石春宏

摘要：該文介紹了地址解析協(xié)議（Address Resolution Protocol， ARP）基本原理，采用cain對網(wǎng)絡(luò)中的計算機(jī)進(jìn)行arp欺騙，通過對arp欺騙的實驗的分析，了解協(xié)議存在的漏洞以及協(xié)議漏洞可能引起的緩存篡改行為，并給出了防止ARP緩存篡改的方法。

關(guān)鍵詞：ARP；攻擊；防御

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）30-0026-02

1 arp協(xié)議概述

ARP（Address Resolution Protocol），即地址解析協(xié)議，是根據(jù)IP地址解析物理地址的一個TCP/IP協(xié)議。主機(jī)將包含目標(biāo)IP地址信息的ARP請求廣播到網(wǎng)絡(luò)中的所有主機(jī)，并接收返回消息，以此確定目標(biāo)ip地址的物理地址；收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時間，以便下次請求時直接查詢ARP緩存以節(jié)約資源。

2 arp攻擊測試

本實驗使用兩臺虛擬電腦VPC1、VPC2，使用VPC1欺騙VPC2，使用cain工具偽造虛假ip地址。cain功能很多，本實驗僅對本實驗中所用到的功能進(jìn)行講解，其余功能可以自學(xué)了解、嘗試。

第一步：在VPC2上，點擊“開始-運行”，輸入cmd，在打開的Dos界面中輸入ipconfig和arp –a命令，獲取VPC2的ip地址和當(dāng)前局域網(wǎng)網(wǎng)關(guān)的MAC地址碼并記錄，用于后續(xù)實驗使用，如圖1所示（其中192.168.1.1為網(wǎng)關(guān)IP地址）：

第二步：在VPC1計算機(jī)上，解壓并按照默認(rèn)選項安裝好cain軟件。

第三步：運行Cain軟件，如果彈出Windows防火墻是開啟狀態(tài)，本實驗不受防火墻影響，點擊“確定”按鍵即可。

第四步：在Cain運行界面上，點擊 “Configure”或點擊快速鍵按鈕，在“sniffer”選項卡下，選擇本機(jī)的網(wǎng)卡進(jìn)行綁定，點擊確定。

第五步：在configuration中的ARP標(biāo)簽中，可以設(shè)置是用本機(jī)真實IP和MAC地址參與還是使用偽裝IP和MAC地址。若選用使用偽裝IP和MAC地址，可以在此處填寫上設(shè)定的IP地址及MAC地址，這樣，在之后的欺騙中即或發(fā)現(xiàn)了可疑也難以追述到真實主機(jī)。本次實驗暫且使用本機(jī)真實地址。

第六步：設(shè)置好相應(yīng)參數(shù)后，點擊“確定”，返回到Cain主界面，按下下圖左側(cè)紅框內(nèi)的“start/stop sniffer”快捷按鈕，再點擊右側(cè)紅框中的“Add to list”按鈕，可以對主機(jī)所在的整個網(wǎng)絡(luò)或指定網(wǎng)絡(luò)進(jìn)行嗅探。本實驗選擇對整個局域網(wǎng)進(jìn)行嗅探，選擇“All hosts in my subnet”，點擊“OK”。主界面將出現(xiàn)在指定區(qū)域內(nèi)掃描到得主機(jī)IP、MAC地址等信息。

第七步：.選擇Cain主界面下端的APR標(biāo)簽，點擊下圖上方紅框內(nèi)“Add to list”快捷按鍵，在選項框中選擇進(jìn)行ARP欺騙的地址。左邊選擇被欺騙的主機(jī)，再在右邊選擇合適的主機(jī)（或網(wǎng)關(guān)）。ARP能夠在左邊列表中被選的主機(jī)和所有在右邊選中的主機(jī)之間雙向劫持IP包。在該實驗中首先在左側(cè)列表中選擇VPC2的ip地址，然后右側(cè)列表即會出現(xiàn)其他IP地址，若在右側(cè)選擇網(wǎng)關(guān)192.168.1.1，這樣就可以截獲所有從VPC2發(fā)出到廣域網(wǎng)的數(shù)據(jù)包信息。點擊“OK”。

第八步：在Cain界面上可以看到形成的欺騙列表（同圖4），此時在狀態(tài)一欄中顯示“idle”，開始欺騙點擊工具欄上的“Start/Stop ARP”快捷按鈕，狀態(tài)將變?yōu)椤皃oisoning”，開始捕獲。此時，在VPC2機(jī)器上進(jìn)行上網(wǎng)操作，在VPC1的Cain界面上會看到顯示捕獲數(shù)。

第九步：檢查是否欺騙成功。在VPC2的Dos界面窗口中再次輸入arp –a命令，查看192.168.1.1的MAC地址碼，此時可以看到對應(yīng)的MAC地址碼已經(jīng)被替換為VPC1網(wǎng)卡的MAC地址碼，ARP欺騙成功。

3 防御措施

1）不要把網(wǎng)絡(luò)信任關(guān)系單純地建立在IP基礎(chǔ)上或MAC基礎(chǔ)上（RARP同樣存在欺騙的問題），應(yīng)在網(wǎng)絡(luò)中架設(shè)DHCP服務(wù)器，綁定網(wǎng)關(guān)與客戶端IP+MAC，該做法需要注意的是要保證網(wǎng)絡(luò)中的dhcp服務(wù)器相互之間不沖突。

2）添加靜態(tài)的ARP映射表，不讓主機(jī)刷新設(shè)定好的映射表，該做法適用于網(wǎng)絡(luò)中主機(jī)位置穩(wěn)定，不適用在主機(jī)更換頻繁的局域網(wǎng)中。

3）停止使用ARP，將ARP作為永久條目保存在映射表中。

4）架設(shè)ARP服務(wù)器。通過該服務(wù)器查找自己的ARP映射表來響應(yīng)其他機(jī)器的ARP廣播。

5）IP的傳輸使用“proxy”代理。

6）使用防火墻等連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。

參考文獻(xiàn)：

[1] 周智謙. ARP協(xié)議概述及局域網(wǎng)內(nèi)預(yù)防和處理ARP攻擊的方案[J].時代報告：學(xué)術(shù)版， 2011（11X）：243-244.

[2] 陳文博.ARP協(xié)議概述及ARP攻擊原理[J].時代報告月刊， 2011（11）：255-255.

[3] 姜曉峰.ARP協(xié)議簡析與ARP欺騙攻擊防范[J].電腦知識與技術(shù)， 2008，4（33）：1349-1350.