秦小平　張向磊

【摘 要】當(dāng)網(wǎng)絡(luò)給人們帶來(lái)巨大便利的同時(shí)，也存在著越來(lái)越多的安全隱患問(wèn)題。本文從介紹ARP的數(shù)據(jù)包結(jié)構(gòu)，ARP的工作原理，ARP的攻擊原理以及它的幾種攻擊類型，從而做出ARP的防護(hù)措施，從個(gè)人PC的病毒清理到整個(gè)網(wǎng)絡(luò)的安全策略設(shè)計(jì)，以及平常運(yùn)行過(guò)程中的網(wǎng)絡(luò)維護(hù)。

【關(guān)鍵詞】ARP；ARP攻擊；防護(hù)

中圖分類號(hào)： TP393.08 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2018）25-0290-003

DOI：10.19694/j.cnki.issn2095-2457.2018.25.133

【Abstract】While the Internet brings great convenience to people， there are more and more safety problems.This paper introduces the packet structure of ARP，the working principle of ARP，the attack principle of ARP and several attack types of ARP，so as to make ARP protection measures，involving virus cleanup of PC to security policy design of entire network，and network maintenance during normal operation.

【Key words】ARP；ARP Attack；Protection

ARP協(xié)議是常用的TCP/IP底層協(xié)議。在以太網(wǎng)中進(jìn)行IP通信的時(shí)候需要一個(gè)協(xié)議來(lái)建立IP地址與MAC地址的對(duì)應(yīng)關(guān)系，以使IP數(shù)據(jù)包能發(fā)到一個(gè)確定的地方去。這就是ARP（Address Resolution Protocol，地址解析協(xié)議）。在所有的網(wǎng)絡(luò)安全威脅中，對(duì)局域網(wǎng)最常見(jiàn)的攻擊手段就是ARP攻擊。攻擊者往往利用ARP協(xié)議本身存在的缺陷，用一些專門的工具進(jìn)行網(wǎng)絡(luò)的攻擊。這種攻擊會(huì)造成局域網(wǎng)中用戶信息數(shù)據(jù)的丟失，應(yīng)該采取相應(yīng)的安全措施來(lái)解決這些問(wèn)題。

1 ARP攻擊的原理及常見(jiàn)類型

ARP攻擊主要是通過(guò)偽造IP地址和MAC地址進(jìn)行欺騙，使以太網(wǎng)數(shù)據(jù)包的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配，從而在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量導(dǎo)致網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要存在于局域網(wǎng)中，若其中一臺(tái)計(jì)算機(jī)感染ARP病毒，就會(huì)試圖通過(guò)ARP欺騙截獲局域網(wǎng)內(nèi)其他計(jì)算機(jī)的信息，造成局域網(wǎng)內(nèi)的計(jì)算機(jī)通信故障。

現(xiàn)在局域網(wǎng)中比較常見(jiàn)的ARP攻擊包括：上網(wǎng)時(shí)斷時(shí)續(xù)，拷貝文件無(wú)法完成，局域網(wǎng)內(nèi)的ARP包激增，出現(xiàn)不正常的MAC地址，MAC地址對(duì)應(yīng)多個(gè)IP地址，網(wǎng)絡(luò)數(shù)據(jù)發(fā)不出去了，網(wǎng)上發(fā)送信息被竊取，個(gè)人PC中毒，局域網(wǎng)內(nèi)MAC地址泛洪使MAC地址緩存表溢出等問(wèn)題。

2 局域網(wǎng)中ARP的攻擊類型

2.1 ARP泛洪攻擊

通過(guò)向網(wǎng)關(guān)發(fā)送大量ARP報(bào)文，導(dǎo)致網(wǎng)關(guān)無(wú)法正常響應(yīng)。如圖2-1所示：主機(jī)（IP192.168.20.1）首先發(fā)送大量的ARP請(qǐng)求報(bào)文，然后又發(fā)送大量虛假的ARP響應(yīng)報(bào)文，從而造成網(wǎng)關(guān)部分的CPU利用率上升難以響應(yīng)正常服務(wù)請(qǐng)求，而且網(wǎng)關(guān)還會(huì)被錯(cuò)誤的ARP表充滿導(dǎo)致無(wú)法更新維護(hù)正常ARP表，消耗網(wǎng)絡(luò)帶寬資源。

圖2-1 ARP泛洪攻擊

2.2 ARP欺騙主機(jī)的攻擊

ARP欺騙主機(jī)的攻擊也是ARP眾多攻擊類型中很常見(jiàn)的一種。攻擊者通過(guò)ARP欺騙使得局域網(wǎng)內(nèi)被攻擊主機(jī)發(fā)送給網(wǎng)關(guān)的流量信息實(shí)際上都發(fā)送給攻擊者。主機(jī)刷新自己的ARP使得在自己的ARP緩存表中對(duì)應(yīng)的MAC為攻擊者的MAC，這樣一來(lái)其他用戶要通過(guò)網(wǎng)關(guān)發(fā)送出去的數(shù)據(jù)流就會(huì)發(fā)往主機(jī)這里，這樣就會(huì)造成用戶的數(shù)據(jù)外泄。

2.3 欺騙網(wǎng)關(guān)的攻擊

欺騙網(wǎng)關(guān)就是把別的主機(jī)發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)通過(guò)欺騙網(wǎng)關(guān)的形式使得這些數(shù)據(jù)通過(guò)網(wǎng)關(guān)發(fā)送給攻擊者。這種攻擊目標(biāo)選擇的不是個(gè)人主機(jī)而是局域網(wǎng)的網(wǎng)關(guān)，這樣就會(huì)攻擊者源源不斷的獲取局域網(wǎng)內(nèi)其他用戶的數(shù)據(jù)，造成數(shù)據(jù)的泄露，同時(shí)用戶電腦中病毒的概率也會(huì)提升。

2.4 中間人攻擊

中間人攻擊是同時(shí)欺騙局域網(wǎng)內(nèi)的主機(jī)和網(wǎng)關(guān)，局域網(wǎng)中用戶的數(shù)據(jù)和網(wǎng)關(guān)的數(shù)據(jù)會(huì)發(fā)給同一個(gè)攻擊者，這樣，用戶與網(wǎng)關(guān)的數(shù)據(jù)就會(huì)泄露。如圖2-3所示：攻擊者通過(guò)發(fā)送ARP攻擊使得本來(lái)192.168.20.2要發(fā)送給網(wǎng)關(guān)192.168.20.3的數(shù)據(jù)發(fā)送給了MACA，然而在對(duì)于網(wǎng)關(guān)方面攻擊者通過(guò)發(fā)送回應(yīng)數(shù)據(jù)使得網(wǎng)關(guān)發(fā)給主機(jī)192.168.20.2的數(shù)據(jù)對(duì)應(yīng)的MAC為MACA，數(shù)據(jù)又會(huì)返回192.168.20.1的主機(jī)上面所以這樣192.168.20.2與網(wǎng)關(guān)192.168.20.3的通訊則都是通過(guò)192.168.20.1這樣則為發(fā)起中間人的攻擊。

圖2-2 ARP中間人攻擊

2.5 IP地址沖突攻擊

通過(guò)對(duì)局域網(wǎng)中的物理主機(jī)進(jìn)行掃描，掃描出局域網(wǎng)中的物理主機(jī)的MAC地址，然后根據(jù)物理主機(jī)的MAC進(jìn)行攻擊，導(dǎo)致局域網(wǎng)內(nèi)的主機(jī)產(chǎn)生IP地址沖突，影響用戶的網(wǎng)絡(luò)正常使用。

3 局域網(wǎng)中ARP的防護(hù)策略

3.1 用戶機(jī)綁定安全設(shè)置

要保證用戶機(jī)的安全，使主機(jī)IP與MAC綁定。常用方法是在運(yùn)行窗口中輸入CMD，在彈出窗口中輸入ipconfig /all，找到IPv4地址和物理地址，輸入arp -s IP地址，再輸入arp -s MAC地址，實(shí)現(xiàn)主機(jī)IP與物理地址的綁定。

3.2 用戶機(jī)病毒的清除

在局域網(wǎng)絡(luò)中ARP的攻擊很多是由于用戶機(jī)出現(xiàn)了病毒從而不斷的發(fā)出ARP的欺騙攻擊，導(dǎo)致整個(gè)局域網(wǎng)及所有用戶出現(xiàn)問(wèn)題。Autorun是網(wǎng)絡(luò)中常見(jiàn)的病毒，通常會(huì)通過(guò)U盤傳播，感染相應(yīng)的用戶機(jī)，可以使用固定程序來(lái)實(shí)現(xiàn)對(duì)這種病毒的清除。

3.3 主機(jī)日常清理策略

我們平時(shí)在使用計(jì)算機(jī)時(shí)，會(huì)產(chǎn)生很多的系統(tǒng)垃圾。這些垃圾不僅會(huì)影響電腦的運(yùn)行速度，還會(huì)造成很多的電腦漏洞，如果不注意清理，就會(huì)為ARP的攻擊與ARP病毒的入侵創(chuàng)造了條件，更容易使我們的電腦或局域網(wǎng)絡(luò)中的服務(wù)器受到攻擊，給用戶帶來(lái)很多的問(wèn)題。

3.4 端口綁定策略

通常情況下，ARP的攻擊往往是產(chǎn)生于局域網(wǎng)內(nèi)，所以要做ARP的防護(hù)首先要從接入層交換機(jī)來(lái)進(jìn)行。端口綁定技術(shù)就是通過(guò)IP+MAC+端口的策略來(lái)進(jìn)行端口安全的設(shè)定。局域網(wǎng)內(nèi)的ARP攻擊，通過(guò)綁定可以實(shí)現(xiàn)設(shè)備對(duì)轉(zhuǎn)發(fā)報(bào)文的過(guò)濾與控制，從而提高局域網(wǎng)絡(luò)的安全性。目前，各個(gè)廠商都有自己的端口綁定技術(shù)，比如CISCO推出的端口安全技術(shù)就是通過(guò)限制接入交換機(jī)綁定的MAC的數(shù)量，讓交換機(jī)自動(dòng)獲取或手動(dòng)配置這些地址，配置了該特性之后，接口會(huì)把自動(dòng)學(xué)習(xí)到的地址轉(zhuǎn)換為粘性安全地址。

3.5 端口隔離策略

采用端口隔離的技術(shù)也是對(duì)ARP攻擊進(jìn)行防護(hù)的一種有效方法。通過(guò)端口的隔離，一旦局域網(wǎng)內(nèi)的用戶感染病毒或受到ARP病毒攻擊，只會(huì)影響一個(gè)端口，并不會(huì)影響其他用戶。端口隔離的方法也有很多，不同的廠商才用的方法也不一樣。常見(jiàn)的是CISCO采用基于端口VLAN的劃分，通過(guò)將不同的端口加入不同的VLAN中，從而實(shí)現(xiàn)端口的隔離。另外，華三、華為的方法通過(guò)劃分端口的策略來(lái)進(jìn)行端口的隔離。

3.6 DAI防止ARP攻擊策略

DAI（動(dòng)態(tài)ARP檢測(cè)）是指從可信端口收到的ARP數(shù)據(jù)包，不用進(jìn)行任何檢查，直接進(jìn)行轉(zhuǎn)發(fā)；不可信端口上的所有ARP數(shù)據(jù)包在其更新本地ARP緩存之前，先根據(jù)IP與MAC地址綁定數(shù)據(jù)庫(kù)來(lái)檢測(cè)每個(gè)ARP數(shù)據(jù)包的合法性，丟棄并記錄與綁定數(shù)據(jù)庫(kù)信息不符的非法ARP數(shù)據(jù)包。也可以限制ARP數(shù)據(jù)包的發(fā)送速率，并且當(dāng)速率過(guò)高時(shí)，把接口轉(zhuǎn)變?yōu)閑rr-disable狀態(tài)。

以上是我們?cè)诰钟蚓W(wǎng)絡(luò)中常見(jiàn)的ARP攻擊類型，并針對(duì)這些類型的攻擊制定了安全策略。但在現(xiàn)實(shí)生活中，ARP的攻擊往往是錯(cuò)綜復(fù)雜的，我們介紹的這些安全策略并不能完全解決局域網(wǎng)內(nèi)所有的ARP攻擊，還需要根據(jù)實(shí)際情況去做具體的完善。

【參考文獻(xiàn)】

[1]項(xiàng)寧.管群ARP漏洞及其ARP攻擊防范[J].軟件導(dǎo)刊，2009（11）.

[2]高喜龍.網(wǎng)絡(luò)安全與局域網(wǎng)ARP地址欺騙攻擊[J].商情，2009（10）.

[3]孟曉明.基于ARP的網(wǎng)絡(luò)欺騙的檢測(cè)與防范[J].信息技術(shù)，2005（05）.