王松濱
摘 要
伴隨著網(wǎng)絡(luò)規(guī)模的快速擴大,網(wǎng)絡(luò)應(yīng)用越來越豐富。網(wǎng)絡(luò)安全也成為了影響網(wǎng)絡(luò)效能的重要因素。本文針對ARP攻擊進行了詳細分析,并就防范ARP攻擊進行了一定程度的探討。
【關(guān)鍵詞】ARP 網(wǎng)絡(luò)安全 黑客 防火墻
網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,既給我們提供了方便也帶來了安全威脅。局域網(wǎng)(LAN)是指在一定區(qū)域內(nèi)由多臺計算機組成的網(wǎng)絡(luò)互聯(lián)工作組。在局域網(wǎng)內(nèi),交換機和服務(wù)器把所有的計算機連接起來,局域網(wǎng)互聯(lián)優(yōu)點是快速、便捷,缺點是技術(shù)單調(diào)、安全策略少,對病毒傳播沒有有效的防治方法,缺少應(yīng)對數(shù)據(jù)信息的破壞的安全策略。
1 ARP協(xié)議
1.1 ARP協(xié)議概述
ARP協(xié)議是Address Resolution Protocol地址解析協(xié)議的縮寫,數(shù)據(jù)在局域網(wǎng)中以幀的方式進行傳輸,根據(jù)幀中目標主機的MAC地址來進行尋址。
1.2 ARP協(xié)議的工作原理
1.2.1 將本地網(wǎng)絡(luò)的主機IP地址解析為MAC地址
ARP解析過程分4步:
(1)初始化ARP請求。通過在ARP緩存中查找,源主機獲取目標主機的MAC地址。
(2)若找不到映射,ARP就建立一個請求,請求中包含源主機IP地址和MAC地址,此請求在本網(wǎng)段進行廣播,所有本地主機均能接收到并進行處理。
(3)本網(wǎng)段主機都收到廣播并尋找相符的IP地址。
(4)當目標主機確定自己的IP地址與請求中的IP地址一致時,發(fā)送ARP應(yīng)答包(其中包含自己的MAC地址)給源主機。同時以源主機的IP地址和MAC地址更新自己的ARP緩存表。源主機收到應(yīng)答后也會將目標主機的IP與MAC地址寫入自己的緩存表,相互建立通訊關(guān)系。
1.2.2 將遠程網(wǎng)絡(luò)的主機IP地址解析為MAC地址
當主機處于不同網(wǎng)絡(luò)中,相互通訊時,因目標主機是一個遠程IP地址,ARP將廣播一個路由器(源主機的缺省網(wǎng)關(guān))的地址。ARP解析過程分3步:
(1)通信請求初始化,確定目標主機為遠程IP地址。源主機查找本地路由表,如果沒有找到,源主機就把它當作缺省網(wǎng)關(guān)處理。在ARP緩存中查找符合該網(wǎng)關(guān)記錄的IP的MAC地址。
(2)若此網(wǎng)關(guān)的記錄不存在,ARP將廣播一個請求,此請求包含網(wǎng)關(guān)地址而非目標主機的地址。
(3)如果網(wǎng)關(guān)的MAC地址不在ARP緩存表中,可進行廣播獲取。當它獲得MAC地址,ICMP響應(yīng)就發(fā)送到路由器上,傳給源主機。
2 ARP攻擊的威脅
2.1 ARP的攻擊原理
ARP攻擊是通過偽造IP地址和物理地址實現(xiàn)ARP欺騙的,在網(wǎng)絡(luò)中產(chǎn)生大量的ARP數(shù)據(jù)包使網(wǎng)絡(luò)阻塞,攻擊者持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包,更改目標主機ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。
感染了ARP木馬的計算機,會通過“ARP欺騙”等手段獲取其所處網(wǎng)絡(luò)內(nèi)另外計算機的通信信息,還會引起網(wǎng)內(nèi)其它計算機的通信故障。
2.2 ARP攻擊局域網(wǎng)
互聯(lián)網(wǎng)在誕生之初主要供科研、學(xué)術(shù)交流之用,使用地點多是大學(xué)內(nèi)部,采用信任模式,功能強大、速度快捷是其追求目標,安全沒有成為考慮的重點。當時方便查詢的以太網(wǎng)泛洪,使得不懷好意者有了可乘之機,局域網(wǎng)內(nèi)的ARP Request使其輕易獲取到網(wǎng)內(nèi)所有 (IP,MAC)地址。而節(jié)點對于收到的ARP Reply也不會質(zhì)疑,冒充變得輕而易舉。
ARP欺騙的主要表現(xiàn)是:上網(wǎng)時會突然掉線,不久又恢復(fù)正常。異?,F(xiàn)象諸如瀏覽器報錯、頻頻掉線、客戶端狀態(tài)出問題等。
通常情況下,計算機受到ARP攻擊可能出現(xiàn)兩種情形:
(1)出現(xiàn)網(wǎng)絡(luò)地址沖突對話框,并不斷重復(fù)。
(2)計算機掉線,無法上網(wǎng)。
對于這種ARP攻擊,防火墻通常不會攔截。因為報文本身并沒有違反協(xié)議規(guī)定,只不過是利用了協(xié)議的弱點,所以一般的防火墻難以抵擋此類攻擊。
2.3 ARP攻擊解決方案
(1)刪除插入ARP或者IP route表(路由表)中錯誤記錄的方法。
a. 使用命令進行攻擊,促使網(wǎng)絡(luò)中斷
b. 自動過期,由系統(tǒng)刪除
(2)可以采用建立靜態(tài)ARP表的方法,但是對于動態(tài)ARP協(xié)議有所影響。
(3)使用ipconfig interface–arp命令,此方法使得發(fā)送和接受ARP數(shù)據(jù)包都不能進行。但是如果計算機地址不在靜態(tài)的緩存表中,通信將無法進行。
3 ARP防火墻
3.1 ARP防火墻的概念
ARP防火墻的重要功能是主動告知網(wǎng)關(guān)本機正確的物理地址并且攔截虛假ARP數(shù)據(jù)包。其功能包括:阻斷IP沖突、ARP攻擊、Dos攻擊,并且能夠進行ARP數(shù)據(jù)分析。
首先,ARP防火墻通過攔截虛假ARP數(shù)據(jù)包的方式,使得本主機獲取正確的網(wǎng)關(guān)MAC地址。其次,ARP防火墻采取主動防御,與網(wǎng)關(guān)保持聯(lián)系,使網(wǎng)關(guān)得到的本機正確的物理地址。
3.2 ARP的防火墻的的主要作用
(1)首先,ARP防火墻能夠?qū)ν獠刻摷貯RP數(shù)據(jù)包進行截獲,使系統(tǒng)避免受到ARP欺騙、ARP攻擊,保證內(nèi)網(wǎng)安全;其次,如果本機感染了惡意程序,防火墻可以截獲對外發(fā)出的ARP攻擊數(shù)據(jù)包,減輕給其它用戶帶來的危害;
(2)攔截IP沖突。對于IP沖突包進行有效攔截,保障系統(tǒng)正常運行;
(3)Dos攻擊抑制。對于本機的對外攻擊進行有效攔截,阻止TCP SYN/UDP/ICMP/ARP DoS等攻擊數(shù)據(jù)包,保障網(wǎng)絡(luò)的通暢;
(4)安全模式。只響應(yīng)網(wǎng)關(guān)發(fā)送的ARP Request數(shù)據(jù)包,隱藏自己,盡量避免受到ARP攻擊;
(5)ARP數(shù)據(jù)分析。對接收到的所有ARP數(shù)據(jù)包進行有效分析,挖出可能存在的攻擊者或中毒的設(shè)備;
(6)監(jiān)測ARP緩存。對本電腦的緩存表進行監(jiān)視,當網(wǎng)關(guān)的物理地址被惡意程序修改時可發(fā)出警報并進行修復(fù);
(7)主動防御。告知網(wǎng)關(guān)本機的MAC地址,與網(wǎng)關(guān)時刻保持通訊;
(8)追蹤攻擊者。
(9)查殺ARP病毒。
ARP防火墻可以在一定程度上解決局域網(wǎng)內(nèi)的ARP攻擊和欺騙問題。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,也許還會出現(xiàn)其它的安全問題,但也一定會有更多針對它的解決辦法。
參考文獻
[1]單國杰.基于ARP欺騙攻擊的防御策略研究[D].濟南:山東師范大學(xué),2011.
[2]史雋彬,秦科.ARP攻擊現(xiàn)狀分析及一種應(yīng)對ARP攻擊的方法[J].陜西理工學(xué)院學(xué)報(自然科學(xué)版),2013(02):45-49.
作者單位
湖南司法警官職業(yè)學(xué)院管理系 湖南省長沙市 410008