李春 郭景宏

摘 要： 在計算機技術和網(wǎng)絡技術日漸發(fā)展的當今時代，在數(shù)據(jù)處理生產(chǎn)運營中普遍使用網(wǎng)絡技術。保護網(wǎng)絡環(huán)境安全，對于企業(yè)的發(fā)展具有深遠影響。特別是對ARP欺騙類病毒高度重視，避免由于ARP欺騙類病毒的影響而造成企業(yè)受損。通過對如何防御ARP欺騙類病毒進行研究分析，希望能夠為相關人員提供一定的理論借鑒。

關鍵詞：ARP 欺騙類病毒 防御

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2016）06-0006-01

前言：ARP全稱為Address Resolution Protocol，地址解析協(xié)議。ARP病毒并不是某一種病毒的名稱，而是對利用ARP協(xié)議的漏洞進行傳播的一類病毒的總稱。ARP欺騙主要指的是，利用ARP協(xié)議中存在的漏洞，將偽造過的虛假ARP報文發(fā)送到目標主機設備，進而實現(xiàn)截取目標主機數(shù)據(jù)、或者監(jiān)聽主機數(shù)據(jù)的攻擊方式。ARP欺騙具有一定的隨機性、以及隱蔽性等特點，ARP欺騙工具廣泛的存在于網(wǎng)絡環(huán)境中，進而致使ARP欺騙更加普遍。現(xiàn)階段，很多木馬病毒利用ARP欺騙，廣泛傳播于網(wǎng)絡中，嚴重影響網(wǎng)絡的安全運行。特別是在企業(yè)內部局域網(wǎng)絡中，ARP欺騙更是屢次出現(xiàn)，如果某臺計算機感染ARP欺騙類病毒程序，將會發(fā)送偽造過的ARP相應報文，嚴重影響網(wǎng)絡環(huán)境的穩(wěn)定。

一、ARP的主要攻擊類型

攻擊類型主要包括以下兩種：冒充主機欺騙網(wǎng)關和冒充網(wǎng)關欺騙主機[1]。

1.冒充主機欺騙網(wǎng)關

可以將源MAC地址設置為MAC_C，將源IP地址設置為IP_A，攻擊主機C發(fā)出一個報文。從而所有向主機A發(fā)送的報文，都會由攻擊主機C所接收，而且中斷了網(wǎng)絡同真實主機A的直接通信關系。如果攻擊主機C持續(xù)地根據(jù)自身的MAC地址，與其他主機IP地址作為源地址進行ARP包的發(fā)送，那么除了攻擊主機C，網(wǎng)關將無法直接通信網(wǎng)段內的所有主機 [2]。在此種背景下，交換機無法記錄任何的報警日志，主要是交換機認為多個IP地址對應一個MAC地址正?？尚?，對其他利用IP對應的MAC交付報文不會造成任何影響。如果將網(wǎng)關ARP緩存中的MAC地址進行更改，使之換成原本就不存在的地址，則網(wǎng)關所發(fā)送出來的網(wǎng)絡數(shù)據(jù)幀將會全部丟失，致使上層急于處理此種異常情況，而無法對外來請求進行解決，最終使得網(wǎng)關不提供任何服務。

2.冒充網(wǎng)關欺騙主機

首先，在主動攻擊中，主機A接收到來自攻擊者C的ARP應答數(shù)據(jù)包，然后使主機A和網(wǎng)關B的IP地址明確所對應的MAC地址，也就是CC-CC-CC-CC-CC-CC，致使主機A對自身的ARP列表進行修復，然后將網(wǎng)關B的IP地址進行修改，將原有的MAC地址修改成攻擊者C的MAC地址；其次，攻擊者C在向主機A發(fā)送ARP數(shù)據(jù)包的同時，也向網(wǎng)關B發(fā)送ARP應答數(shù)據(jù)包，也告知網(wǎng)關B主機A的IP地址所對應的MAC地址，也就是CC-CC-CC-CC-CC-CC，致使網(wǎng)關B將自身的ARP列表進行修改，然后將A的IP地址進行修改，將原有的MAC地址修改成攻擊者C的MAC地址；最終致使主機A與網(wǎng)關B之間的通信，變成主機A與攻擊者C之間的通信，以及攻擊者C與網(wǎng)關B之間的通信，主機A和B之間無法直接通信[3]。

在被動攻擊中，主機A或者網(wǎng)關B發(fā)送出ARP請求數(shù)據(jù)包時，攻擊者C在一段時間之后，發(fā)送應答數(shù)據(jù)包，保證自身的應答包能夠在正確的應答包之后達到，避免出現(xiàn)自己修改的相應主機的ARP列表，被正確的應答包再次修改。因此，主機A向網(wǎng)關B所發(fā)送的報文，都會向攻擊主機C發(fā)送，進而導致主機A出現(xiàn)斷網(wǎng)的情況。如果攻擊主機C先是收到來自主機A的報文，然后在向網(wǎng)關B轉發(fā)，則主機A可以利用攻擊主機C繼續(xù)上網(wǎng)，但是，主機A的網(wǎng)絡質量，將會由攻擊主機C來控制，一般具有時斷時續(xù)的表現(xiàn)。

二、ARP欺騙類病毒入侵后的表象

當局域網(wǎng)中的某臺電腦找到ARP欺騙類病毒控制的時候，其他用戶若通過原來的路由器連接上網(wǎng)，將變成通過病毒主機連接網(wǎng)絡，而切換過程用戶將出現(xiàn)一次斷線現(xiàn)象。當切換到病毒主機上網(wǎng)后，若用戶登錄某個服務器，病毒主機則會偽裝成經(jīng)常斷線，誘使用戶頻繁登錄，從而利于病毒主機盜取賬戶信息。當ARP欺騙類病毒運行時，會產(chǎn)生很多數(shù)據(jù)包，大量數(shù)據(jù)包造成局域網(wǎng)擁堵，使用戶感覺網(wǎng)速變慢，而當病毒停止時，用戶將恢復到原有路由器上網(wǎng)，但切換過程用戶會再次斷線。這種ARP欺騙類病毒在入侵后不僅影響他人上網(wǎng)，還會對病毒主機與子網(wǎng)機器的安全造成影響，很可能竊取用戶賬戶信息，同時這種病毒發(fā)送ARP報文十分隱秘，在占用系統(tǒng)資源較少時，很難被用戶察覺。

三、解決ARP協(xié)議攻擊的兩個措施和攻擊類型的對應關系

1.解決ARP欺騙攻擊的措施

加強保護接入層網(wǎng)絡設備ARP表項，是防御ARP欺騙類病毒攻擊的重要所在。具體原理是指將具有智能性質的ARP表項綁定機制啟動，同時在ARP報文的接收階段，實現(xiàn)對ARP綁定表的動態(tài)檢測，從而對其合法性進行有效判斷[4]?？梢酝ㄟ^以下網(wǎng)絡設備的設置進行詳細了解；在局域網(wǎng)接入交換機中，將DHCP嗅探開啟之后，立刻對MAC、IP進行校驗，以此實現(xiàn)對ARP欺騙、以及DHCP欺騙等攻擊行為的有效控制。

具體配置步驟如下所示：（1）全局模式下：ip dhcp snooping //開啟DHCP嗅探；（2）普通接入端口下：ip verify source port-security //開啟端口安全功能；（3）普通接入端口下：arp-check //進行IP-MAC的對應校驗，將dhcp snooping獲取的關系作為相關參考，避免arp地址欺騙行為的出現(xiàn)；（4）上聯(lián)端口下：ip dhcp snooping trust //開啟snooping信任端口，dhcp offer的報文只有借助上聯(lián)端口實現(xiàn)通過，進而防止出現(xiàn)私設DHCP服務器的情況。

2.解決MAC地址攻擊的措施

通過控制網(wǎng)絡設備ARP報文處理閾值，能夠有效解決ARP的掃描攻擊行為。通常情況下，對于ARP報文的控制，可以由以下兩種方式實現(xiàn)，分別為基于IP的ARP掃描以及基于端口的ARP掃描?；贗P的ARP掃描是指，在一段時間中，對網(wǎng)段中某IP收到ARP報文的數(shù)量進行計算，如果計算結果高于提前設置的閾值，那么可以將此IP定義為問題主機IP，對源自此IP的所有流量進行禁止，但是與此IP相連的端口不進行關閉操作?；诙丝诘腁RP掃描是指，在一段時間內，對某端口所接收到的ARP報文數(shù)量進行計算，如果計算數(shù)量高于提前設置的閾值，那么可以將此端口定義為問題主機所在的端口，同時關閉此關口[5]。上述兩種MAC地址的功能，能夠同時開啟。如果IP或者端口禁止，利用自動恢復功能，能夠實現(xiàn)其狀態(tài)的自動恢復?？梢詮囊韵戮W(wǎng)絡設備的配置詳細了解：（1）全局模式下：anti-arpscan enable //開啟arp掃描功能；（2）全局模式下：anti-arpscan port-based threshold 62//基于端口的ARP掃描，可以將掃描速率閾值設定為62個/s；（3）全局模式下：anti-arpscan ip-based threshold 18 //基于IP地址的ARP掃描，可以將掃描速率閾值設置為18個/s；（4）全局模型下：anti-arpscan recocery time 280 //可以將掃描恢復時間設置為280s；（5）上聯(lián)端口下：anti-arpscan trust supertrust-port // 可以將ARP掃描的信任端口設置為交換機的上聯(lián)端口。

綜上所述，利用相關技術措施，能夠將基于ARP協(xié)議的攻擊行為有效控制，同時能夠促使ARP協(xié)議在網(wǎng)絡中順利工作。

總結：通過以上論述可以了解到，由于ARP的不堅定性質，導致其容易被網(wǎng)絡中不法分子所攻擊，并且成為被利用的對象。特別是最近幾年，ARP欺騙方式更加猖狂，嚴重影響到個人和企業(yè)的計算機系統(tǒng)安全，為用戶帶來較大損失。因此，網(wǎng)絡用戶必須對此給予足夠重視，只有全面了解ARP欺騙類病毒，才能制定出相應的應對措施和解決措施，以此保護信息數(shù)據(jù)的安全。

參考文獻

[1]張睿.ARP欺騙防御在政企客戶網(wǎng)絡中的應用[J].科技與企業(yè)，2014（24）：146-147.

[2]朱秀娟，葉娜，羅淯新.局域網(wǎng)ARP欺騙的工作原理與防范策略[J].電子技術與軟件工程，2014（23）：21-21.

[3]趙飛.基于ARP欺騙的局域網(wǎng)防御界面研究[J].綏化學院學報，2014，34（6）：150-153.

[4]池新杰.淺析ARP攻擊防御策略[J].電腦與電信，2015（Z1）：58-59.

[5]王曉妮.基于WinPcap的校園網(wǎng)ARP攻擊檢測防御系統(tǒng)研究與設計[J].辦公自動化：綜合版，2014（11）：46-47.

作者簡介：李春，（1968.10-），男，河北秦皇島人，本科，內蒙古軍區(qū)，工程師。

郭景宏，（1960.7-），男，河北保定人，本科，內蒙古軍區(qū)，高級工程師。研究方向：無線通信發(fā)展，網(wǎng)絡病毒防御。