(shù)量進行統(tǒng)計，若每秒收到的ARP報文數(shù)量超過設定值，則認為該交換機全局、VLAN、接口或源IP接收的ARP報文處于超速狀態(tài)，即受到ARP報文攻擊。此時，交換機將丟棄超出閾值部分的ARP報文，從而避免大量ARP報文攻擊設備。

3.2.4 基于接口的ARP表項限制

該技術通過在指定接口下配置接口能夠學習到的最大動態(tài)ARP表項數(shù)目，以確保當指定接口下的動態(tài)ARP表項達到允許學習的最大數(shù)目后，將不允許新增動態(tài)ARP表項，達到防止當一個接口所接入的某一用戶主機發(fā)起ARP攻擊時導致整個設備的ARP表資源都被耗盡的目的。

4.4 ARP攻擊處理流程

ARP攻擊的處理一般是先確定產生攻擊的源MAC地址，再通過查看交換機判斷該源MAC地址所接的交換機端口，最后把該攻擊端口物理關閉即可。

5 小結

綜上所述，ARP協(xié)議在設計時并未考慮到安全問題，給以太網安全帶來很大的挑戰(zhàn)，因此，在網絡管理中，我們需要高度重視ARP欺騙攻擊，從局域網主機和網絡設備兩個層面構建全面立體的防御體系，才能確保網絡安全。

參考文獻：

[1] 謝希仁.計算機網絡[M].4版.北京：電子工業(yè)出版社，2003.

[2] 協(xié)議分析網[DB/OL].http：//www.cnpaf.net.

[3] H3C S3100-52P以太網交換機操作手冊-Release 1702-6W100.

[4] Quidway S3900系列以太網交換機操作手冊-Release 1602.

[5] Quidway S3700系列以太網交換機操作手冊-V100R006C03.

摘要：在以太網環(huán)境下，ARP攻擊一方面會造成網絡連接不穩(wěn)定，引發(fā)用戶通信中斷，另一方面截取用戶報文進而獲取用戶敏感信息等危害。為此，該文從ARP協(xié)議的原理入手，分兩類分析了四種常見的ARP攻擊方式的過程和原理，然后提出以太網環(huán)境下計算機和交換機的全面立體的ARP防御方案，最后結合一個實際案例分析以太網環(huán)境下ARP攻擊的定位過程。

關鍵詞：ARP協(xié)議；ARP攻擊；IP地址；MAC地址；ARP防御；ARP攻擊定位

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）32-7594-04

Abstract： In the Ethernet environment，when ARP attack happens， network connection is precarious to interrupt communication network on one hand and and intercept users packets to get users sensitive messages on the other hand .So，taking the principle of ARP protocol as a key， this paper discusses four common ARP attacks，then，

Key words：ARP protocol；ARP attack；IP address；MAC address；defence for ARP；location of ARP attacking

在以太網接入因特網環(huán)境下，ARP攻擊時有發(fā)生，造成網內主機頻繁斷網，甚至截取用戶報文，給網內用戶帶來很大的不便。

1 ARP協(xié)議的工作原理

1） 網關首先查看本機的ARP緩存中是否存在主機A的IP地址對應的MAC地址。若有，則直接利用ARP表中的MAC地址，封裝IP數(shù)據(jù)包再發(fā)送給主機A。

2） 若無，以廣播方式發(fā)送一個ARP請求報文。ARP請求報文中的發(fā)送端IP和MAC地址分別為網關的IP和MAC地址，目標IP和MAC地址分別為主機A的IP地址和全0的MAC地址。由于ARP請求報文以廣播方式發(fā)送，該網段上的所有主機都可以接收到該請求，但只有被請求的主機，即主機A，會對該請求進行處理，如圖1中的②。

3） 主機A比較自己的IP地址和ARP請求報文中的目標IP地址，當兩者相同時進行如下處理：將ARP請求報文中的發(fā)送端（即網關）的IP和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應報文給主機A，其中包含了自己的MAC地址，如圖1中的③。

4） 網關收到ARP響應報文后，將主機A的MAC地址加入到自己的ARP表中，同時將IP數(shù)據(jù)包進行封裝后發(fā)送出去。

為避免ARP數(shù)據(jù)包過多地占用網絡帶寬，ARP協(xié)議設計計算機、交換機、路由器及防火墻等網絡設備維護本機的ARP緩存。在正常情況下，ARP緩存可以有效保證數(shù)據(jù)傳輸?shù)恼_性。

2 ARP攻擊技術

按照ARP協(xié)議的設計，網絡設備在收到ARP包時并沒有判斷包的合法性，直接更新本機的ARP緩存，這就為ARP攻擊提供了條件。在本文中，將分兩類討論ARP攻擊的四種常見方式，并分析它們的攻擊過程與原理。

2.1 ARP欺騙攻擊

ARP欺騙攻擊，是指攻擊者通過發(fā)送偽造的ARP報文，惡意修改網絡設備或網絡內其他用戶主機的ARP表項，造成網絡或用戶的報文通信異常。

2.1.1基于ARP的中間人攻擊

拓撲圖如圖3，假設主機A是攻擊者，主機B是被攻擊者，攻擊過程如下：

1） 主機A向主機B連續(xù)發(fā)送大量虛假ARP響應包，使主機B的ARP表更新為：網關的IP地址192.168.1.1對應的MAC地址為MAC-A；

2） 主機A以192.168.1.1為源IP構造SYN數(shù)據(jù)包，向主機B發(fā)起偽TCP連接；

3） 當主機B收到該包后，就構造一個目的IP為192.168.1.1的SYN ACK包發(fā)往網關。由于主機B的ARP緩存中192.168.1.1對應的MAC地址為MAC-A，這個SYN ACK包實際上是發(fā)往主機A；

4） 由于主機A的IP地址為192.168.1.2，與SYN ACK包的目的IP不一致，所以主機A的系統(tǒng)將丟棄SYN ACK包。但是，主機A可以在數(shù)據(jù)鏈路層直接把數(shù)據(jù)幀獲取下來，并再次以192.168.1.1為源IP構造偽裝SYN ACK包發(fā)往主機B以完成TCP的第三次握手。這樣，TCP的三次握手完成，主機A對主機B的偽連接也成功建立；

5） 主機A以192.168.1.1為源IP向主機B連續(xù)發(fā)送大量數(shù)據(jù)，這樣，主機B的所有可用的操作系統(tǒng)資源都被消耗殆盡，最終主機B無法處理合法用戶的服務請求。

2.2.2 MAC泛洪現(xiàn)象

泛洪是快速散布網絡設備更新信息到網絡每一個結點的一種方法。MAC泛洪是交換機的ARP緩存溢出現(xiàn)象，即因為交換機可以主動學習客戶端的IP與MAC地址對以建立和維護其固定大小的ARP高速緩存表，當交換機收到大量的ARP欺騙包時，其ARP緩存將迅速被填滿錯誤的ARP條目，同時，這些ARP條目將被更新到網絡中的其他交換機中，從而造成它們的ARP表溢出、負載過大、網絡緩慢、丟包甚至網絡癱瘓。

3.2.2 靜態(tài)ARP與端口綁定

靜態(tài)ARP是針對交換機的ARP緩存的技術，即ARP緩存中的IP與MAC地址對固定，交換機在收到ARP報文時其不會被動態(tài)修改；而端口綁定是一種簡單的安全機制，通過交換機上的綁定功能，可以對端口轉發(fā)的報文進行過濾控制。當端口接收到報文后查找綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉發(fā)該報文，否則丟棄處理。

3.2.3 ARP報文限速

該技術可以防止設備因處理大量ARP報文，導致CPU負荷過重而無法處理其他業(yè)務。該技術的原理是通過對每秒內交換機全局、VLAN、接口或源IP接收的ARP報文數(shù)量進行統(tǒng)計，若每秒收到的ARP報文數(shù)量超過設定值，則認為該交換機全局、VLAN、接口或源IP接收的ARP報文處于超速狀態(tài)，即受到ARP報文攻擊。此時，交換機將丟棄超出閾值部分的ARP報文，從而避免大量ARP報文攻擊設備。

3.2.4 基于接口的ARP表項限制

該技術通過在指定接口下配置接口能夠學習到的最大動態(tài)ARP表項數(shù)目，以確保當指定接口下的動態(tài)ARP表項達到允許學習的最大數(shù)目后，將不允許新增動態(tài)ARP表項，達到防止當一個接口所接入的某一用戶主機發(fā)起ARP攻擊時導致整個設備的ARP表資源都被耗盡的目的。

4.4 ARP攻擊處理流程

ARP攻擊的處理一般是先確定產生攻擊的源MAC地址，再通過查看交換機判斷該源MAC地址所接的交換機端口，最后把該攻擊端口物理關閉即可。

5 小結

綜上所述，ARP協(xié)議在設計時并未考慮到安全問題，給以太網安全帶來很大的挑戰(zhàn)，因此，在網絡管理中，我們需要高度重視ARP欺騙攻擊，從局域網主機和網絡設備兩個層面構建全面立體的防御體系，才能確保網絡安全。

參考文獻：

[1] 謝希仁.計算機網絡[M].4版.北京：電子工業(yè)出版社，2003.

[2] 協(xié)議分析網[DB/OL].http：//www.cnpaf.net.

[3] H3C S3100-52P以太網交換機操作手冊-Release 1702-6W100.

[4] Quidway S3900系列以太網交換機操作手冊-Release 1602.

[5] Quidway S3700系列以太網交換機操作手冊-V100R006C03.

摘要：在以太網環(huán)境下，ARP攻擊一方面會造成網絡連接不穩(wěn)定，引發(fā)用戶通信中斷，另一方面截取用戶報文進而獲取用戶敏感信息等危害。為此，該文從ARP協(xié)議的原理入手，分兩類分析了四種常見的ARP攻擊方式的過程和原理，然后提出以太網環(huán)境下計算機和交換機的全面立體的ARP防御方案，最后結合一個實際案例分析以太網環(huán)境下ARP攻擊的定位過程。

關鍵詞：ARP協(xié)議；ARP攻擊；IP地址；MAC地址；ARP防御；ARP攻擊定位

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）32-7594-04

Abstract： In the Ethernet environment，when ARP attack happens， network connection is precarious to interrupt communication network on one hand and and intercept users packets to get users sensitive messages on the other hand .So，taking the principle of ARP protocol as a key， this paper discusses four common ARP attacks，then，

Key words：ARP protocol；ARP attack；IP address；MAC address；defence for ARP；location of ARP attacking

在以太網接入因特網環(huán)境下，ARP攻擊時有發(fā)生，造成網內主機頻繁斷網，甚至截取用戶報文，給網內用戶帶來很大的不便。

1 ARP協(xié)議的工作原理

1） 網關首先查看本機的ARP緩存中是否存在主機A的IP地址對應的MAC地址。若有，則直接利用ARP表中的MAC地址，封裝IP數(shù)據(jù)包再發(fā)送給主機A。

2） 若無，以廣播方式發(fā)送一個ARP請求報文。ARP請求報文中的發(fā)送端IP和MAC地址分別為網關的IP和MAC地址，目標IP和MAC地址分別為主機A的IP地址和全0的MAC地址。由于ARP請求報文以廣播方式發(fā)送，該網段上的所有主機都可以接收到該請求，但只有被請求的主機，即主機A，會對該請求進行處理，如圖1中的②。

3） 主機A比較自己的IP地址和ARP請求報文中的目標IP地址，當兩者相同時進行如下處理：將ARP請求報文中的發(fā)送端（即網關）的IP和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應報文給主機A，其中包含了自己的MAC地址，如圖1中的③。

4） 網關收到ARP響應報文后，將主機A的MAC地址加入到自己的ARP表中，同時將IP數(shù)據(jù)包進行封裝后發(fā)送出去。

為避免ARP數(shù)據(jù)包過多地占用網絡帶寬，ARP協(xié)議設計計算機、交換機、路由器及防火墻等網絡設備維護本機的ARP緩存。在正常情況下，ARP緩存可以有效保證數(shù)據(jù)傳輸?shù)恼_性。

2 ARP攻擊技術

按照ARP協(xié)議的設計，網絡設備在收到ARP包時并沒有判斷包的合法性，直接更新本機的ARP緩存，這就為ARP攻擊提供了條件。在本文中，將分兩類討論ARP攻擊的四種常見方式，并分析它們的攻擊過程與原理。

2.1 ARP欺騙攻擊

ARP欺騙攻擊，是指攻擊者通過發(fā)送偽造的ARP報文，惡意修改網絡設備或網絡內其他用戶主機的ARP表項，造成網絡或用戶的報文通信異常。

2.1.1基于ARP的中間人攻擊

拓撲圖如圖3，假設主機A是攻擊者，主機B是被攻擊者，攻擊過程如下：

1） 主機A向主機B連續(xù)發(fā)送大量虛假ARP響應包，使主機B的ARP表更新為：網關的IP地址192.168.1.1對應的MAC地址為MAC-A；

2） 主機A以192.168.1.1為源IP構造SYN數(shù)據(jù)包，向主機B發(fā)起偽TCP連接；

3） 當主機B收到該包后，就構造一個目的IP為192.168.1.1的SYN ACK包發(fā)往網關。由于主機B的ARP緩存中192.168.1.1對應的MAC地址為MAC-A，這個SYN ACK包實際上是發(fā)往主機A；

4） 由于主機A的IP地址為192.168.1.2，與SYN ACK包的目的IP不一致，所以主機A的系統(tǒng)將丟棄SYN ACK包。但是，主機A可以在數(shù)據(jù)鏈路層直接把數(shù)據(jù)幀獲取下來，并再次以192.168.1.1為源IP構造偽裝SYN ACK包發(fā)往主機B以完成TCP的第三次握手。這樣，TCP的三次握手完成，主機A對主機B的偽連接也成功建立；

5） 主機A以192.168.1.1為源IP向主機B連續(xù)發(fā)送大量數(shù)據(jù)，這樣，主機B的所有可用的操作系統(tǒng)資源都被消耗殆盡，最終主機B無法處理合法用戶的服務請求。

2.2.2 MAC泛洪現(xiàn)象

泛洪是快速散布網絡設備更新信息到網絡每一個結點的一種方法。MAC泛洪是交換機的ARP緩存溢出現(xiàn)象，即因為交換機可以主動學習客戶端的IP與MAC地址對以建立和維護其固定大小的ARP高速緩存表，當交換機收到大量的ARP欺騙包時，其ARP緩存將迅速被填滿錯誤的ARP條目，同時，這些ARP條目將被更新到網絡中的其他交換機中，從而造成它們的ARP表溢出、負載過大、網絡緩慢、丟包甚至網絡癱瘓。

3.2.2 靜態(tài)ARP與端口綁定

靜態(tài)ARP是針對交換機的ARP緩存的技術，即ARP緩存中的IP與MAC地址對固定，交換機在收到ARP報文時其不會被動態(tài)修改；而端口綁定是一種簡單的安全機制，通過交換機上的綁定功能，可以對端口轉發(fā)的報文進行過濾控制。當端口接收到報文后查找綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉發(fā)該報文，否則丟棄處理。

3.2.3 ARP報文限速

該技術可以防止設備因處理大量ARP報文，導致CPU負荷過重而無法處理其他業(yè)務。該技術的原理是通過對每秒內交換機全局、VLAN、接口或源IP接收的ARP報文數(shù)量進行統(tǒng)計，若每秒收到的ARP報文數(shù)量超過設定值，則認為該交換機全局、VLAN、接口或源IP接收的ARP報文處于超速狀態(tài)，即受到ARP報文攻擊。此時，交換機將丟棄超出閾值部分的ARP報文，從而避免大量ARP報文攻擊設備。

3.2.4 基于接口的ARP表項限制

該技術通過在指定接口下配置接口能夠學習到的最大動態(tài)ARP表項數(shù)目，以確保當指定接口下的動態(tài)ARP表項達到允許學習的最大數(shù)目后，將不允許新增動態(tài)ARP表項，達到防止當一個接口所接入的某一用戶主機發(fā)起ARP攻擊時導致整個設備的ARP表資源都被耗盡的目的。

4.4 ARP攻擊處理流程

ARP攻擊的處理一般是先確定產生攻擊的源MAC地址，再通過查看交換機判斷該源MAC地址所接的交換機端口，最后把該攻擊端口物理關閉即可。

5 小結

綜上所述，ARP協(xié)議在設計時并未考慮到安全問題，給以太網安全帶來很大的挑戰(zhàn)，因此，在網絡管理中，我們需要高度重視ARP欺騙攻擊，從局域網主機和網絡設備兩個層面構建全面立體的防御體系，才能確保網絡安全。

參考文獻：

[1] 謝希仁.計算機網絡[M].4版.北京：電子工業(yè)出版社，2003.

[2] 協(xié)議分析網[DB/OL].http：//www.cnpaf.net.

[3] H3C S3100-52P以太網交換機操作手冊-Release 1702-6W100.

[4] Quidway S3900系列以太網交換機操作手冊-Release 1602.

[5] Quidway S3700系列以太網交換機操作手冊-V100R006C03.