徐標(biāo) 淮安清江石油化工有限責(zé)任公司

ARP病毒自問世以來，已成為局域網(wǎng)安全的主要威脅,通過ARP攻擊盜取或篡改信息，導(dǎo)致網(wǎng)絡(luò)異常現(xiàn)象頻發(fā)。隨著網(wǎng)絡(luò)應(yīng)用范圍不斷擴大，ARP攻擊危害快速升級，所以理解ARP協(xié)議，分析ARP協(xié)議漏洞、了解ARP攻擊方式并提出檢測和防范措施具有實踐指導(dǎo)作用。

1 ARP協(xié)議

1.1 ARP定義

ARP協(xié)議工作在OSI模型的數(shù)據(jù)鏈路層，在局域網(wǎng)中每個主機都有IP地址，數(shù)據(jù)在網(wǎng)絡(luò)中是通過“幀”傳輸?shù)模皫北仨毞庋b源、目的主機的MAC地址，即局域網(wǎng)中通信需要通過MAC地址來實現(xiàn)，因此一個主機要和另一個主機直接通信，必須借助ARP協(xié)議將數(shù)據(jù)幀中的目的IP地址解析為目的MAC地址。ARP協(xié)議的基本功能就是通過目的主機IP地址，查詢其MAC地址，從而保證通信順利進(jìn)行。

1.2 ARP工作原理

安裝TCP/IP協(xié)議的計算機都有一個ARP緩存表，表中IP地址與MAC地址一一對應(yīng)，以主機A（192.168.1.1）向主機B（192.168.1.2）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機A會查找本地的ARP緩存表，如果匹配主機B的IP地址，也就得到了目的MAC地址，將目的MAC地址直接寫入數(shù)據(jù)幀發(fā)送即可；如果在ARP緩存表中沒有找到相對應(yīng)的目的IP地址，主機A就在網(wǎng)絡(luò)上發(fā)送一個目的MAC地址是“FF-FF-FF-FF-FF-FF”廣播，向同一網(wǎng)段內(nèi)的所有主機發(fā)出詢問：“192.168.1.2的MAC地址是什么？”網(wǎng)絡(luò)上其它主機并不響應(yīng)這個ARP詢問，只有IP地址是192.168.1.2的主機B接收到這個數(shù)據(jù)幀時，才向主機A做出回應(yīng)：“192.168.1.2的MAC地址是C8-9C-DC-F0-04-BA”，至此，主機A在ARP緩存表增加了主機B的IP地址與MAC映射關(guān)系，向主機B發(fā)送信息時就直接通過本地ARP緩存表查找目的MAC地址。

2 ARP漏洞及攻擊方式

2.1 ARP漏洞

ARP是一個高效的數(shù)據(jù)鏈路層傳輸協(xié)議，設(shè)計初衷是方便網(wǎng)絡(luò)數(shù)據(jù)傳輸，工作環(huán)境是絕對安全和信任的網(wǎng)絡(luò)，因此在設(shè)計時并沒有考慮網(wǎng)絡(luò)安全因素，導(dǎo)致ARP本身存在諸多固有的缺陷，主要有如下三個方面：

（1）動態(tài)性,基于高速緩存的ARP地址映射表根據(jù)接收到的ARP報文在一段時間內(nèi)動態(tài)更新；

（2）無認(rèn)證性，只要主機接收到的ARP報文是有效的，該主機就會無條件地刷新ARP地址映射表，無需認(rèn)證；

（3）無連接性，任一主機可以隨時接受ARP報文，更新ARP地址映射表，即使該主機沒有發(fā)出ARP請求。

2.2 ARP攻擊方式

ARP攻擊在局域網(wǎng)中經(jīng)常出現(xiàn)，通過偽造IP-MAC地址映射關(guān)系實施ARP攻擊，輕則導(dǎo)致網(wǎng)內(nèi)主機通信異常，重則導(dǎo)致網(wǎng)絡(luò)癱瘓，達(dá)到攻擊者竊取信息、阻礙網(wǎng)絡(luò)正常運行的目的。以下是幾種常見的ARP攻擊方式：

2.2.1 ARP洪泛攻擊

網(wǎng)絡(luò)中含病毒的PC發(fā)送大量ARP報文，這些ARP報文無論內(nèi)容或者對網(wǎng)絡(luò)中其它主機ARP表項影響都是合規(guī)的，但是這些報文發(fā)送速率非?？欤灾帘还魧ο鬀]有足夠的資源（如CPU）來響應(yīng)網(wǎng)絡(luò)內(nèi)其它主機的ARP請求，并且消耗網(wǎng)絡(luò)資源，影響網(wǎng)絡(luò)正常運行。

2.2.2 冒充網(wǎng)關(guān)攻擊

攻擊者偽造ARP報文，報文中源IP地址是網(wǎng)關(guān)IP地址，但源MAC地址則是偽造的，被攻擊主機接收報文后更新ARP地址映射表，獲得錯誤的網(wǎng)關(guān)IP-MAC地址映射關(guān)系，造成被攻擊主機的所有數(shù)據(jù)都流向偽造的網(wǎng)關(guān)，使其不能正常上網(wǎng)。冒充網(wǎng)關(guān)攻擊通常表現(xiàn)為網(wǎng)絡(luò)內(nèi)一臺或多臺主機斷網(wǎng)，重啟后恢復(fù)正常，但是一段時間后問題依舊。

2.2.3 欺騙網(wǎng)關(guān)攻擊

攻擊者偽造ARP響應(yīng)報文發(fā)送給網(wǎng)關(guān)，該報文中源IP地址是合法的，但是源MAC地址則是偽造的，網(wǎng)關(guān)根據(jù)接收的偽ARP報文刷新ARP地址映射表，獲得錯誤的網(wǎng)內(nèi)主機IP-MAC地址映射關(guān)系，使網(wǎng)關(guān)發(fā)送到該主機的所有數(shù)據(jù)都流向偽造的主機，導(dǎo)致該被攻擊主機無法上網(wǎng)。

2.2.4 克隆攻擊

攻擊者將目的主機ARP地址映射表中所有MAC篡改，使其與外界斷絕聯(lián)系，然后攻擊者使用目的主機的IP地址、MAC地址，從而成為目的主機副本；當(dāng)克隆攻擊的對象是服務(wù)器時，可以在終端用戶不察覺的情況下獲取攻擊者所需信息。

3 ARP攻擊檢測

ARP攻擊易造成信息竊取及篡改、網(wǎng)絡(luò)運行異常、非法控制等，具體表現(xiàn)為斷線、IP沖突、隱私信息泄露、網(wǎng)絡(luò)速度受第三方控制等危害，根本原因是ARP病毒可以對網(wǎng)絡(luò)通信參數(shù)進(jìn)行強行修改。越早判斷出ARP攻擊對于網(wǎng)絡(luò)安全越有益，為此給出以下幾種檢測方法：

3.1 工具檢測

Sniffer等工具軟件對網(wǎng)絡(luò)通信數(shù)據(jù)抓包檢測，查找發(fā)布大量廣播類報文的源主機及其他無請求響應(yīng)類ARP報文的發(fā)送源，或?qū)z測的報文與本網(wǎng)段MAC地址庫匹配，查看是否存在等方式來判斷網(wǎng)絡(luò)是否遭受ARP攻擊。

3.2 手動檢測

通過系統(tǒng)自身命令來分析定位ARP攻擊源主機。首先Ping網(wǎng)關(guān)IP地址，完成后，再用命令“arp -a”查看本機及網(wǎng)關(guān)IP地址所對應(yīng)的MAC地址，若此時有相對應(yīng)重復(fù)的,那么有可能遭受了ARP攻擊。

4 ARP攻擊防范

ARP攻擊本質(zhì)是利用ARP漏洞進(jìn)行攻擊，即利用主機對ARP報文的無條件信任，強行修改主機ARP緩存表，實現(xiàn)各種攻擊目的,因此防范ARP攻擊就要確保緩存表中IP-MAC地址映射關(guān)系正確，盡最大可能避免非法篡改緩存表。這里簡述一些攻擊防范措施：

4.1 靜態(tài)綁定IP-MAC地址

由于ARP緩存表對ARP報文是無條件信任而實時更新的，且ARP緩存表中的類型默認(rèn)是“動態(tài)”的，所以在網(wǎng)關(guān)和每個主機上同時做IP-MAC地址雙向靜態(tài)綁定，使ARP緩存表不能動態(tài)更新，可以有效避免ARP攻擊。

4.2 綁定IP-MAC地址、交換機端口

在網(wǎng)絡(luò)中使交換機端口與主機一一對應(yīng)，強制將主機IP地址、MAC地址與交換機端口實施靜態(tài)綁定；在攻擊者發(fā)送偽造的ARP報文時交換機主動檢測出IP地址、MAC地址不一致，從而阻斷偽造報文，避免網(wǎng)絡(luò)被攻擊。

4.3 劃分VLAN

由于ARP請求是廣播報文，其只能在主機所在的廣播域內(nèi)傳播，ARP攻擊不能夠跨網(wǎng)段，因此在網(wǎng)絡(luò)組建時，通過VLAN技術(shù)劃分廣播域，限制ARP攻擊的影響范圍，避免整個網(wǎng)絡(luò)運行異常, 也方便定位出現(xiàn)攻擊時的網(wǎng)段和主機。

4.4 使用安全軟件

目前關(guān)于ARP的安全軟件較多。比如360等，這些軟件不僅能檢測出ARP攻擊，還以一定的頻率向網(wǎng)絡(luò)廣播正確的ARP信息；它們采用系統(tǒng)內(nèi)核層攔截技術(shù)和主動防御技術(shù)，可解決大部分欺騙、ARP攻擊帶來的問題，有效防范來自主機內(nèi)外的ARP攻擊。

5 結(jié)論

通過分析ARP協(xié)議的工作原理，理解它在數(shù)據(jù)傳輸過程中的作用，掌握ARP攻擊方式及檢測、防范措施，使網(wǎng)絡(luò)管理人員和計算機使用者能夠有效地避免和防范ARP攻擊?？傊?，面對不斷滋生的木馬病毒，不僅需要計算機使用者做好防范工作，還需要網(wǎng)絡(luò)管理人員盡職盡責(zé)，不斷學(xué)習(xí)防范各類攻擊的技術(shù)，防患于未然，全員防御，協(xié)力保障網(wǎng)絡(luò)正常運行。