◆王林勝

（華勝電腦公司 浙江 314500）

公司集團(tuán)局域網(wǎng)ARP惡意攻擊分析與防范措施研究

◆王林勝

（華勝電腦公司 浙江 314500）

從當(dāng)前的局域網(wǎng)技術(shù)發(fā)展和管理現(xiàn)狀來看，外部各種形式的攻擊依然非常猖獗，例如當(dāng)前較受關(guān)注的ARP攻擊。對于公司集團(tuán)來說，局域網(wǎng)對于其各部門的交流、整合、協(xié)調(diào)來說具有相當(dāng)重要的作用意義，如果其受到了ARP攻擊，則會導(dǎo)致公司集團(tuán)的信息安全陷入危機(jī)，甚至造成整個公司集團(tuán)的運(yùn)作暫時停止，后果往往非常嚴(yán)重，因此在如今的信息時代下，公司集團(tuán)必須要做好對ARP攻擊的安全防范。本文基于作者自身的實際工作與學(xué)習(xí)經(jīng)驗，首先簡單分析了ARP協(xié)議的原理及ARP攻擊形式，并較為詳細(xì)的闡述了ARP攻擊可能對公司集團(tuán)局域網(wǎng)造成的危害，最后主要對如何有效的進(jìn)行公司集團(tuán)局域網(wǎng)ARP攻擊安全防范提出了部分措施建議。

ARP欺騙；攻擊原理；防范；措施

0 引言

目前，公司集團(tuán)的規(guī)模越來越大，部門和員工人數(shù)越來越多，這對公司集團(tuán)的組織、協(xié)調(diào)等提出了更高的要求，如果依然想按照傳統(tǒng)的管理方式來運(yùn)營整個公司集團(tuán)，顯然是不現(xiàn)實的，其一是效率非常低下，其二是工作量非常大，容易漏洞百出。而通過組建公司集團(tuán)局域網(wǎng)，則能夠很好解決公司集團(tuán)在管理過程當(dāng)中的各種難題，實現(xiàn)各部門乃至各人員的高效交流、整合、協(xié)調(diào)，這可以顯著提升公司集團(tuán)的管理水平。但在局域網(wǎng)的運(yùn)行過程當(dāng)中，有著諸多的因素都可能會危害到公司集團(tuán)內(nèi)部的信息安全，這會使得局域網(wǎng)的運(yùn)行出現(xiàn)故障甚至是癱瘓，影響到公司集團(tuán)的運(yùn)營管理，泄露商業(yè)信息，給公司集團(tuán)造成嚴(yán)重的損失。例如，目前的ARP（Address Resolution Protocol，地址解析協(xié)議）攻擊，就極易對公司集團(tuán)的局域網(wǎng)造成嚴(yán)重的信息安全威脅。如今的ARP病毒具有非常強(qiáng)的感染力，而且變種非常多，一旦感染就會快速的擴(kuò)散，尚沒有能夠完全消除ARP攻擊的辦法，只能不斷的加強(qiáng)安全防范[1]。

1 ARP協(xié)議的原理

1.1 ARP協(xié)議

ARP協(xié)議即地址解析協(xié)議，它是TCP/IP協(xié)議的一個下屬協(xié)議，通過ARP協(xié)議，我們能夠根據(jù)IP地址獲取到物理地址，該協(xié)議在如今的網(wǎng)絡(luò)運(yùn)行過程當(dāng)中，發(fā)揮著極其重要的作用。在局域網(wǎng)當(dāng)中，每一臺計算機(jī)都擁有一個IP地址，在局域網(wǎng)的內(nèi)部，這個IP地址是獨(dú)立的，各臺計算機(jī)之間沒有影響，但局域網(wǎng)內(nèi)的計算機(jī)在發(fā)送數(shù)據(jù)信息時，所真實使用的卻并不是該IP地址。依據(jù)網(wǎng)絡(luò)分層的原則，數(shù)據(jù)分組從已知IP地址的網(wǎng)絡(luò)層發(fā)送到數(shù)據(jù)鏈路層，這需要封裝成數(shù)據(jù)鏈路層硬件認(rèn)知的獨(dú)立MAC地址后，才可以在網(wǎng)絡(luò)中以數(shù)據(jù)幀的形式傳輸。ARP協(xié)議的作用就是，將IP地址映射為網(wǎng)絡(luò)上的48位MAC地址，以這樣的方式來建立起局域網(wǎng)內(nèi)MAC和IP地址的聯(lián)系，最終確保數(shù)據(jù)信息能夠正確的傳輸[2]。

1.2 ARP協(xié)議的缺陷

如上所述，ARP協(xié)議在網(wǎng)絡(luò)的運(yùn)行過程當(dāng)中發(fā)揮著重要的作用，但它也是存在缺陷的，容易引起信息安全方面的問題。當(dāng)前，主機(jī)地址的映射表是動態(tài)更新、高速緩存的，在正常的情況下，主機(jī)MAC地址都會在一定的時間內(nèi)進(jìn)行刷新，此時如果有人刻意的在交換前篡改被欺騙主機(jī)的地址緩存，就可以拒絕服務(wù)或是假冒。ARP協(xié)議是沒有狀態(tài)的，因此所有的主機(jī)在沒有進(jìn)行ARP請求發(fā)送的情況下，也必須要對ARP做出響應(yīng)，這就給攻擊者留下了一個攻擊點，他們能夠隨時的發(fā)送ARP應(yīng)答，只要應(yīng)答是有效的，則接收到ARP應(yīng)答分組的電腦主機(jī)就根據(jù)應(yīng)答分組的內(nèi)容來刷新本機(jī)的高速緩存，ARP應(yīng)答則無須認(rèn)證。

在局域網(wǎng)內(nèi)，所有的主機(jī)通信都是相互信任的，不需要進(jìn)行審核或是認(rèn)證，只要其收到了內(nèi)部的ARP應(yīng)答分組，就會將其中的MAC/IP地址映射刷新存入到高速緩存中，整個過程是沒有阻礙的。從這里可以看出，ARP協(xié)議雖然重要，但是其缺陷是沒有一個安全方面的檢測機(jī)制，ARP應(yīng)答報文合法還是不合法，MAC/IP地址映射都會被刷入，所以有很多的人都會通過相關(guān)的技術(shù)手段，來進(jìn)行IP和MAC地址映射偽造，從而實施ARP攻擊，這既可能造成局域網(wǎng)運(yùn)行效率降低或是癱瘓，還有可能造成相關(guān)的數(shù)據(jù)信息泄露[3]。

2 ARP 攻擊形式

從目前的實際ARP攻擊情況來看，其攻擊的具體形式可以分為兩個類別，一個是主動攻擊，另一個是被動攻擊。

2.1 主動攻擊的形式（1）中間人的攻擊

中間人的攻擊是ARP主動攻擊中較為常見的一種形式，也常被稱作ARP雙向欺騙，在這種形式的供給之下，受攻擊的計算機(jī)可能出現(xiàn)網(wǎng)絡(luò)運(yùn)行時斷時續(xù)的情況，而且網(wǎng)速會變得非常緩慢。通過對ARP進(jìn)行查看可以發(fā)現(xiàn)，MAC地址已經(jīng)被進(jìn)行了修改，同時網(wǎng)關(guān)上的MAC地址也是虛假的。這會使得受攻擊的計算機(jī)數(shù)據(jù)流量被轉(zhuǎn)移到另外的計算機(jī)上，致使數(shù)據(jù)信息丟失，如圖1所示：

圖1 中間人攻擊

A：192.168.1.1 AA—AA—AA—AA—AA—AA

B：192.168.1.2 BB—BB—BB—BB—BB—BB（網(wǎng)關(guān)地址）

C：192.168.1.3 CC—CC—CC—CC—CC—CC

D：192.168.1.4 DD—DD—DD—DD—DD—DD

在某局域網(wǎng)當(dāng)中，如果所有計算機(jī)都沒有收到ARP攻擊，其狀態(tài)完全正常，那么計算機(jī)A就可以通過ARP協(xié)議實現(xiàn)與計算機(jī)D的通信，但如果計算機(jī)C通過非法的手段，向計算機(jī)A傳輸了一個ARP數(shù)據(jù)包，內(nèi)容是（192.168.1.4，CC—CC—CC—CC—CC—CC），此時計算機(jī)A就會作出響應(yīng)，對自己的ARP緩存表進(jìn)行修改，計算機(jī)D的MAC就會成為CC—CC—CC—CC—CC—CC，在這樣的情況下，如果計算機(jī)A再與計算機(jī)D進(jìn)行通信，其數(shù)據(jù)信息其實就會流向計算機(jī)C，簡而言之也就是計算機(jī)C竊取了計算機(jī)A的數(shù)據(jù)包。

（2）仿冒網(wǎng)關(guān)的欺騙

仿冒網(wǎng)關(guān)欺騙就是ARP病毒向網(wǎng)絡(luò)的中主機(jī)傳送含有錯誤網(wǎng)關(guān)（MAC，IP）映射對的ARP數(shù)據(jù)包，受害電腦主機(jī)接收到此ARP數(shù)據(jù)包同時更新了自己的ARP緩存表，一旦受害電腦主機(jī)發(fā)送數(shù)據(jù)時，這些本來傳向網(wǎng)關(guān)的數(shù)據(jù)卻被重新定向到另一主機(jī)上或一個錯誤的MAC地址上，從而導(dǎo)致受害主機(jī)根本無法訪問網(wǎng)關(guān)。如圖2 所示：

如果主機(jī)A向本網(wǎng)段中傳輸了一個ARP數(shù)據(jù)包，內(nèi)容是（192.168.1.3，F(xiàn)F-FF-FF-FF-FF-FF），在本網(wǎng)段中的電腦主機(jī)C接受到此ARP數(shù)據(jù)包，會根據(jù)其內(nèi)容更新自己的ARP緩存表，就會錯誤的更改了網(wǎng)關(guān)的（MAC，IP，）映射，這時電腦主機(jī)C是無法訪問到網(wǎng)關(guān)的。

圖2 仿冒網(wǎng)關(guān)欺騙

（3）ARP洪泛的攻擊

這種攻擊形式指的是受到了病毒感染的計算機(jī)，在一定的時間內(nèi)，不停的向網(wǎng)絡(luò)發(fā)送ARP數(shù)據(jù)包，這會使得網(wǎng)段中計算機(jī)的ARP緩存表超出容量限制，最終計算機(jī)ARP緩存當(dāng)中的地質(zhì)映射都是錯誤的，這樣的話計算機(jī)就不能夠正常的接入網(wǎng)絡(luò)。

2.2 被動攻擊的形式

ARP被動攻擊和主動攻擊是相對的，主動攻擊是不法分子利用相關(guān)的技術(shù)手段，去主動修改ARP緩存表，從實施攻擊。而被動攻擊則不會主動修改ARP緩存表，它會在受害計算機(jī)發(fā)送ARP協(xié)議詢問包時，進(jìn)行欺騙性的應(yīng)答，進(jìn)而實現(xiàn)攻擊，這個時候ARP協(xié)議認(rèn)為所有的ARP數(shù)據(jù)包都是可信的，可見其缺陷[4]。

在一個局域網(wǎng)當(dāng)中，如果存在ARP攻擊，該攻擊的對象就將是局域網(wǎng)內(nèi)的所有計算機(jī)以及網(wǎng)關(guān)，在攻擊成功的情況下，局域網(wǎng)內(nèi)計算機(jī)之間的正常通信和計算機(jī)與網(wǎng)關(guān)之間的正常通信就會受攻擊者的修改或轉(zhuǎn)發(fā)。在實際發(fā)生ARP的時候，作為一般的計算機(jī)用戶，是察覺不到的，而且這種攻擊模式所發(fā)出的攻擊都是隨機(jī)的，具有較高的隱蔽性，因此想要查找攻擊的源頭是較為困難的。受攻擊之后，受到危害的計算機(jī)會出現(xiàn)明顯的性能下降，網(wǎng)速變慢，甚至是直接掉線。

3 公司集團(tuán)網(wǎng)ARP欺騙攻擊的危害

（1）如果公司集團(tuán)的局域網(wǎng)受到了ARP攻擊，可能會表現(xiàn)得網(wǎng)絡(luò)不穩(wěn)定，網(wǎng)速嚴(yán)重減緩，甚至是癱瘓。通過對計算機(jī)的收包數(shù)據(jù)量進(jìn)行查看，可以發(fā)現(xiàn)其數(shù)據(jù)量遠(yuǎn)遠(yuǎn)低于發(fā)包數(shù)據(jù)量。通過網(wǎng)絡(luò)抓包工具，可以發(fā)現(xiàn)在集團(tuán)的局域網(wǎng)當(dāng)中有著大量的ARP報文出現(xiàn)。如果局域網(wǎng)當(dāng)中的某一臺計算機(jī)受到了ARP病毒的攻擊感染，就會向局域網(wǎng)內(nèi)的其他計算機(jī)或其他相關(guān)設(shè)備不間斷的發(fā)送非法ARP欺騙數(shù)據(jù)包，從而使得局域網(wǎng)阻塞。一旦發(fā)生這種情況，公司集團(tuán)的局域網(wǎng)內(nèi)部通信就會變得非常遲緩，很多數(shù)據(jù)信息都不能及時的傳輸，由此公司集團(tuán)的運(yùn)營甚至可能完全停止。

（2）在ARP的供給之下，公司集團(tuán)局域網(wǎng)內(nèi)的計算機(jī)都可能面臨非法的監(jiān)聽，不論是管理人員還是一般工作人員，只要其接入了局域網(wǎng)，他們通過計算機(jī)發(fā)送的相關(guān)數(shù)據(jù)信息就都可能被竊取，這會使得公司集團(tuán)的商業(yè)機(jī)密和員工的個人信息泄露，后果可大可小。

（3）在ARP的攻擊之下，公司集團(tuán)的局域網(wǎng)可能出現(xiàn)一個由攻擊可以創(chuàng)建的“偽網(wǎng)關(guān)”，這個時候“偽網(wǎng)關(guān)”就可以將相關(guān)的惡意信息插入到數(shù)據(jù)之中，然后發(fā)送給局域網(wǎng)中的計算機(jī)，例如一段惡意的代碼，在計算機(jī)接收到了數(shù)據(jù)之后，代碼便會運(yùn)行，對計算機(jī)造成破壞。

4 公司集團(tuán)網(wǎng)ARP欺騙攻擊的防御措施

4.1 用戶端計算機(jī)的防御

（1）要做好基本的計算機(jī)安全防護(hù)工作，例如安裝公司集團(tuán)統(tǒng)一的防火墻、殺毒軟件，并進(jìn)行定期的更新。同時還可以安裝ARP專殺軟件，專門針對ARP共計進(jìn)行安全防護(hù)，及時的發(fā)現(xiàn)和清楚ARP病毒。

（2）另外，在進(jìn)行計算機(jī)操作的時候，要注意養(yǎng)成良好的安全習(xí)慣，例如不要隨意打開來歷不明的網(wǎng)站、信息或是其他的程序文件，而且在公司集團(tuán)的局域網(wǎng)中，最好是不能進(jìn)行私人的信息或娛樂操作，減少感染ARP病毒的風(fēng)險。

（3）必須在用戶端電腦主機(jī)上綁定交換機(jī)網(wǎng)關(guān)的MAC和IP地址。同時Windows用戶也可通過在命令行方式，執(zhí)行“arp-s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC 地址”命令來減輕中毒主機(jī)對本機(jī)的影響。本機(jī)的網(wǎng)關(guān)IP和網(wǎng)關(guān)MAC地址可以在網(wǎng)絡(luò)工作正常時通過命令行方式下的“arp-a”命令來得到。也可以編寫一個批處理文件arp.bat，來實現(xiàn)將交換機(jī)網(wǎng)關(guān)的MAC地址和網(wǎng)關(guān)的IP地址的綁定，同時將這個批處理文件拖到“ 開始-程序-啟動”中，這樣用戶每次開機(jī)后計算機(jī)自動加載并執(zhí)行該批處理文件。

4.2 網(wǎng)絡(luò)設(shè)備管理端防御

（1）為了避免公司集團(tuán)的局域網(wǎng)受到ARP攻擊，可以在核心交換機(jī)上進(jìn)行主機(jī)IP與MAC地址綁定，并在邊緣交換機(jī)上綁定網(wǎng)卡MAC地址和交換機(jī)端口，最后還需得在三層交換機(jī)上進(jìn)行IP、MAC 對應(yīng)表實時檢控，在二層交換機(jī)上進(jìn)行用戶計算機(jī)上傳MAC的數(shù)量限制。通過這些措施，可以有效的防范ARP攻擊。

（2）利用虛擬局域網(wǎng)技術(shù)進(jìn)行交換機(jī)端口隔離，當(dāng)前公司集團(tuán)的局域網(wǎng)都是拓?fù)浣Y(jié)構(gòu)，利用虛擬局域網(wǎng)技術(shù)，可以將局域網(wǎng)內(nèi)的所有計算機(jī)重新劃分為若干的虛擬局域網(wǎng)，同時將交換機(jī)上虛擬局域網(wǎng)進(jìn)一步劃小。這能夠利用ARP報文在域內(nèi)傳送的特點，將其攻擊和感染隔離開來，減少受危害的計算機(jī)。

（3）使用交換機(jī)的ARP特定功能。當(dāng)前，ARP攻擊的危害已經(jīng)受到了重視，很對交換機(jī)的生產(chǎn)廠商還是進(jìn)行應(yīng)對，并采取了一些較為有效的措施，可以幫助防范ARP攻擊。例如，在銳捷的S21系列二層交換機(jī)上，通過使用其Anti -ARP -Spoofing功能，能夠防范同一個網(wǎng)段內(nèi)的ARP攻擊。另外，CISCO交換機(jī)也具有相關(guān)的功能，可以防范ARP攻擊，這些功能都是較為有效的，公司集團(tuán)的局域網(wǎng)應(yīng)當(dāng)積極的嘗試應(yīng)用。

（4）可以建立一個ARP服務(wù)器，用于存儲ARP轉(zhuǎn)換表，公司集團(tuán)局域網(wǎng)內(nèi)的計算機(jī)通過該服務(wù)器中的數(shù)據(jù)，來響應(yīng)ARP廣播，這也可以有效的防范ARP攻擊，不過這里有一個前提，那就是ARP服務(wù)器必須是安全的。

（5）對公司集團(tuán)局域網(wǎng)中的計算機(jī)進(jìn)行上網(wǎng)認(rèn)證和地址綁定。在一些情況之下，不論是軟件設(shè)備還是硬件設(shè)備，可能都無法完全抵御ARP攻擊，為此可以在局域網(wǎng)計算機(jī)中使用靜態(tài)的IP地址，不允許其IP地址發(fā)生變化，同時還要在匯聚交換機(jī)上進(jìn)行IP和MAC地址綁定，整個綁定過程需要涉及到的內(nèi)容應(yīng)當(dāng)包括接入交換機(jī)PORT、接入交換機(jī)IP、MAC地址、IP地址、密碼、帳號，這可以防止一個MAC地址有多個IP地址對應(yīng)等情況出現(xiàn)，這可以在很大程度上提高公司集團(tuán)局域網(wǎng)對ARP的防范抵御能力。

4.3 立體ARP的防御

可以在公司集團(tuán)局域網(wǎng)中安裝一套802.1x認(rèn)證軟件，這認(rèn)證軟件，有三個元素，第一是用戶的客戶端軟件，第二是接入交換機(jī)，第三是認(rèn)證服務(wù)器。經(jīng)過用戶通過認(rèn)證后，使服務(wù)器把用戶的IP、MAC、接入，同時交換機(jī)的端口綁定到接入交換機(jī)上，可以把服務(wù)器把網(wǎng)關(guān)的IP和MAC地址下發(fā)給用戶端，讓用戶即綁定正確的網(wǎng)關(guān)地址，并在網(wǎng)關(guān)上實現(xiàn)可信任ARP，從而來保證網(wǎng)絡(luò)中的立體ARP防御功能，進(jìn)而可以確保整個網(wǎng)絡(luò)無ARP攻擊和欺騙。

5 結(jié)束語

當(dāng)前，公司集團(tuán)的規(guī)模變得越來越大，為了有效的對公司集團(tuán)進(jìn)行管理，協(xié)調(diào)、組織公司集團(tuán)運(yùn)營，必須要有一套完整的內(nèi)部局域網(wǎng)做支撐。同時，我們還需要做好對公司集團(tuán)局域網(wǎng)的安全防范工作，防止ARP等攻擊在局域網(wǎng)內(nèi)發(fā)生，使公司集團(tuán)的局域網(wǎng)能夠保持安全、高效的運(yùn)行，促進(jìn)公司集團(tuán)管理、運(yùn)營。

[1]吳旻，李曉玲．校園網(wǎng)ARP欺騙分析與解決方案[J]．科技情報開發(fā)與經(jīng)濟(jì)，2009．

[2]秦勇，張海豐．校園網(wǎng)ARP欺騙攻擊與防范研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010．

[3]吳經(jīng)龍，吳立鋒．校園網(wǎng)ARP欺騙原理及解決方案[J]．中南民族大學(xué)學(xué)報，2008．

[4]葉青，徐俏虹．校園網(wǎng)ARP欺騙原理與防御方法研究[J]．?dāng)?shù)字技術(shù)與應(yīng)用，2011．