1、- 1 -浅谈局域网 ARP 的欺骗攻击及常见防范策略谢立(杭州拱墅职业高级中学,舟山东路 124 号,310015)摘要:本文介绍了 ARP 地址解析协议的含义和工作原理,分析了 ARP 协议所存在的安全漏洞,以网段内 ARP 欺骗为例说明 ARP 欺骗攻击的实现过程。并结合网络管理的实际工作,综合了几种常见的有效防范策略,其中重点介绍了 IP 地址和 MAC 地址绑定方法。关健词:ARP 协议 ARP 欺骗 MAC 地址 IP 地址 1 ARP 协议简介1.1 ARP 协议的概念ARP(Address Resolution Protocol)即地址解析协议,该协议将网络层的 IP 地址转换
2、为数据链路层地址。在 TCP/IP 协议中规定,每一个网络结点都是以 IP 地址标识的,这是一个逻辑地址,而在以太网中数据包是靠 48 位 MAC 地址(物理地址)传送的。ARP 协议所做的工作就是查询目的主机的 IP 地址所对应的 MAC 地址,并实现双方通信。比如 IP 地址为 192.168.0.1 计算机上网卡的 MAC 地址为 00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含 IP 地址信息的广播数据包,即 ARP 请求,然后目标主机向该主机发送一个含有 IP 地址和 MAC 地址数据包,通过协商这两个主机就可以实现数据传输了1.2 ARP 协议的工作原
3、理(以同一网段为例)源主机在传输数据前,首先要对初始数据进行封装,在该过程中会把目的主机的 IP 地址和 MAC 地址封装进去。在通信的最初阶段,我们能够知道目的主机的 IP 地址,而MAC 地址却是未知的。这时如果目的主机和源主机在同一个网段内,源主机会以第二层广播的方式发送 ARP 请求报文。 ARP 请求报文中含有源主机的 IP 地址和 MAC 地址,以及目的主机的 IP 地址。当该报文通过广播方式到达目的主机时,目的主机会响应该请求,并返回 ARP 响应报文,从而源主机可以获取目的主机的 MAC 地址,同样目的主机也能够获得源主机的 MAC 地址。见图 1。图 1 网段内 ARP 工作
4、原理在安装了以太网卡的计算机中有一个或多个 ARP 缓存表,用于保存 IP 地址以及经过解析的 MAC 地址,在 Windows 中要查看或者修改 ARP 缓存中的信息,可以使用 ARP 命令来完成。例如在 Windows XP 的命令提示符窗口中键入 “ARP a”或“ARP g”可以查- 2 -看 ARP 命令查看 ARP 缓存中的内容。 ARP 命令的其它用法可以键入“ARP /?”查看帮助信息。2 ARP 欺骗原理(网段内的 ARP 欺骗攻击为例)从以上原理可知,ARP 通过建立映像,将 IP 地址与 MAC 地址进行转换。ARP 欺骗攻击的核心就是向目标主机发送伪造的 ARP 应答,
5、并使目标主机接收应答中伪造的 IP 与MAC 间的映射对,并以此更新目标主机缓存,使数据包传送到错误的目的主机。设在同一网段的三台主机分别为,,详见表 1。以本例说明 ARP 欺骗的原理:用户主机 IP 地址 MAC 地址A 192.168.1.1 00-E0-4C-11-11-11B 192.168.1.2 00-E0-4C-22-22-22C 192.168.1.3 00-E0-4C-33-33-33表 1 同网段主机 IP 地址和 MAC 地址对应表假设与是信任关系,欲向发送数据包。攻击方通过前期准备,可以发现的漏洞,使暂时无法工作,然后发送包含自己 MAC 地址的 ARP 应答给。由于
6、大多数的操作系统在接收到 ARP 应答后会及时更新 ARP 缓存,而不考虑是否发出过真实的ARP 请求,所以接收到应答后,就更新它的 ARP 缓存,建立新的 IP 和 MAC 地址映射对,即的 IP 地址.对应了的 MAC 地址 00-E0-4C-33-33-33。这样,导致就将发往的数据包发向了,但和 B 却对此全然不知,入侵的 IP 地址变成了合法的 MAC 地址,因此 C 就实现对 A 和 B 的监听。3 ARP 欺骗攻击常见防范措施从以上简单的案例可知,ARP 欺骗的基本原理。其后果严重影响到网络的安全。常见的防范措施有以下几种:(1) IP 地址与 MAC 地址绑定。设置静态的 MA
7、C-IP 对应表,不允许主机刷新转换表。(2) 利用 ARP echo 传送正确的 ARP 信息,通过频繁地提醒正确的 ARP 对照表,达到防止 ARP 欺骗的目的。(3) 停止使用 ARP,将 ARP 作为永久条目保存在对应表中,在 Linux 下可用ifconfig- arp 可以使网卡驱动程序停止使用 ARP。(4) 使用代理网关发送外出通讯。(5) 修改系统拒收 ICMP 重定向报文。(6) 采用 VLAN 技术隔离端口。网络管理员可利用技术手段首先查找到该用户所在的交换机端口,然后将该端口划一个单独的 VLAN 将该用户与其它用户进行物理隔离,以避免对其它用户的影响。具体以第一种方法
8、为例,简单说明。ARP 绑定类似于给快递员培训,让他把正确的人名和对应的地址记下来,再也不接受其它人的信息干扰。相当于在快递员脑中记住了这个对照表,因此完全不受其他干扰,能有效完成工作。实例如下:在用户端计算机上绑定交换机网关的 IP 和 MAC 地址。1)首先,要求用户获得交换机网关的 IP 地址和 MAC 地址,用户在 DOS 提示符下执行 arpa 命令,具体如下:C:Documents and Settingsuserarp-a- 3 -Interface:10.10.100.1-0x2Internet Address Physical Address Type10.10.100.25
9、4 00-40-66-77-88-d7 dynamic其中 10.10.100.254 和 00-30-6d-bc-9c-d7 分别为网关的 IP 地址和 MAC 地址,因用户所在的区域、楼体和交换机不同,其对应网关的 IP 地址和 MAC 地址也不相同。2)编写一个批处理文件 arp.bat,实现将交换机网关的 MAC 地址和网关的 IP 地址的绑定,内容如下:echo offarp -darp -s 10.10.100.254 00-40-66-77-88-d7用户应该按照第一步中查找到的交换机网关的 IP 地址和 MAC 地址,填入 arps 后面即可,同时需要将这个批处理软件拖到“wi
10、ndows-开始-程序-启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。在核心交换机上绑定用户主机的 IP 地址和网卡的 MAC 地址,同时在边缘交换机上将用户计算机网卡的 MAC 地址和交换机端口绑定的双重安全绑定方式。当然,ARP 绑定也不是无懈可击的。例如,攻击者的网络包还是会小幅影响局域网部分运作,网管必须通过网络监控方法,找出攻击者加以去除。另外,必须双向绑定才有完全效果,如果只是路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包情况。双向绑定的解决方法必须一台一台加以绑定,工作量很大。而双向绑定能有效地解决ARP 攻击问题。网管如采用
11、 ARP echo 解决方式,还是有许多漏洞的。 4 结论网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者带来了严峻的考验。ARP 欺骗是一种典型的欺骗攻击类型,它利用了 ARP 协议存在的安全隐患,并使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。文中通过分析 ARP 协议的工作原理,探讨了 ARP 协议从 IP 地址到 MAC 地址解析过程中的安全性,给出了网段内ARP 欺骗的实现过程,提出了几种常规可行的解决方案,如果多种方案配合使用,就可以最大限度的杜绝 ARP 欺骗攻击的出现。总之,对于 ARP 欺骗的网络攻击,不仅需要用户自身做好防范工作之外,更需要网络管理员应该时刻保持高度警惕,并不断跟踪防范欺骗类攻击的最新技术,做到防范于未然。参考文献1邓清华,陈松乔.ARP 欺骗攻击及其防范J.微机发展,2004,14(8):126-128.2孟晓明.基于 ARP 的网络欺骗的检测与防范J.信息技术,2005,(5):41-44.3徐功文,陈曙,时研会.ARP 协议攻击原理及其防范措施J. 网络与信息安全,2005,(1):4-6.4张海燕.ARP 漏洞及其防范技术J.网络安全,2005,(4):40-42.5王佳,李志蜀.基于 ARP 协议的攻击原理分析J.微电子学与计算机,2004,21(4):10-12.
