【摘要】ARP攻擊造成了政企客戶網(wǎng)絡(luò)的不穩(wěn)定，同時(shí)也對(duì)網(wǎng)絡(luò)安全提出了挑戰(zhàn)，本文重點(diǎn)介紹了ARP協(xié)議的工作原理，ARP攻擊的欺騙過程及防御措施，旨在保證網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)行。

【關(guān)鍵詞】ARP攻擊；ARP防御；政企客戶

引言

近年來，隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的飛速發(fā)展，政企客戶對(duì)于網(wǎng)絡(luò)的依賴程度越來越高。然而，網(wǎng)絡(luò)安全問題也給廣大客戶帶來了很多困擾，頻繁掉線，網(wǎng)絡(luò)速度慢，內(nèi)網(wǎng)服務(wù)器無法訪問等等。客戶常常抱怨：“設(shè)備是最好的設(shè)備，服務(wù)器是最好的服務(wù)器，怎么網(wǎng)絡(luò)就這么慢呢？”其實(shí)問題關(guān)鍵不在設(shè)備的貴賤與否，也不在設(shè)備性能怎樣，而是IP協(xié)議本身的漏洞造成，這個(gè)漏洞一旦被黑客利用，將局域網(wǎng)中的一臺(tái)主機(jī)植入病毒程序，就有可能造成整個(gè)網(wǎng)絡(luò)的癱瘓。究竟是什么漏洞會(huì)給局域網(wǎng)造成如此大的危害？這還得從IP網(wǎng)絡(luò)協(xié)議中的ARP協(xié)議說起。

一、什么是ARP協(xié)議

ARP（Address Resolution Protocol）地址解析協(xié)議，在TCP/IP網(wǎng)絡(luò)模型中屬于一個(gè)2.5層的協(xié)議，用于將三層的網(wǎng)絡(luò)地址（IPV4地址為32位）解析成二層的物理地址（MAC地址為48位）

ARP協(xié)議的工作過程

如圖1所示，主機(jī)B希望與主機(jī)A（IP地址：192.168.1.1）進(jìn)行通信，但是他的ARP緩存表里并沒有192.168.1.1對(duì)應(yīng)的MAC地址，于是主機(jī)B向整個(gè)局域網(wǎng)中發(fā)送ARP廣播包，在這個(gè)廣播包中包含本機(jī)IP地址，本機(jī)MAC地址和目的IP地址，請(qǐng)求的內(nèi)容其實(shí)就是目的MAC地址。網(wǎng)絡(luò)中的主機(jī)A和主機(jī)C都會(huì)收到主機(jī)B發(fā)送的ARP請(qǐng)求廣播數(shù)據(jù)包。主機(jī)A發(fā)現(xiàn)請(qǐng)求的數(shù)據(jù)包中的目的IP地址與自己相同，于是告訴主機(jī)B，我就是你要找的主機(jī)，我的IP地址192.168.1.1對(duì)應(yīng)MAC地址為AAAA-AAAA-AAAA，并且將回應(yīng)數(shù)據(jù)包送給主機(jī)B。主機(jī)C同樣也會(huì)收到主機(jī)B發(fā)來的廣播包，當(dāng)主機(jī)C發(fā)現(xiàn)主機(jī)B所請(qǐng)求的IP地址與自己不符時(shí)，將主機(jī)B的廣播數(shù)據(jù)包丟棄。當(dāng)主機(jī)B接收到主機(jī)A發(fā)來的回應(yīng)數(shù)據(jù)包之后，將其信息更新至自己的ARP緩存表中，至此，一個(gè)ARP的請(qǐng)求-回應(yīng)過程就完成了。

二、ARP欺騙原理

從上面ARP協(xié)議的工作過程來看，ARP協(xié)議非常簡單，沒有任何安全保障措施，一旦被黑客主機(jī)利用，將會(huì)對(duì)網(wǎng)絡(luò)造成巨大的威脅。

如圖2所示，主機(jī)B希望與主機(jī)A（IP地址：192.168.1.1）進(jìn)行通信，于是發(fā)送ARP請(qǐng)求廣播包，當(dāng)黑客主機(jī)C收到主機(jī)B發(fā)來的請(qǐng)求時(shí)，會(huì)向主機(jī)B發(fā)送一條回應(yīng)：192.168.1.1對(duì)應(yīng)的MAC地址為CCCC-CCCC-CCCC，主機(jī)B就認(rèn)為主機(jī)A的MAC地址為CCCC-CCCC-CCCC，而不是真實(shí)的AAAA-AAAA-AAAA，這樣就完成了ARP欺騙。在實(shí)際的網(wǎng)絡(luò)環(huán)境中，一般黑客主機(jī)C不會(huì)等待主機(jī)B發(fā)ARP請(qǐng)求，而是直接利用“免費(fèi)ARP”機(jī)制，主動(dòng)向網(wǎng)絡(luò)的其他主機(jī)發(fā)送ARP響應(yīng)數(shù)據(jù)包，告訴網(wǎng)絡(luò)中的所有主機(jī)192.168.1.1對(duì)應(yīng)的MAC地址為CCCC-CCCC-CCCC，而192.168.1.1這個(gè)IP地址一般都是網(wǎng)絡(luò)中的特殊地址，比如說網(wǎng)絡(luò)中訪問互聯(lián)網(wǎng)的網(wǎng)關(guān)。我們將圖2做一個(gè)小小的改動(dòng)，讓其變成目前一般政企客戶網(wǎng)絡(luò)中普遍存在的一種ARP欺騙方式。

如圖3所示，主機(jī)B設(shè)置完自己本機(jī)的IP之后，將網(wǎng)關(guān)設(shè)置為192.168.1.1，然后點(diǎn)擊確認(rèn)，這時(shí)，黑客主機(jī)C正在利用“免費(fèi)ARP”機(jī)制向網(wǎng)絡(luò)中的其他主機(jī)發(fā)送ARP 數(shù)據(jù)包，內(nèi)容為“192.168.1.1對(duì)應(yīng)的MAC地址為CCCC-CCCC-CCCC”這樣主機(jī)B中就會(huì)形成一條ARP表項(xiàng)192.168.1.1—CCCC-CCCC-CCCC。如果黑客主機(jī)C僅僅發(fā)送ARP廣播包，那么后果就是主機(jī)B可以ping通192.168.1.1，但是無法訪問互聯(lián)網(wǎng)（此處的192.168.1.1實(shí)際為主機(jī)C），如果黑客主機(jī)C將主機(jī)B的信息截獲之后重新封裝再發(fā)給網(wǎng)關(guān)，那么主機(jī)B就可以訪問互聯(lián)網(wǎng)，也能ping通192.168.1.1（此處192.168.1.1仍然為黑客主機(jī)C）。這樣當(dāng)主機(jī)B在網(wǎng)絡(luò)上輸入一些銀行卡信息，通訊軟件的賬號(hào)，密碼等敏感內(nèi)容時(shí)，就會(huì)被黑客截獲，造成無法挽回的損失。這種ARP攻擊方式也叫做“中間人攻擊”，“中間人”黑客主機(jī)C對(duì)與網(wǎng)關(guān)和主機(jī)B都是透明的，因此這種方式很難被發(fā)現(xiàn)，危害極大。

三、ARP攻擊在政企客戶網(wǎng)絡(luò)中的防御

1.政企客戶的組成及分類

政企客戶的的組成非常復(fù)雜，包括政府機(jī)構(gòu)，各類型企事業(yè)單位，組網(wǎng)要求，組網(wǎng)方式各不相同，網(wǎng)絡(luò)管理員的水平也是參差不齊，這就要求我們對(duì)這些政企客戶進(jìn)行分類，有針對(duì)性的對(duì)他們的網(wǎng)絡(luò)進(jìn)行優(yōu)化，使得網(wǎng)絡(luò)布局更加合理，網(wǎng)絡(luò)維護(hù)更加方便，網(wǎng)絡(luò)結(jié)構(gòu)更加清晰。

隨著政企客戶的網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，我們將政企客戶大致分為三類：大型政企客戶，中型政企客戶和小型政企客戶。

2.政企客戶網(wǎng)絡(luò)的ARP防御

對(duì)于這三類客戶，ARP防御的方式也不盡相同，這主要取決于網(wǎng)絡(luò)的規(guī)模。我們將針對(duì)不同規(guī)模的網(wǎng)絡(luò)制定出不同的ARP防御方案。

1）小型政企客戶

小型政企客戶的路由器性能比較弱，PC容量比較少，比較方便一對(duì)一管理，因此可以采取IP-MAC靜態(tài)綁定的方法，這種方法直截了當(dāng)，簡單易操作。具體操作方法是通過每臺(tái)PC里面自帶的WINDOWS命令arp-s來綁定出口網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)關(guān)系以達(dá)到不被欺騙的目的。對(duì)于有些客戶可能不會(huì)使用arp-s的命令，可以通過將命令添加到啟動(dòng)欄方法解決，只要在記事本中輸入arp-s 192.168.1.1 AA-AA-AA-AA-AA-AA即可，然后將此文本保存為bat文件，之后將此bat文件放入啟動(dòng)一欄就可以保證每次開機(jī)都運(yùn)行一次arp地址的固化，從而保證主機(jī)不被ARP欺騙。

除了在PC中固化網(wǎng)關(guān)的arp地址，小型企業(yè)的用戶還可以在自己的PC上安裝ARP軟件防火墻。其原理是通過廣播一直向網(wǎng)絡(luò)中發(fā)布免費(fèi)ARP消息，告訴網(wǎng)關(guān)自己的IP-MAC綁定關(guān)系。這種方法是以消耗網(wǎng)絡(luò)資源為代價(jià)實(shí)現(xiàn)防止ARP欺騙的，由于小型政企客戶網(wǎng)絡(luò)中的PC數(shù)量比較少，因此這種方法對(duì)于防止ARP欺騙的效果是不錯(cuò)的。

2）中型政企客戶

中型政企客戶相對(duì)小型政企客戶在網(wǎng)絡(luò)的規(guī)模上有了一定提升，主要體現(xiàn)在PC的數(shù)量有所增加，網(wǎng)絡(luò)設(shè)備的性能有所提升，網(wǎng)絡(luò)管理員的水平也相應(yīng)要高一些。因此一般采取在網(wǎng)絡(luò)設(shè)備上進(jìn)行配置，來保證局域網(wǎng)內(nèi)的PC被ARP欺騙。一般來說，網(wǎng)絡(luò)設(shè)備（主要是出口路由器或者防火墻）的防御主要有兩種方法：第一種是固化ARP表，即將網(wǎng)絡(luò)中的所有主機(jī)的ARP表固化，使得只有在表中固化并且符合IP-MAC綁定關(guān)系的PC才能正常訪問，對(duì)于新入網(wǎng)和綁定關(guān)系不正確的PC，就會(huì)被禁止訪問網(wǎng)絡(luò)。這種方式對(duì)于網(wǎng)絡(luò)管理員的要求比較高，需要時(shí)刻關(guān)注網(wǎng)絡(luò)內(nèi)主機(jī)的變化情況并作出調(diào)整。第二種是網(wǎng)關(guān)發(fā)送免費(fèi)ARP廣播，來不斷地告訴網(wǎng)絡(luò)中的主機(jī)自己的IP-MAC綁定關(guān)系這種方式和PC發(fā)送ARP廣播的方式累死，而且這種方式中只有一臺(tái)設(shè)備發(fā)送廣播，比每臺(tái)PC都發(fā)送要好的多。

此外，由于ARP攻擊時(shí)發(fā)送的數(shù)據(jù)包是采用廣播方式，因此可以采取劃分VLAN的方式，將不同部門，不同科室，不同樓層的PC劃分為若干個(gè)VLAN，盡量減少ARP攻擊所能影響的范圍，以達(dá)到降低風(fēng)險(xiǎn)的目的，這在中型企業(yè)中也是一個(gè)不錯(cuò)的選擇。

3）大型企業(yè)客戶

對(duì)于大型企業(yè)的客戶，他們的特點(diǎn)較中型企業(yè)的來說就是PC數(shù)量更大，網(wǎng)絡(luò)設(shè)備的要求更高，網(wǎng)絡(luò)結(jié)構(gòu)也更復(fù)雜。顯然在網(wǎng)絡(luò)設(shè)備上做ARP的綁定就會(huì)略顯吃力，我們可以通過架設(shè)專用的ARP驗(yàn)證服務(wù)器來解決ARP的欺騙問題。在網(wǎng)絡(luò)中架設(shè)一臺(tái)ARP驗(yàn)證服務(wù)器，通過這個(gè)中立的第三方來解決主機(jī)與網(wǎng)關(guān)之間的信任問題，由驗(yàn)證服務(wù)器對(duì)訪問請(qǐng)求進(jìn)行判斷，并且查找出相應(yīng)的真實(shí)網(wǎng)關(guān)，從而保證了通信的正常進(jìn)行。

和中型網(wǎng)絡(luò)相比，大型網(wǎng)絡(luò)的VLAN劃分是不可或缺的，如果沒有VLAN的劃分，那么網(wǎng)絡(luò)中的廣播域?qū)⑾喈?dāng)龐大，一旦受到ARP攻擊，將會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成影響，因此，大型政企客戶的網(wǎng)絡(luò)中必須劃分VLAN。

四、結(jié)語

ARP攻擊使網(wǎng)絡(luò)中產(chǎn)生了大量的廣播包，拖慢了政企客戶的網(wǎng)絡(luò)速度，對(duì)他們的網(wǎng)絡(luò)安全造成嚴(yán)重的威脅。因此，要從根本上杜絕ARP攻擊的存在，不僅僅需要在網(wǎng)絡(luò)設(shè)備上做相應(yīng)的部署，更重要的要普遍提高政企客戶人員對(duì)網(wǎng)絡(luò)安全的重視，只有從“人”的層面上解決了，才能更好地保證網(wǎng)絡(luò)的健康運(yùn)行。

參考文獻(xiàn)

[1]杜常青.計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)安全及防范對(duì)策研究[J].信息安全與技術(shù)，2011，（11）

[2]張莉.高校機(jī)房ARP欺騙攻擊的防范[J].山西財(cái)經(jīng)大學(xué)學(xué)報(bào)，2011，（S2）：147

[3]譚敏，楊衛(wèi)平.ARP病毒攻擊與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（4）