李 瑩

鐵嶺市信息工程學(xué)校

淺談ARP病毒攻擊技術(shù)與防御策略

李 瑩

鐵嶺市信息工程學(xué)校

本文主要對ARP病毒進(jìn)行了分析，并根據(jù)一些我校網(wǎng)絡(luò)管理的經(jīng)驗(yàn)提出了一些具體的防范措施，來應(yīng)對ARP病毒欺騙和攻擊。

ARP病毒，ARP病毒攻擊，防范措施

ARP攻擊近年來十分普遍，而且ARP地址欺騙技術(shù)已經(jīng)被越來越多的病毒所采用，并成為病毒發(fā)展的主要趨勢，如何防范ARP攻擊越來越受到人們的重視。

一、ARP病毒原理分析

ARP協(xié)議就是地址解析協(xié)議，用于將計(jì)算機(jī)的網(wǎng)絡(luò)IP地址轉(zhuǎn)化為物理MAC地址，ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。在網(wǎng)絡(luò)中，一臺(tái)主機(jī)要與另一臺(tái)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址，但這個(gè)目標(biāo)的MAC地址就是通過地址解析協(xié)議獲得的。所以地址解析協(xié)議就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信正常進(jìn)行。

二、ARP的主要欺騙和攻擊方式

1、ARP欺騙

網(wǎng)絡(luò)欺騙是黑客常用的攻擊手段之一，網(wǎng)絡(luò)ARP欺騙分為兩種：一種是對路由器ARP表的欺騙，另一種是對內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)欺騙。前一種欺騙的原理是攻擊者通過截獲分析網(wǎng)關(guān)數(shù)據(jù)，并通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)IP地址和MAC地址的映射，按照一定的頻率不斷進(jìn)行使真實(shí)的地址信息映射無法通過更新保存在路由器中，結(jié)果路由器轉(zhuǎn)發(fā)數(shù)據(jù)到錯(cuò)誤的MAC地址的主機(jī)，造成正常主機(jī)無法收到信息；后一種ARP欺騙的原理是偽造網(wǎng)關(guān)，它的原理是把真實(shí)網(wǎng)關(guān)的IP地址映射到錯(cuò)誤的MAC地址，這樣主機(jī)在向網(wǎng)關(guān)發(fā)送數(shù)據(jù)時(shí)，不能夠到達(dá)真正的網(wǎng)關(guān)，如果假網(wǎng)關(guān)不能上網(wǎng)，那么真實(shí)的主機(jī)通過假網(wǎng)關(guān)也不能上網(wǎng)。

2、中間人攻擊

按照ARP協(xié)議的設(shè)計(jì)，一臺(tái)主機(jī)即使收到的ARP應(yīng)答并非自身請求得到的，也會(huì)將其IP地址和MAC地址的對應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為ARP欺騙創(chuàng)造了條件。

三、ARP地址欺騙攻擊者的定位

1、主動(dòng)定位方式

因?yàn)樗械腁RP攻擊源都會(huì)有其特征，網(wǎng)卡會(huì)處于混雜模式，可以通過ARPKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺(tái)機(jī)器的網(wǎng)卡是處于混雜模式，從而判斷這臺(tái)機(jī)器有可能就是“元兇”。

2、被動(dòng)定位方式

在局域網(wǎng)發(fā)生ARP攻擊時(shí)，查看交換機(jī)的動(dòng)態(tài)ARP表中的內(nèi)容，確定攻擊源的MAC地址；也可以在局域網(wǎng)中部署Sniffer工具，定位ARP攻擊源的MAC.。

四、ARP攻擊的主要防范措施

1、IP地址和MAC地址的靜態(tài)綁定

（1）在用戶端進(jìn)行綁定

ARP欺騙是通過ARP的動(dòng)態(tài)刷新，并不進(jìn)行驗(yàn)證的漏洞來欺騙內(nèi)網(wǎng)主機(jī)的，所以我們把ARP表全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)的欺騙，也就是在用戶端實(shí)施IP和MAC地址綁定，可以在用戶主機(jī)上建立一個(gè)批處理文件，此文件內(nèi)容是綁定內(nèi)網(wǎng)主機(jī)IP地址和MAC地址，并包括網(wǎng)關(guān)主機(jī)的IP地址和MAC地址的綁定，并把此批處理文件放到系統(tǒng)的啟動(dòng)目錄下，是系統(tǒng)每次重新啟動(dòng)后，自動(dòng)運(yùn)行此文件，自動(dòng)生成內(nèi)網(wǎng)主機(jī)IP地址和MAC地址的映射表。這種方法使用于小型的網(wǎng)絡(luò)中。

（2）在交換機(jī)上綁定

在核心交換機(jī)上綁定核心用戶主機(jī)IP地址和MAC地址，同時(shí)在邊緣交換機(jī)上將用戶計(jì)算機(jī)網(wǎng)卡的IP地址和交換機(jī)端口綁定的雙重綁定方式。這樣可以極大程度上避免非法用戶使用ARP欺騙和盜用合法的IP地址。

2、采用VLAN技術(shù)隔離端口

局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)需要，將本單位網(wǎng)絡(luò)規(guī)劃處若干個(gè)VLAN，當(dāng)發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò)，或合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)管理員可先找到該用戶所在交換機(jī)端口，然后將該端口劃一個(gè)單獨(dú)的VLAN,將該用戶與其他用戶隔離，以避免對其他用戶造成影響。

3、防火墻和殺毒軟件

可以安裝ARP防火墻或者開啟局域網(wǎng)ARP防護(hù)，比如360安全衛(wèi)士等ARP病毒專殺工具，并且實(shí)時(shí)下載安裝系統(tǒng)漏洞補(bǔ)丁，關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。

總之，網(wǎng)絡(luò)安全領(lǐng)域沒有任何一種手段是萬無一失的，對于各種網(wǎng)絡(luò)攻擊，要經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài)，采用積極主動(dòng)的防御措施，使ARP病毒的危害減少到最小程度。網(wǎng)絡(luò)管理員也要不斷的提高自身技術(shù)水平，確保網(wǎng)絡(luò)安全的正常運(yùn)行。

1、馬軍，王巖ARP協(xié)議攻擊及其解決方案信息安全，2006.05