石春宏

摘要：該文介紹了地址解析協(xié)議（Address Resolution Protocol， ARP）基本原理，采用cain對網(wǎng)絡(luò)中的計算機進行arp欺騙，通過對arp欺騙的實驗的分析，了解協(xié)議存在的漏洞以及協(xié)議漏洞可能引起的緩存篡改行為，并給出了防止ARP緩存篡改的方法。

關(guān)鍵詞：ARP；攻擊；防御

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）30-0026-02

1 arp協(xié)議概述

ARP（Address Resolution Protocol），即地址解析協(xié)議，是根據(jù)IP地址解析物理地址的一個TCP/IP協(xié)議。主機將包含目標(biāo)IP地址信息的ARP請求廣播到網(wǎng)絡(luò)中的所有主機，并接收返回消息，以此確定目標(biāo)ip地址的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，以便下次請求時直接查詢ARP緩存以節(jié)約資源。

2 arp攻擊測試

本實驗使用兩臺虛擬電腦VPC1、VPC2，使用VPC1欺騙VPC2，使用cain工具偽造虛假ip地址。cain功能很多，本實驗僅對本實驗中所用到的功能進行講解，其余功能可以自學(xué)了解、嘗試。

第一步：在VPC2上，點擊“開始-運行”，輸入cmd，在打開的Dos界面中輸入ipconfig和arp –a命令，獲取VPC2的ip地址和當(dāng)前局域網(wǎng)網(wǎng)關(guān)的MAC地址碼并記錄，用于后續(xù)實驗使用，如圖1所示（其中192.168.1.1為網(wǎng)關(guān)IP地址）：

第二步：在VPC1計算機上，解壓并按照默認(rèn)選項安裝好cain軟件。

第三步：運行Cain軟件，如果彈出Windows防火墻是開啟狀態(tài)，本實驗不受防火墻影響，點擊“確定”按鍵即可。

第四步：在Cain運行界面上，點擊 “Configure”或點擊快速鍵按鈕，在“sniffer”選項卡下，選擇本機的網(wǎng)卡進行綁定，點擊確定。

第五步：在configuration中的ARP標(biāo)簽中，可以設(shè)置是用本機真實IP和MAC地址參與還是使用偽裝IP和MAC地址。若選用使用偽裝IP和MAC地址，可以在此處填寫上設(shè)定的IP地址及MAC地址，這樣，在之后的欺騙中即或發(fā)現(xiàn)了可疑也難以追述到真實主機。本次實驗暫且使用本機真實地址。

第六步：設(shè)置好相應(yīng)參數(shù)后，點擊“確定”，返回到Cain主界面，按下下圖左側(cè)紅框內(nèi)的“start/stop sniffer”快捷按鈕，再點擊右側(cè)紅框中的“Add to list”按鈕，可以對主機所在的整個網(wǎng)絡(luò)或指定網(wǎng)絡(luò)進行嗅探。本實驗選擇對整個局域網(wǎng)進行嗅探，選擇“All hosts in my subnet”，點擊“OK”。主界面將出現(xiàn)在指定區(qū)域內(nèi)掃描到得主機IP、MAC地址等信息。

第七步：.選擇Cain主界面下端的APR標(biāo)簽，點擊下圖上方紅框內(nèi)“Add to list”快捷按鍵，在選項框中選擇進行ARP欺騙的地址。左邊選擇被欺騙的主機，再在右邊選擇合適的主機（或網(wǎng)關(guān)）。ARP能夠在左邊列表中被選的主機和所有在右邊選中的主機之間雙向劫持IP包。在該實驗中首先在左側(cè)列表中選擇VPC2的ip地址，然后右側(cè)列表即會出現(xiàn)其他IP地址，若在右側(cè)選擇網(wǎng)關(guān)192.168.1.1，這樣就可以截獲所有從VPC2發(fā)出到廣域網(wǎng)的數(shù)據(jù)包信息。點擊“OK”。

第八步：在Cain界面上可以看到形成的欺騙列表（同圖4），此時在狀態(tài)一欄中顯示“idle”，開始欺騙點擊工具欄上的“Start/Stop ARP”快捷按鈕，狀態(tài)將變?yōu)椤皃oisoning”，開始捕獲。此時，在VPC2機器上進行上網(wǎng)操作，在VPC1的Cain界面上會看到顯示捕獲數(shù)。

第九步：檢查是否欺騙成功。在VPC2的Dos界面窗口中再次輸入arp –a命令，查看192.168.1.1的MAC地址碼，此時可以看到對應(yīng)的MAC地址碼已經(jīng)被替換為VPC1網(wǎng)卡的MAC地址碼，ARP欺騙成功。

3 防御措施

1）不要把網(wǎng)絡(luò)信任關(guān)系單純地建立在IP基礎(chǔ)上或MAC基礎(chǔ)上（RARP同樣存在欺騙的問題），應(yīng)在網(wǎng)絡(luò)中架設(shè)DHCP服務(wù)器，綁定網(wǎng)關(guān)與客戶端IP+MAC，該做法需要注意的是要保證網(wǎng)絡(luò)中的dhcp服務(wù)器相互之間不沖突。

2）添加靜態(tài)的ARP映射表，不讓主機刷新設(shè)定好的映射表，該做法適用于網(wǎng)絡(luò)中主機位置穩(wěn)定，不適用在主機更換頻繁的局域網(wǎng)中。

3）停止使用ARP，將ARP作為永久條目保存在映射表中。

4）架設(shè)ARP服務(wù)器。通過該服務(wù)器查找自己的ARP映射表來響應(yīng)其他機器的ARP廣播。

5）IP的傳輸使用“proxy”代理。

6）使用防火墻等連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。

參考文獻：

[1] 周智謙. ARP協(xié)議概述及局域網(wǎng)內(nèi)預(yù)防和處理ARP攻擊的方案[J].時代報告：學(xué)術(shù)版， 2011（11X）：243-244.

[2] 陳文博.ARP協(xié)議概述及ARP攻擊原理[J].時代報告月刊， 2011（11）：255-255.

[3] 姜曉峰.ARP協(xié)議簡析與ARP欺騙攻擊防范[J].電腦知識與技術(shù)， 2008，4（33）：1349-1350.