◆王紹龍 王 劍 馮 超

（國防科學(xué)技術(shù)大學(xué)電子科學(xué)與工程學(xué)院 湖南 410000）

ARP欺騙攻擊的取證和防御方法

◆王紹龍 王 劍 馮 超

（國防科學(xué)技術(shù)大學(xué)電子科學(xué)與工程學(xué)院 湖南 410000）

由于ARP（Address Resolution Protocol，地址解析協(xié)議）協(xié)議是一個(gè)無狀態(tài)的協(xié)議，并且對(duì)請求/應(yīng)答信號(hào)的數(shù)據(jù)源缺少認(rèn)證機(jī)制，任何客戶端可以偽造惡意的ARP報(bào)文，毒化目標(biāo)主機(jī)ARP緩存表。基于ARP欺騙的攻擊危害性大，會(huì)導(dǎo)致網(wǎng)絡(luò)傳輸效率降低、網(wǎng)絡(luò)阻塞，甚至用戶信息被竊取和隱私泄露。通過分析基于ARP欺騙的中間人攻擊（MITM）、拒絕服務(wù)攻擊（DoS）、MAC泛洪的實(shí)現(xiàn)原理和特點(diǎn)，提出ARP緩存檢查、ARP包檢測、流量分析等ARP欺騙攻擊行為取證方法，和防御ARP欺騙的IP地址靜態(tài)綁定、DHCP防護(hù)和DAI檢測等方法。

ARP欺騙；ARP欺騙監(jiān)測；取證分析；ARP欺騙防御

0 引言

ARP欺騙是攻擊者發(fā)送偽造的ARP請求或ARP應(yīng)答信號(hào)發(fā)起的攻擊行為。當(dāng)收到一個(gè)ARP應(yīng)答的時(shí)候，所有的客戶端無論是否發(fā)出過ARP請求，都可能會(huì)更新本地ARP緩存表。并且ARP協(xié)議中，對(duì)ARP應(yīng)答信號(hào)的信號(hào)源缺少可靠的認(rèn)證機(jī)制，所以無論收到的ARP請求/應(yīng)答信號(hào)是真實(shí)的還是偽造的，都會(huì)進(jìn)行處理，這就給網(wǎng)絡(luò)中的數(shù)據(jù)傳輸安全留下了隱患。

1 ARP欺騙攻擊類型

1.1 中間人攻擊（MITM）

中間人攻擊就是攻擊者在目標(biāo)主機(jī)與另一方主機(jī)（網(wǎng)關(guān)或服務(wù)器）進(jìn)行正常通信的過程中，進(jìn)行攔截、插入、偽造、中斷數(shù)據(jù)包，達(dá)到截獲對(duì)方敏感數(shù)據(jù)，偽造身份等目的[1]。

1.2 拒絕服務(wù)攻擊（DoS）

拒絕服務(wù)攻擊以阻塞正常網(wǎng)絡(luò)帶寬、耗盡服務(wù)器內(nèi)存資源、干擾及破壞正常通信為主。在傳統(tǒng)的網(wǎng)絡(luò)中，DoS攻擊已成為攻擊者進(jìn)行惡意破壞大型網(wǎng)站通信、破壞公司網(wǎng)絡(luò)等極具威脅性的途徑 [2]。

1.3 MAC泛洪

交換機(jī)依靠對(duì)CAM表的查詢來確定正確的轉(zhuǎn)發(fā)接口。攻擊者通過偽造大量的ARP應(yīng)答報(bào)文，使CAM表被這些偽造的MA C地址占據(jù)，真實(shí)的MAC地址卻無法進(jìn)入CAM表，當(dāng)CAM表記錄的MAC地址達(dá)到上限后，新的條目將不會(huì)添加到CAM表中。此時(shí)，任何一個(gè)經(jīng)過交換機(jī)的正常單播數(shù)據(jù)幀，都會(huì)以廣播幀的形式被處理，導(dǎo)致網(wǎng)絡(luò)帶寬資源被大量的數(shù)據(jù)包占用。

2 ARP欺騙的檢測和取證方法

2.1 檢查ARP緩存

受到ARP欺騙攻擊的主機(jī)ARP緩存表，會(huì)保存錯(cuò)誤的IP和MAC地址綁定關(guān)系，通過對(duì)比ARP緩存和可信IP和MAC地址綁定關(guān)系，可以分析ARP欺騙攻擊類型和攻擊源。

2.2 檢測ARP數(shù)據(jù)包

攻擊者發(fā)起ARP欺騙攻擊需要向網(wǎng)絡(luò)中發(fā)送偽造的ARP報(bào)文，這些偽造的ARP報(bào)文中會(huì)重復(fù)使用合法的IP地址。如果存在ARP欺騙攻擊，ARP報(bào)文中IP地址和MAC地址就會(huì)出現(xiàn)多對(duì)對(duì)應(yīng)關(guān)系。并且，ARP應(yīng)答數(shù)據(jù)包的包頭結(jié)構(gòu)中，含有源MA C地址和目的MAC地址等信息，通過分析偽ARP數(shù)據(jù)包，可以定位出ARP欺騙攻擊的主機(jī)。

2.3 網(wǎng)絡(luò)流量分析

在受到ARP欺騙攻擊的網(wǎng)絡(luò)中，攻擊者需要持續(xù)發(fā)送偽AR P數(shù)據(jù)包，相比于正常的網(wǎng)絡(luò)，受攻擊的網(wǎng)絡(luò)中ARP數(shù)據(jù)包會(huì)增多，將導(dǎo)致整個(gè)網(wǎng)絡(luò)中的單播、多播、廣播數(shù)據(jù)包比例發(fā)生明顯變化。

3 受攻擊網(wǎng)絡(luò)取證分析

3.1 檢查ARP緩存表

本地ARP緩存表包含了本地的所有IP地址和MAC地址的對(duì)應(yīng)關(guān)系。如果ARP緩存受到中毒攻擊，就會(huì)出現(xiàn)偽造的IP和MAC地址對(duì)應(yīng)關(guān)系。表1所示是受攻擊主機(jī)的ARP緩存表，緩存表中出現(xiàn)了重復(fù)的MAC地址：00-0c-29-f2-3d-a5同時(shí)對(duì)應(yīng)著192.168.0.1和192.168.0.117兩個(gè)IP地址，而網(wǎng)關(guān)的的MAC地址實(shí)際是be-53-e5-a4-6f-20，IP為192.168.0.117的主機(jī)就是ARP欺騙攻擊的攻擊源，目標(biāo)是偽裝成網(wǎng)關(guān)。

表1 受攻擊主機(jī)ARP緩存表

3.2 分析ARP數(shù)據(jù)包

使用wireshark捕獲到的受攻擊內(nèi)網(wǎng)流量中的ARP數(shù)據(jù)包監(jiān)測顯示結(jié)果為：Duplicate IP address detected for 192.168.0.117（00：0c：29：f2：3d：a5）– also in use by be：53：e5：a4：6f：20。說明IP地址192.168.0.117被重復(fù)使用，說明IP為192.168.0.117的主機(jī)發(fā)出偽造的ARP包，并且這些偽ARP包中的IP地地址，B很可能發(fā)起了DoS攻擊或是中間人攻擊。

3.3 網(wǎng)絡(luò)流量分析

通過Ntop分析網(wǎng)絡(luò)流量可以確定網(wǎng)絡(luò)上存在的各種問題，判斷是否存在ARP攻擊行為。表2和表3分別是在正常網(wǎng)絡(luò)和受攻擊網(wǎng)絡(luò)情況下，主機(jī)用Ntop得出的網(wǎng)絡(luò)流量統(tǒng)計(jì)信息。在受到ARP欺騙攻擊時(shí)，廣播流量明顯增大到18.0%。廣播包很可能就是實(shí)施ARP欺騙持續(xù)發(fā)出的偽ARP包。

表2 正常網(wǎng)絡(luò)網(wǎng)絡(luò)流量統(tǒng)計(jì)

表3 受攻擊網(wǎng)絡(luò)網(wǎng)絡(luò)流量統(tǒng)計(jì)

3.4 入侵檢測

除上述幾種措施外，還有很多ARP欺騙檢測工具，如XArp、ARPToxin、snort等[3]都可以對(duì)基于ARP欺騙的攻擊行為進(jìn)行實(shí)時(shí)檢測。其中，Snort是一個(gè)開源的，具有實(shí)時(shí)流量分析、網(wǎng)絡(luò)IP數(shù)據(jù)包記錄等強(qiáng)大功能的網(wǎng)絡(luò)入侵/防御檢測系統(tǒng)。這種方法首先要根據(jù)具體網(wǎng)絡(luò)手動(dòng)配置文件，對(duì)網(wǎng)絡(luò)的變化適應(yīng)性差。

4 防御措施

4.1 IP地址與MAC地址靜態(tài)綁定

通常，局域網(wǎng)內(nèi)IP地址和MAC地址的對(duì)應(yīng)關(guān)系是動(dòng)態(tài)的，這是ARP欺騙攻擊的前提。如果靜態(tài)綁定受信任的IP地址和M AC地址，當(dāng)收到已綁定地址的ARP請求/應(yīng)答信號(hào)后，ARP緩存表就不會(huì)進(jìn)行更新。

4.2 DHCP防護(hù)和DAI檢測

通過交換機(jī)的DHCP ack包或者手工指定，建立和維護(hù)一張包含受信任的IP和MAC地址生成的DHCP Snooping綁定表，交換機(jī)開啟DHCP Snooping后，會(huì)檢查非信任端口報(bào)文中的M AC地址，根據(jù)綁定表過濾掉不受信任的DHCP信息，與數(shù)據(jù)庫中的借口信息不匹配的DHCP信息同樣也會(huì)被丟棄。避免非法冒充DHCP服務(wù)器接入。

5 結(jié)論

為了保障網(wǎng)絡(luò)安全，關(guān)于OSI各層的安全策略已經(jīng)做了大量研究。通過數(shù)據(jù)鏈路層一直面臨著嚴(yán)重的安全威脅。利用ARP協(xié)議無狀態(tài)的特性發(fā)起的ARP欺騙攻擊危害極大。通過實(shí)驗(yàn)室環(huán)境驗(yàn)證檢查ARP緩存表、ARP包監(jiān)測、網(wǎng)絡(luò)流量分析，可以及時(shí)發(fā)現(xiàn)并定位ARP欺騙攻擊行為。最后給出IP地址靜態(tài)綁定、DHCP防護(hù)和DAI檢測等安全防護(hù)措施，對(duì)保護(hù)局域網(wǎng)安全具有重要意義。

[1]馬軍，王巖．ARP 協(xié)議攻擊及其解決方案[J]．微計(jì)算機(jī)信息，2006．

[2]李軍鋒．基于計(jì)算機(jī)網(wǎng)絡(luò)安全防 ARP 攻擊的研究[J]．武漢工業(yè)學(xué)院學(xué)報(bào)，2009．

[3]吳蓓．淺論 ARP 攻擊的原理與防范方式[J]．科協(xié)論壇：下半月，2010．

關(guān)閉81端口：

4.2 關(guān)閉和開啟物理端口

4.3 網(wǎng)絡(luò)地址的配置

第一步：ifconfigeth0x.x.x.xnetmaskx.x.x.xbroadcastx.x.x.

第二步：參考配置文件進(jìn)行設(shè)置，/ect/sysconfig/network-scri pts下進(jìn)行ifcfg-xx的文件配置，例如ifconfigeth0，其中0表示在一塊網(wǎng)卡上配置地址的數(shù)目，需要多個(gè)則對(duì)該數(shù)字進(jìn)行設(shè)定即可：ifconfigeth0：1，ifconfigeth0：2等根據(jù)實(shí)際需求進(jìn)行設(shè)定。

第三步：重新啟動(dòng)network服務(wù)，/ect/init.d/networkrestart或servicenetworkrestart.

5 修改網(wǎng)絡(luò)配置

修改網(wǎng)絡(luò)配置一般是出現(xiàn)在完成所有配置之后的，當(dāng)配置完成后發(fā)現(xiàn)其中的某些設(shè)置與原來的設(shè)計(jì)不同，或者是不能滿足實(shí)際的運(yùn)行需求，所以需要對(duì)其進(jìn)行相應(yīng)的修改。通常情況下修改網(wǎng)絡(luò)配置，主要針對(duì)IP地址、DNS和路由方面的修改，而修改的方式則是通過相應(yīng)的指令來完成操作。

6 結(jié)語

虛擬機(jī)下Linux操作系統(tǒng)的網(wǎng)絡(luò)配置步驟總結(jié)為六步：第一，連接 Vnet-PPPoE 實(shí)現(xiàn)網(wǎng)絡(luò)共享；第二，選擇合適的連接方式接入互聯(lián)網(wǎng)；第三，根據(jù)實(shí)際情況需求進(jìn)行相應(yīng)的網(wǎng)絡(luò)配置；第四，利用配置文件進(jìn)行相關(guān)命令的執(zhí)行，保證所設(shè)置的網(wǎng)絡(luò)是有效可執(zhí)行的；第五，用 ifconfig 命令檢測查看已設(shè)置的網(wǎng)絡(luò)配置是否符合要求；第六，利用ping命令對(duì)網(wǎng)絡(luò)的通暢情況進(jìn)行檢測驗(yàn)證，一般設(shè)置完成的系統(tǒng)，其網(wǎng)絡(luò)運(yùn)行情況較為良好，但如果是不通暢的情況，則需要關(guān)掉真機(jī)上的防火墻，然后繼續(xù)觀察網(wǎng)絡(luò)狀態(tài)，針對(duì)存在的問題找出相應(yīng)的解決辦法，保證系統(tǒng)和網(wǎng)絡(luò)的正常。

參考文獻(xiàn)：

[1]李超．虛擬機(jī)下Linux操作系統(tǒng)的網(wǎng)絡(luò)配置研究[J]．小作家選刊，2015．

[2]芮雪．虛擬機(jī)下Linux操作系統(tǒng)的網(wǎng)絡(luò)配置[J]．電腦與信息技術(shù)，2014．

[3]翟文彬，李爽．虛擬機(jī)技術(shù)在Linux操作系統(tǒng)中的應(yīng)用[J]．計(jì)算機(jī)光盤軟件與應(yīng)用，2013．