ARP攻击防御

ARP攻击防御（精选11篇）

ARP攻击防御 第1篇

通过实现对IP地址而得到物理地址的方式, 即地址解析协议, 叫做Arp。Arp协议是在互联层面上将欲要的服务的IP地址转换成为与其对应的物理地址。举例即为, 只有将以太网环境下主机的32位IP转换成为48位的以太网地址, 才能够将报文正确的传向目的主机, 这就是Arp的作用。

2关于Arp的攻击

2.1Arp的攻击

所谓Arp的攻击, 就是为了使网络阻塞而通过伪造Mac和IP地址的造成一种欺骗即Arp欺骗。在操作上, 攻击者最终要制造网络中断或中间人攻击, 为了达到这种效果, 他们通过更改目标主机的Arp缓存的IP-MAC条目而达到中断或攻击的目的, 而最直接的手法就是连续且不间断的发出伪造的Arp响应包。

Arp的攻击主要存在于局域网网络的范围内, 它是一个传染过程, 只要有一台机器在局域网的范围内遭受Arp木马的感染, 那么这台机器带有Arp木马的感染病毒的系统会将通过“Arp欺骗”的途径拦截在局域网络范围内其他计算机的通信信息, 而网络内其他的计算机会因此而遭遇通信故障。

2.2 被Arp攻击后的现象

被Arp攻击的最直接的现象来自于Arp欺骗木马的中毒现象, 其表现形式为, 在使用局域网的过程中会突然掉线, 在经过一段时间后会自动恢复正常。比如:某公司突然出现大面积频繁断网, 网路不通, 访问有些网页出现dns错误。检查后发现, 交换机中的arp映射其中一个MAC地址对应的IP变为外网固定IP的网关IP地址。

如果有一台电脑被成功的感染了Arp欺骗木马, 最后严重的后果就有可能使得整个网络无法上网或瘫痪。除此之外, 在此木马发作时还有可能出现使同局域内的其他电脑在上网时出现时而断线的现象, 更严重的是还会出现窃取用户密码的现象产生。

3关于Arp的欺骗

3.1Arp的欺骗

所谓Arp的欺骗实际上是在用户上网过程中导致网络的大面积断网和瞬间掉线, 以此来影响网络连接的通畅, 通常在此意义上我们可将Arp的欺骗分为两种: (1) 针对路由器内Arp表的欺骗。它的原理是截获网关数据。它通过通知内网MAC的地址在路由器内造成一系列的错误, 这种通知按照一定的频率不断的进行, 这就使得路由器无法保存更新的真是的地址信息, 而在路由器内的所有数据传动到错误的MAC地址, 因此而造成了PC无法正常的收到信息。 (2) 对网内PC的网关欺骗。它的原理是伪造网关, 建立家的网关以使通过它欺骗了的PC与假的网关连接并发送数据, 这与通常的通过路由器上网的途径不同, 形成不正常的途径。最后具体的表现形式就体现在PC上, 最直接的就是出现了“无法上网”“网络掉线”等情况。总的来说, Arp的欺骗攻击造成的后或十分严重, 绝大多数情况下会造成大面积掉线。

3.2 解决Arp欺骗主机的定位

解决Arp欺骗主机的定位的直接方法是仔细查看三层交换机端口的主要信息, 并查找出数据量发生异常的端口;然后关闭端口, 接着找出出现问题的主机, 最后对问题主机进行全面杀毒。

4针对Arp的安全防御策略

4.1 客户端用户的防御策略

客户端用户可以通过安装杀毒软件清除Arp的攻击入侵, 除此之外还可以通过安装影子系统和原系统在启动系统时自动清除Arp的木马病毒。另外, 除了对PC自身做好防御措施外, 还要求用户注意上网时的安全。Windows用户可以通过在计算机用户端上将将交换机的MAC和IP地址绑定好, 然后通过命令执行“Arp-S网关IP网关MAC地址”来降低中毒计算机对本机的影响。用户可以在网络正常时通过命令行方式下“Arp-A”的命令来得到网关IP和MAC地址。

4.2 网络设备管理端的防御策略

网络管理者可以通过对局域网络用户所在的区楼体和用户房间将用户计算机网卡的MAC地址和交换机端口在交换机端口号内进行绑定, 它的目的是为了防止非法用户通过随意接入端口而进行网上冲浪。如果本机网卡的MAC地址被网络用户擅自改动, 那么交换机会自觉认定本机器的网络访问是非法的并且无法实现上网, 因此对局域网不会造成干扰。如果管理员采用VLAN技术区隔离交换机端口, 在存在法非用户通过Arp欺骗攻击网络, 或者合法用户遭受Arp病毒的感染而形象整个网络时, 管理员可以进行逻辑上的隔离, 因此而避免对其他用户的影响。

5结语

通过以上的论述, 想要最大限度的阻止Arp欺骗的攻击, 就要在客户端、网关以及服务器端口一并建立起有效地防御攻略和机制。大部分的Arp协议在安全上具有缺陷, 而这种缺陷恰恰来自于其自身的设计不足, 虽然上面的防御方法并不能够从根本上根治Arp病毒的攻击, 但随着IPV6协议的应用和普及, 相信在不久的将来能够得到Arp病毒攻击的彻底解决办法。

摘要：当今在局域网安全的范围内最主要的攻击来自于Arp的攻击。对于网络安全工作而言, 最首要的问题是解决Arp欺骗主机的检测和欺骗主机的定位。欲解决Arp的攻击问题, 就需要在服务器以及客户端上作出相应并有效的设置。

关键词：Arp攻击,Arp防御,局域网

参考文献

ARP攻击防御 第2篇

在打开的实时保护的页面，点击“系统保护”，可以看到arp防火墙，默认的是“已禁用”，如下图所示：

点击灰色的“已禁用”，软件会提示“是否继续开启此防护功能”，点击“确定”，软件会自动安装ARP防火墙，如下图所示：

安装完成后，arp防火墙后面的开关显示“已启用”，如下图所示：

如果我们想要更好的防攻击，我们可以重启计算机，然后仍然进入到上一步的界面，点击“设置”，出现如下界面：

点击“高级设置”，就会看到里面一些高级设置项，为了有更好的防攻击效果，我们可以将所有的方框都选中，如下图所示：

局域网ARP攻击及防御方法 第3篇

关键词：地址解析协议；ARP欺骗；防御方法

中图分类号：TP393.1 文献标识码：A文章编号：1007-9599 (2010) 13-0000-02

LAN ARP Attacks and Defense Methods

Tian Chongfeng

（Jiangsu Polytechnic College of Agriculture&Forestry,Jurong212400,China）

Abstract:ARP attacks have become a common means of attack LAN,in this paper,network maintenance and treatment of common failures,the basic principle of ARP attack to be analyzed,and the corresponding ARP attack defense method.

Keywords:Address resolution protocol;ARP spoofing;Defense method

随着信息技术的迅猛发展，大多业务和数据都通过互联网来进行传递和处理的，因此对于网络安全的安全性就有了更高严格的需求，尤其对于内部网络，往往只能从自身技术范畴来考虑加强对于网络安全的防范，从而保证业务和数据的保密和安全。众所周知，在校园局域网中使用了大量的交换机，如果校园网内某台主机感染ARP病毒后，就会启动ARP 欺骗的木马程序，造成网络刚开始时断时续，最终导致网络瘫痪，影响用户正常使用网络。

一、ARP协议简述

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP 地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP 具体说来就是将网络层（IP 层）地址解析为数据链路层（MAC 层）的MAC 地址。Windows 操作系统的主机上，可以在命令提示符下使用arp -a 来查看本机的IP 地址和MAC 地址映射表，如图1。

图1

二、ARP工作原理

下面以PC-A和PC-D 通信为例，具体分析ARP 的工作过程。如图2 所示。

（一）PC-A 查询本地ARP 缓存记录；

（二）若第一步查询成功，完成本次ARP 解析任务；若失败，则PC-A 以广播形式发送ARP 请求包；

（三）目的PC-D 响应PC-A 的请求，发送ARP 应答包；

（四）PC-A 收到目的主机的ARP 应答包，同时它还会动态更新自身的ARP 缓存表，完成本次ARP 解析任务。

由此可见，ARP 协议在工作的过程中安全信任网络上传播的数据包，而攻击者正是利用这一特点发送或响应伪造的ARP 数据包实行ARP 欺骗攻击。

三、ARP病毒攻击

ARP病毒攻击的目的：当局域网内某台主机运行ARP 欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登录了某些游戏或者网上银行服务器，那么病毒主机就会经常伪造断线的现象，那么用户就得重新登录服务器，此过程就是病毒主机盗取用户账号和密码的过程。

（一）ARP攻击常见症状

1.使用局域网时会突然掉线；网速时快时慢，极其不稳定；网络设备承载过重，网络通讯质量不稳定。

2.经常出现IP 地址冲突的警报；浏览器频繁出错。

3.部分机器无法连接网络，严重时局域网内所有主机不能上网，网络大面积瘫痪。

4.网络内部经常会发生账号、密码丢失的情况等等。

由于ARP 病毒发作的时候会向全网发送伪造的ARP 数据包，干扰全网的运行.因此ARP 欺騙木马只需成功感染一台电脑，就可能导致整个局域网都无法上网。同时，ARP 欺骗木马还会盗取网络用户的重要信息，给网络用户带来巨大的经济损失，所以它的危害比一些蠕虫（Worm）病毒还要严重得多。因此如何防御、解决ARP 欺骗攻击则是至关重要的[1]。

（二）ARP常见攻击方法

1.截获网关数据。它通知路由器一系列错误的内网MAC 地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC 地址，造成正常PC 无法收到信息。

2.伪造网关。它的原理是建立假网关，让被它骗的PC 向假网关发数据，而不是通过正常的路由器途径上网。在PC 看来，就是上不了网了，“网络掉线了”。

（三）ARP泛洪攻击

网络设备在处理ARP报文时需要占用系统资源，同时因为系统内存和查找ARP表效率的要求，一般网络设备会限制ARP表的大小[2]。

攻击主机持续把伪造的MAC—IP 映射方式对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含：

1.通过不断发送伪造的ARP 广播数据报使交换机忙于处理数据报耗尽网络带宽。

2.令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。

3.用虚假的地址信息占满主机的ARP 高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP 溢出攻击或泛洪攻击[3]。

四、ARP 病毒的防治方法

由于ARP 病毒是针对ARP 协议中的漏洞进行欺骗，所以一般的杀毒软件无法检测到它的存在，这使得在病毒的检测和防治上存在一定的难度。在防治时主要做好以下几步工作。

（一）网关静态ARP映射

在主机中对网关的IP 地址和MAC 地址进行静态的绑定，使主机免受错误信息的欺骗。

1.打开命令行，利用ping命令获得网关的MAC 地址（如网关192.168.10.1 的MAC 地址为00-02-3F-E8-A6-F8）。

2.编写一个批处理文件rarp.bat 内容如下：

@echo off

arp -d

arp -s 192.168.10.100-02-3F-E8-A6-F8

arp -s 192.168.10.23900-B0-8C-02-CC-0D

保存后，把这个批处理软件拖入“windows--开始--程序--启动”中。让机器每次重启时都运行这个文件，静态绑定网关的IP 地址和MAC 地址。这样可以防止主机ARP 地址列表被篡改。

（二）关闭端口

由于这个服务开放的137、138、139、445 端口正是病毒常用的入侵端口， 一般不要开放， 或者在防火墙的设置上关闭这个服务的端口。如果主机没有没特殊用途， 都可以在“本地连接”的高级TCP/IP设置中的“TCP/IP筛选”功能中关闭部分TCP 端口，这样就能有效防止病毒的入侵。

（三）使用其它软件

配合使用其它有关ARP 攻击的软件，利用360arp 防火墙、瑞星防火墙等软件检测并防御ARP 攻击。随着ARP 攻击越来越频繁地出现，相应出现不少针对防御ARP 攻击的软件，及时给操作系统打补丁，将杀毒软件升级，增强系统的防御性能。

五、结束语

ARP攻击利用了ARP协议本身的漏洞，给网络安全带来极大隐患。对局域网进行ARP 病毒攻击的防护并不能彻底杜绝ARP 病毒攻击，要想防止计算机中ARP毒，还要做到几点：一是经常更新杀毒软件病毒库；二是要养成良好的上网习惯；三是安装最新的补丁。

参考文献

[1]曹连刚,关慧,赵玉秀.ARP 欺骗的原理及防范[J].计算机与信息技术,2007(27):76

[2]ARP攻击防范技术白皮书.http：//www.h3c.com.cn/Products___Technology/Technology/

IPv4_IPv6_series/Other_technology/Technology_book/200907/641676_30003_0.htm

[3]任侠,吕述望.ARP 协议欺骗原理分析与抵御方法[J].计算机工程,2003(9)

作者简介

局域网络ARP攻击与防御 第4篇

近段时间本单位局域网故障频繁, 网络状况极不稳定, 计算机出现一会儿上线一会儿下线的网络故障, 有时甚至造成大范围计算机不能联网, 严重影响了单位营业厅收费及日常办公。考虑到单位网络建成时间较早, 网络设备也是较老型号, 刚开始还认为是网线网卡接触不良或某块网卡、交换机端口出现故障导致的 (以前也曾碰到过因网卡部分损坏导致乱发数据包而引起的网络堵塞现象) , 在重新水晶头、更换部分硬件设备无果的情况下对硬件设备及软件系统查看日志并进行检测后, 终于发现了网络故障的罪魁祸首ARP病毒。

在局域网中, ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗攻击就能够在网络中产生大量的ARP通信流量使整个网络阻塞, 因此深入理解和防范ARP病毒的网络攻击已经成为保证网络畅通的迫切需要。

1 ARP协议

ARP (Address Resolution Protocol, 地址解析协议) 是一个位于TCP/IP协议栈中的底层协议, 对应于数据链路层, 负责将某个IP地址 (位于网络层, OSI模型的第三层) 解析成对应的MAC地址 (位于数据链路层, OSI模型的第二层) 。当主机接收到ARP广播请求包时或ARP非广播回复包时, 主机就会更新并保存本机的ARP缓存表。

2 ARP协议的设计缺陷

局域网中的通信是基于MAC地址的, ARP缓存表通常是动态的, 能手工添加、删除表项, 主机不检查自己是否发送过ARP请求, 也不管接收的ARP应答是否合法, 只要收到目标MAC是自己的ARP广播包, 就接受并缓存。例如:主机PC3假冒主机PC1主动向主机PC2发应答包, PC2这时就会更新自己MAC地址缓存表中PC1的网卡MAC地址为PC3设置的网卡MAC地址。该缺陷将导致任何主机都可向PC2发送假冒PC1的ARP应答包。从中我们可以看出, ARP协议是没有身份验证机制的, 网络中任何主机都可以随意伪造ARP数据包, 协议设计者当初并没有很好地考虑到这些安全问题, 所以ARP协议天生就存在严重缺陷。

3 ARP欺骗、攻击的方式

ARP欺骗攻击是利用ARP协议本身缺陷而进行的攻击行为, 包括对计算机进行大量IP冲突数据包轰炸攻击、阻断局域网络任一计算机的网络连接等行为。根据目的不同, 主要攻击方式分为ARP欺骗攻击 (窃取数据为目的) 和ARP泛洪攻击 (破坏网络为目的) 两种方式, 针对这两种攻击方式本文细分几种ARP攻击类型如下:

3.1 ARP欺骗攻击

1) Do S拒绝服务攻击。Do S (denial of service) 攻击就是使被攻击计算机或网络无法提供正常的服务正常网络服务的攻击方法。如果攻击者将被攻击计算机ARP缓存表中的MAC地址全部改为不存在的地址, 那么被攻击计算机发送的所有以太网数据包因地址不可达 (链接层) 而被丢弃, 使计算机因忙于处理异常而导致系统资源被耗尽, 无法再处理合法用户的服务请求。

2) 中间人攻击。利用windows的arp缓存老化时间默认为120秒, 攻击者将计算机插入两个目标计算机网络通信路径之间成为中继, 这样就可监听两台目标计算机之间的所有通信。例如, 局域网内有两台主机PC1和PC2, PC1想监听PC2与其他用户之间的通信内容, 攻击过程如下:PC1向网关和PC2发送伪造的arp包, 让PC2认为PC1是网关, 让网关认为PC1是PC2, PC1开启路由功能, 从而实现网络数据包的转发, 起到了重定向的作用, 并且可以截获PC2与网关之间的全部通信内容。

3.2 IP地址冲突攻击

制造网络上两台计算机有相同IP的假象, 由于违反IP地址唯一性要求, 被攻击计算机就会自动弹出IP地址冲突警告对话框提示用户, 大量攻击会使被攻击计算机消耗极大的系统资源。

3.3 泛洪和溢出攻击

攻击计算机把伪造的MAC-IP映射持续发给目标计算机, 并对局域网内所有计算机进行广播, 抢占带宽流量, 干扰正常网络通信。ARP泛洪攻击行为主要包括:一、伪造大量源IP地址变化的ARP广播数据包, 使交换机ARP缓存表溢出, 合法用户的ARP报文不能生成缓存表项, 导致正常通信中断;二、向交换机发送大量目标IP地址无法解析的IP报文, 使交换机反复对目标IP地址进行解析并对整个网络进行广播, 导致CPU负荷过重或使网络带宽耗尽。ARP泛洪攻击是以破坏整个网络为目的, 是典型的损人不利己行为。

3.4 MAC地址扫描攻击

向整个局域网络发送ARP请求, 进而获得在线计算机的IP-MAC地址对应表。攻击者通过MAC地址扫描得到目标计算机的IP地址和MAC地址, 以便于下一步进行网络监听, 分析、窃取用户数据。该行为一般是为攻击做前期准备工作。

3.5 虚拟主机攻击

虚拟一台网络中不存在的主机向网络发送大量arp请求, 接收到的主机无法找到源, 就会发送大量广播请求源地址, 因为源为虚假信息不能找到就持续发送广播包, 以至严重消耗网络带宽。

4 ARP攻击快速发现及定位

要快速定位ARP攻击源头主要有三种方法:

1) 因为所有ARP攻击源网卡会处于混杂模式, 所以可以通过网络扫描工具扫描局域网内有哪些计算机的网卡处于混杂模式, 从而缩小范围, 再进一步进行信息收集判断该计算机是否就是“攻击元凶”;

2) 查看交换机的ARP缓存表或“arp–a”命令检查网关IP对应的MAC地址是否正确, 如果不正确就可判断该网络感染了ARP病毒, 该MAC地址就是ARP攻击计算机的MAC;

3) 安装具有ARP检测功能的检测软件, 如360安全卫士、anti ARP软件。它们会自动弹出攻击者的MAC地址。如果找到攻击者的MAC, 则需网络管理员对照MAC地址登记表查找该计算机的使用者, 以便及时通知对方进行处理。

5 ARP攻击的防御方法

防止ARP攻击是比较困难的, 修改ARP协议也是不大可能的。但是我们做好以下工作还是可以极大提高本地网络的安全性。

5.1 用户侧防御

修改网关的MAC地址是大部分ARP攻击的典型行为, 因此针对此特征, 可在用户端计算机上静态绑定网关的IP和MAC地址, 强制指定IP-MAC地址映射。

1) 静态ARP绑定。这是一种非常有效的方法, 而且对系统影响不大。可建立一个如下内容的批处理文件, 实现将网关的IP地址和MAC地址绑定。

arp–d

arp–s IP地址MAC地址

(将上面IP地址和MAC地址替换为网关正常时候的IP地址和MAC地址)

在计算机启动项中加入这个批处理文件, 使计算机每次开机启动自动加载执行。当用户接受到ARP包时并不会改变本地ARP缓存表, 从而对用户起到一个很好的保护作用。

2) 安装使用防ARP攻击的软件, 如360ARP防火墙。该软件在系统内核层中直接拦截本机及外部的全部ARP攻击, 并对ARP木马病毒进行准确追踪和及时查杀, 从而保持网络畅通及通信安全。

5.2 交换机侧防御

攻击源一般来自于主机用户侧, 因此接入交换机在ARP攻击防御中是一个关键的控制点。首先在接入层交换机上将端口与用户网卡MAC地址进行绑定, 然后再在核心交换机 (网关) 上绑定正确的IP-MAC地址对应表。

1) 交换机端口和MAC地址的绑定。在接入交换机上建立IP-MAC地址相对应的正确ARP表项, 将交换机端口与用户网卡MAC地址进行绑定, 可以防止用户未经登记许可随意接入网络;

2) IP-MAC地址对应表的绑定。在核心交换机 (网关) 建立正确的ARP表项, 进行绑定, 防止攻击者修改, 可以防止冒充合法用户IP和MAC地址、进行ARP欺骗和盗取网络数据等行为;

3) 采用VLAN技术隔离端口。网络管理员可根据本单位网络拓扑结构, 划分出若干个VLAN, 使每个部门处于不同的VLAN中, 各自占用一个单独的IP地址段。这种将各部门之间的计算机进行分离的方法, 可以减少ARP广播风暴的发生。

5.3 路由器绑定

如果网络中核心设备采用三层交换机或路由器 (一般三层交换机和路由器具有DHCP snooping功能) , 可使用DHCP snooping来绑定ARP表, 从而有效防范ARP欺骗。当然, 还可以使用其他具有ARP检测和抑制短时间大量ARP报文等防护功能的网络设备, 也能取得较好效果。

6 结论

ARP攻击作为典型攻击类型已流行好几年, 也遇到过多次, 可还是目前企业网络与信息安全的最大威胁来源, 但我们无需惧怕。明白了ARP的攻击原理和现象, 明确了处理思路, 我们处理起来将更加得心应手。但作为一名企业的网络管理者, 我们更需要做到未雨绸缪, 事先做好网络的防御加固工作, 真正做到“安全第一, 预防为主”。

参考文献

[1]邓清华, 陈松乔.OTUS欺骗攻击及其防范.微机发展, 2004.

linux防护ARP攻击 第5篇

关键命令：

arping -U -I 发送包的网卡接口 -s 源ip 目的ip

实例：

假设你的eth0接口对应的ip为192.168.100.11,网关为192.168.100.2你就可以使用

浅谈ARP攻击原理及防御对策 第6篇

1. ARP概述

1.1 ARP的概念

ARP协议 (Address Resolution Protocol) 即地址解析协议, 是位于TCP/IP协议中的低层协议, 其主要功能是实现IP地址到网络接口硬件地址 (MAC地址) 的映射。从IP地址到MAC物理地址的映射主要有表格和非表格两种方式, ARP协议的具体作用就是将网络层地址 (32位IP地址) 解析成对应的数据链路层地址 (48位MAC地址) 。

1.2 ARP协议存在的缺陷

ARP协议在最初开发的时候, 并没有过多地考虑到安全方面, 因为其主要是在内网使用, 因此把协议所应用的网络环境视为是安全的。这样就使得ARP协议在安全方面存在着不少问题, 主要表现在以下几方面:

1.计算机在检验接收到的IP应答后, 都会自动认为其MAC地址是可信的, 并没有任何的安全机制。[2]

2.只要网络中有ARP请求, 计算机就会响应, 并且将应答的物理地址改写成网关地址, 这样很容易使得网关的负荷增大, 最终导致崩溃。

3.所有计算机的ARP应答都会自动认定为合法, 网络中的所有设备任何时候都可以应答, 甚至没有收到请求也能应答, 这样很容易造成局域网内的通信失败或发送延时。

4.ARP协议允许用户在局域网内大量发送ARP数据包, 这样会使得网络中的交换机设备的ARP缓存容量暴增, 最后造成交换机无法正常工作直至网络瘫痪。

2. ARP攻击的种类

以上我们对ARP协议的特点进行分析, 由于ARP协议对各设备的身份和ARP报文的合法性没有有效的验证机制, 黑客往往利用ARP协议的这些漏洞和缺陷进行ARP攻击。其主要方式就是通过伪造IP地址和MAC地址, 频繁地在网络中互发数据包, 不断地查找地址的数据, 而网络设备一旦收到ARP请求就会立即更新ARP缓存表, 这样在网络中的所有主机都很容易成为ARP攻击的发起者, 从而在网络中生成大量的ARP通信量从而使网络阻塞。[3]ARP攻击的种类繁多, 目前主要的攻击手段有如下几种。

1.仿冒网关攻击

这种攻击方式的原理是, 攻击者假冒网关向网络上的其他主机发送伪造网关的ARP报文, 导致网内其他主机的ARP表中记录了错误的网关地址映射信息, 如果攻击源发送的是广播ARP报文, 或者向网内所有主机发送攻击报文, 就很容易使整个网络的通信中断, 造成严重的后果。

2. ARP泛洪攻击

在计算机网络中, 所有的主机和设备都有一张ARP表, 其作用是用来储存IP地址和MAC地址的映射关系, 其内存大小是固定的。ARP攻击者利用这一点, 制造大量假IP地址的ARP报文并发送出去, 网络设备的ARP表就会很快被占满, 直到设备的ARP表溢出, 使得网络中其他合法用户发送的ARP报文不能生成有效的ARP表项, 最终导致网络设备无法正常通信。

3. ARP欺骗攻击

ARP欺骗攻击是很常见的ARP攻击手段, 主要分为二种, 一种是对路由器ARP表的欺骗。其原理是截获网关数据, 不断地向路由器发送大量错误的局域网MAC地址, 使得其它主机的真实MAC地址没法通过ARP表更新来保存, 造成路由器发送的所有数据都给了错误的MAC地址, 使得内网中的计算机无法传输数据, 产生严重的网络故障。另外一种是针对内网计算机的网关欺骗即伪造网关, 其方法是先建立一个假网关来欺骗网络中的其它内网主机, 让这些被欺骗的主机向假网关传输数据, 而不是通过正确的路由器网关来连接网络, 最后导致网络无法连接。

3. 针对ARP攻击的防御对策

3.1 绑定IP地址与M A C地址

网络设备中的ARP表一般情况都是动态更新的, 这样攻击者就可以通过不断发送伪造MAC地址的方法来使得ARP表装满溢出, 所以我们只要将IP地址和MAC地址绑定, 且不允许随意刷新, 甚至可以选择禁用ARP协议。这样当网络中的主机不再收发ARP报文后, ARP表也就不会被更新, 同时原有的IP地址和MAC地址也不会过期。

这种方法对于防止黑客的ARP欺骗攻击非常有效, 但是只适用于规模比较小的网络, 因为绑定网络中所有的IP和MAC地址是很繁重的工作, 这会大大地增加网络管理员的工作量, 而且当网络用户有变更时, 网络管理员就必须重新设置ARP表来绑定新的IP地址和MAC地址, 所有这种方法不适用于较大型的网络。

3.2 划分网段

现在的交换机都具有VLAN网段划分功能, 我们只要对VLAN进行合理的划分, 就能减小广播域范围, 这样即使部分网段受到ARP攻击, 这些攻击也只能在小范围起作用, 不至于会发生大范围的网络事故, 而且划分网段缩小了网络的范围, 对于攻击源的查找也更简单。[4]但是采用网段划分的办法还是不能完全解决ARP攻击的问题, 它只能将ARP攻击的破坏范围从整个局域网减小到攻击所在网段, 能更快地解决网络故障而已。[5]

3.3 安装ARP防火墙

由于在局域网中ARP攻击具有普遍性, 因此有许多的杀毒软件里都加入了ARP防火墙功能。ARP防火墙就是针对ARP攻击来开发的, 包括了拦截技术和防御技术, 可以有效地防止大多数的ARP攻击, 很大程度上保障了网络通信的安全。目前相关的防火墙软件有很多, 例如360安全卫士、金山安全卫士等自带的ARP防火墙就是很好的选择。

3.4 使用具有ARP防护功能的路由器

针对网络中大量的ARP攻击, 有很多的路由器厂家开发了具有ARP防护功能的路由器, 使用这种功能的路由器能大大提高网络的抗ARP攻击能力。这些路由器大都采用一些先进技术, 具备单向绑定的先天防护功能, 可以绕过ARP攻击, 使得ARP病毒和ARP攻击无法下手。对于这种路由器, 系统管理员只要做好在局域网内绑定计算机的IP和MAC地址即可。

4. 结语

总之, ARP攻击是一种利用ARP协议漏洞的具有普遍性的网络攻击手段, 其给网络的安全带来了很大的隐患。本文通过对ARP协议的漏洞和攻击的原理进行了分析, 指出了ARP攻击行为的根源, 并提出了几种针对ARP攻击进行防范的有效方法。

摘要：ARP协议在最初开发的时候, 主要在内网使用, 并没有过多地考虑到其安全性, 这样就使得ARP协议存在着诸多漏洞。本文在分析ARP原理的基础上, 介绍了几种常见ARP攻击类型, 并针对这些ARP攻击提出了相应的防御对策。

关键词：ARP协议,ARP攻击,局域网,防御对策

参考文献

[1]杨春秀, 庹宁.局域网ARP攻击和防范分析[J].华南金融电脑.2010 (6) .

[2]唐玄, 刘娟.局域网ARP攻击原理与防范[J].电脑知识与技术, 2008 (4) .

[3]刘建伟, 毛剑, 胡荣磊.网络安全概论.电子工业出版社2009.

[4]杨月江, 刘士杰, 耿子林.网络安全管理的分析与研究[J].商场现代化.2008 (2) .

ARP欺骗攻击的取证和防御方法 第7篇

ARP欺骗是攻击者发送伪造的ARP请求或ARP应答信号发起的攻击行为。当收到一个ARP应答的时候,所有的客户端无论是否发出过ARP请求,都可能会更新本地ARP缓存表。并且ARP协议中,对ARP应答信号的信号源缺少可靠的认证机制,所以无论收到的ARP请求/应答信号是真实的还是伪造的,都会进行处理,这就给网络中的数据传输安全留下了隐患。

1 ARP欺骗攻击类型

1.1 中间人攻击(MITM)

中间人攻击就是攻击者在目标主机与另一方主机(网关或服务器)进行正常通信的过程中,进行拦截、插入、伪造、中断数据包,达到截获对方敏感数据,伪造身份等目的[1]。

1.2 拒绝服务攻击(Do S)

拒绝服务攻击以阻塞正常网络带宽、耗尽服务器内存资源、干扰及破坏正常通信为主。在传统的网络中,Do S攻击已成为攻击者进行恶意破坏大型网站通信、破坏公司网络等极具威胁性的途径[2]。

1.3 MAC泛洪

交换机依靠对CAM表的查询来确定正确的转发接口。攻击者通过伪造大量的ARP应答报文,使CAM表被这些伪造的MA C地址占据,真实的MAC地址却无法进入CAM表,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。此时,任何一个经过交换机的正常单播数据帧,都会以广播帧的形式被处理,导致网络带宽资源被大量的数据包占用。

2 ARP欺骗的检测和取证方法

2.1 检查ARP缓存

受到ARP欺骗攻击的主机ARP缓存表,会保存错误的IP和MAC地址绑定关系,通过对比ARP缓存和可信IP和MAC地址绑定关系,可以分析ARP欺骗攻击类型和攻击源。

2.2 检测ARP数据包

攻击者发起ARP欺骗攻击需要向网络中发送伪造的ARP报文,这些伪造的ARP报文中会重复使用合法的IP地址。如果存在ARP欺骗攻击,ARP报文中IP地址和MAC地址就会出现多对对应关系。并且,ARP应答数据包的包头结构中,含有源MA C地址和目的MAC地址等信息,通过分析伪ARP数据包,可以定位出ARP欺骗攻击的主机。

2.3 网络流量分析

在受到ARP欺骗攻击的网络中,攻击者需要持续发送伪AR P数据包,相比于正常的网络,受攻击的网络中ARP数据包会增多,将导致整个网络中的单播、多播、广播数据包比例发生明显变化。

3 受攻击网络取证分析

3.1 检查ARP缓存表

本地ARP缓存表包含了本地的所有IP地址和MAC地址的对应关系。如果ARP缓存受到中毒攻击,就会出现伪造的IP和MAC地址对应关系。表1所示是受攻击主机的ARP缓存表,缓存表中出现了重复的MAC地址:00-0c-29-f2-3d-a5同时对应着192.168.0.1和192.168.0.117两个IP地址,而网关的的MAC地址实际是be-53-e5-a4-6f-20,IP为192.168.0.117的主机就是ARP欺骗攻击的攻击源,目标是伪装成网关。

3.2 分析ARP数据包

使用wireshark捕获到的受攻击内网流量中的ARP数据包监测显示结果为:Duplicate IP address detected for 192.168.0.117(00:0c:29:f2:3d:a5)–also in use by be:53:e5:a4:6f:20。说明IP地址192.168.0.117被重复使用,说明IP为192.168.0.117的主机发出伪造的ARP包,并且这些伪ARP包中的IP地地址,B很可能发起了Do S攻击或是中间人攻击。

3.3 网络流量分析

通过Ntop分析网络流量可以确定网络上存在的各种问题,判断是否存在ARP攻击行为。表2和表3分别是在正常网络和受攻击网络情况下,主机用Ntop得出的网络流量统计信息。在受到ARP欺骗攻击时,广播流量明显增大到18.0%。广播包很可能就是实施ARP欺骗持续发出的伪ARP包。

3.4 入侵检测

除上述几种措施外,还有很多ARP欺骗检测工具,如XArp、ARPToxin、snort等[3]都可以对基于ARP欺骗的攻击行为进行实时检测。其中,Snort是一个开源的,具有实时流量分析、网络IP数据包记录等强大功能的网络入侵/防御检测系统。这种方法首先要根据具体网络手动配置文件,对网络的变化适应性差。

4 防御措施

4.1 IP地址与MAC地址静态绑定

通常,局域网内IP地址和MAC地址的对应关系是动态的,这是ARP欺骗攻击的前提。如果静态绑定受信任的IP地址和M AC地址,当收到已绑定地址的ARP请求/应答信号后,ARP缓存表就不会进行更新。

4.2 DHCP防护和DAI检测

通过交换机的DHCP ack包或者手工指定,建立和维护一张包含受信任的IP和MAC地址生成的DHCP Snooping绑定表,交换机开启DHCP Snooping后,会检查非信任端口报文中的M AC地址,根据绑定表过滤掉不受信任的DHCP信息,与数据库中的借口信息不匹配的DHCP信息同样也会被丢弃。避免非法冒充DHCP服务器接入。

5 结论

为了保障网络安全,关于OSI各层的安全策略已经做了大量研究。通过数据链路层一直面临着严重的安全威胁。利用ARP协议无状态的特性发起的ARP欺骗攻击危害极大。通过实验室环境验证检查ARP缓存表、ARP包监测、网络流量分析,可以及时发现并定位ARP欺骗攻击行为。最后给出IP地址静态绑定、DHCP防护和DAI检测等安全防护措施,对保护局域网安全具有重要意义。

参考文献

[1]马军,王岩.ARP协议攻击及其解决方案[J].微计算机信息,2006.

[2]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报,2009.

构筑立体式ARP欺骗攻击防御体系 第8篇

自2006年以来,基于ARP协议的欺骗攻击愈演愈烈,A R P病毒在各大校园网内泛滥成灾,严重威胁了用户的信息安全,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,为此研究有效的防范A R P欺骗攻击的措施已成为确保网络畅通的必要条件。

2 ARP欺骗攻击

2.1 ARP协议缺陷

ARP(Address Resolution Protocol,地址解析协议)位于OSI参考模型中的数据链路层,负责将网络层IP地址解析为数据链路层的MAC地址。在局域网中,网络中实际传输的是“帧”,帧里面有源和目标主机的M A C地址,帧在网络中就是靠这个M A C地址进行目标识别和传输的。A R P协议通过发送请求广播包,查询目标设备的M A C地址,得到应答后将M A C地址插入帧中。就可以在网络中进行传输了。

A R P协议设计初衷是方便数据的传输,它是建立在局域网主机相互信任基础之上,所以ARP协议具有广播性、无状态性、无认证性、无关性和动态性等一系列的安全缺陷:

(1)A R P协议寻找M A C地址是广播方式的。攻击者可以应答错误的M A C地址.同时攻击者也可以不间断地广播A R P请求包.造成网络的缓慢甚至网络阻塞;

(2)ARP协议是无状态和动态的。任意主机都可以在没有请求的情况下进行应答。且任何主机只要收到网络内正确的A R P应答包。不管它本身是否有A R P请求,都会无条件的动态更新缓存表;

(3)ARP协议是无认证的。ARP协议默认情况下是信任网络内的所有节点,只要是存在ARP缓存表里的IP/M A C映射以及接收到的ARP应答中的IP/M A C映射关系。A R P都认为是可信任的,并没有对IP/M A C映射的真实性、有效性进行检验,也没有维护映射的一致性。

2.2 ARP欺骗攻击的形式

在网络中各种形式的A R P欺骗攻击,给网络带来的危害基本上可以表现为:网络异常、数据窃取、数据篡改、非法控制等,给网络的通信和网络结点的安全带来重大的危害,常见ARP欺骗病毒攻击的典型症状有:

(1)上网时经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序;

(2)网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受;

(3)终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框;

(4)经常会有用户的网上银行、游戏及Q Q账号频繁丢失的现象。

这些问题的出现很大一部分要归因于A R P欺骗攻击,目前校园网内已发现的A R P欺骗攻击系列病毒已经有了几十个变种,这种病毒的程序如PwSteal.Lemir或其他变种,属于木马程序/蠕虫类病毒。据检测数据显示,APR欺骗攻击从未停止过。

3立体式防御ARP欺骗攻击

从分析A R P欺骗的过程得出,如果要消除A R P欺骗就要将局域网中每一个主机的I P地址与MAC地址绑定在一起,这样就不会出现欺骗问题了。

结合我校校园网A R P防范经验,依托锐捷网络的GSN全局安全网络中的强大数据源和联动能力,通过三层网关设备、安全智能交换机、R G-S U用户接入认证的联动,在我们校园网实现了对ARP欺骗的三道防线立体防御。图1为GSN功能组件结构。

第一道防线:网关防御,其实现过程如下:

首先R G-S M P(安全管理平台)学习已通过认证的合法用户的IP-MAC对应关系,R G-S M P(安全管理平台)将用户的ARP信息通知相应网关,网关生成对应用户的可信任A R P表项(图2)。

第二道防线:客户端防御,其实现方法如下:

在R G-S M P(安全管理平台)上设置网关的正确I P-MAC对应信息,用户认证通过,R G-S M P(安全管理平台)将网关的A R P信息下传至R G-S U用户接入认证端,SU静态绑定网关的ARP。若攻击者冒充网关欺骗合法用户,用户已经静态绑定网关地址,欺骗攻击无效(图3)。

第三道防线:交换机防御

用户认证通过后,交换机会在接入端口上绑定用户的I P-MAC对应信息,交换机对报文的源地址进行检查,对非法的攻击报文一律丢弃处理,该操作不占用交换机C P U资源,直接由端口芯片处理。若攻击者伪造源I P和MAC地址发起攻击,则因报文不符合绑定规则,被交换机丢弃(图4)。

针对主机、接入交换机、三层网关等不同ARP攻击的问题,锐捷GSN三道防线立体防御提供了A R P欺骗最彻底的解决方案。对各种A R P欺骗攻击软件和病毒木马能够进行有效的防御,确保网络通信的可靠,无需大量广播免费ARP报文,不会对网络造成额外负荷,只需要简单的配置,便可实现全网A R P攻击的立体防御

4结语

本文探讨了由于A R P协议缺乏合法性验证手段的缺陷漏洞导致欺骗攻击的实现过程,分析了A R P欺骗的原理和防御思想,最终形成了业界最为有效的“A R P三道立体防御体系”解决方案。该防御体系有效弥补了由于A R P协议本身的缺陷所带来的漏洞,解决了困扰广大网络管理员的A R P欺骗问题,给我校校园网乃至所有的园区网带来更加健康和谐的网络环境。

摘要：针对目前校园网及网吧频繁发作的ARP欺骗病毒攻击,从ARP协议的缺陷方面分析了欺骗攻击的形式和ARP欺骗的类型,提出了立体式防御ARP欺骗攻击的解决方案。

关键词：ARP协议,ARP欺骗,防御,攻击,立体式

参考文献

[1]宋新见,殷冬梅,惠俊英.基于矢量信号处理的水声定位系统[J].海洋工程,2001,21.110-114.

[2]宋新见,惠俊英,殷冬梅,李艳梅.水下噪声目标被动测距技术研究[J].应用声学,2004,24.133-139.

[3]张颖颖,杜立彬,侯广利,张颖.基于矢量信号处理的水下目标定位和跟踪设计[A].计算机仿真,2008,1.310-313.

[4]孙仲康,周一宇,何黎星.单多基地有源无源定位技术[M].北京:国防工业出版社,1996:37-7.

局域网中ARP的攻击与防御方法 第9篇

1、什么是ARP

ARP是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

2、ARP的工作原理

只有了解了ARP的工作原理,我们才能更有效地阻止ARP的攻击。简单地说,ARP的原理就是:首先,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。

下面举个简单的例子:假设A的地址为:IP:192.168.10.1 MAC:AA-AA-AA-AA-AA-AA假设B的地址为:IP:192.168.10.2 MAC:BB-BB-BB-BB-BB-BB。那么根据上面的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的MAC地址,于是A发送一个ARP请求广播(谁是192.168.10.2,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2在BB-BB-BB-BB-BB-BB)。

从ARP的工作原理不难看出,要实现翻译工作就必须要发送广播。广播信息全网计算机都可以收到。只不过是检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包(这是网卡的基本工作模式)。而实际上网卡还可以处于另外的一种工作模式,即混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。当它收到广播信息后就将自己的MAC地址或不正确的MAC地址发送给请求方,这就是所谓的ARP欺骗。

3、ARP常见的攻击方式

ARP攻击,是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸,切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的ARP欺骗攻击,还有以捣乱破坏为目的的ARP泛洪攻击两种。

3.1 ARP欺骗攻击

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

3.2 ARP泛洪攻击

攻击主机持续把伪造的MAC-IP映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含:(1)通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。(2)令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。(3)用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征作者将其命名为ARP溢出攻击。

4、定位ARP攻击源头和防御方法

4.1 定位ARP攻击源头

主动定位方式:因为所有的ARP攻击源都会有其特征—一网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。

被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域网中部署Sniffer工具,定位ARP攻击源的MAC。也可以直接Ping网关IP,完成Ping后,用“ARP-a”命令查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。

找到病毒主机的IP地址和MAC地址后,要进一步确定计算机名,才能准确定位计算机。可以利用NBTSCAN工具软件扫描整个网段后进行确定。或将一台工作正常计算机的IP地址改为病毒主机的IP地址,令其产生冲突,进而找个该病毒主机。

4.2 防御方法

(1)、采用静态绑定的方法,建立IP地址到MAC的静态映射。具体做法如下:首先获得正确的网关地址。可以找到一台能够正常上网的计算机PING网关的IP地址,然后利用ARP-A就可以看到正确的网关MAC地址。其次编写一个批处理文件bind.bat内容如下:

@echo off

arp-d

arp-s网关的IP地址网关的MAC地址

最后将此批处理文件拖到“windows——开始——程序——启动”中。

(2)、如果条件允许,可使用三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。由于交换机指令不同,在此就不给出具体指令实现,请参阅相关说明进行操作。

(3)、在发生ARP攻击时,根据上面给出的定位方法,及时找到病毒攻击源头。并做出相应处理,如对病毒主机进行杀毒或重新安装系统。

结束语

作为一名网络管理员来说,只有深入了解ARP攻击的原理及防御方法,才能保证局域网安全平稳的运行。

摘要：ARP攻击已经成为局域网中十分常见的攻击手段，掌握ARP的攻击原理以及防御方法，对局域网安全具有十分重要的意义。本文分析ARP攻击的基本原理，并提出相关的ARP攻击的防御方法。

关键词：地址解析协议(ARP),IP地址,MAC地址,ARP欺骗

参考文献

[1]胡宁，刘亚萍．高性能路由器中ARP协议关键问题的研究[J]计算机工程与科学．2006，(10)．

[2]任侠，吕述望．ARP协议欺骗原理分析与抵御方法[J]计算机工程．2003，(09)．

[3]赵均，陈克非．ARP协议安全漏洞分析及其防御方法[J]信息安全与通信保密．2006，(08)．

校园网ARP欺骗的防御 第10篇

摘 要：近期利用ARP 协议欺骗攻击网络的病毒在校园网中大肆传播，导致网络运行极不稳定甚至造成校园网中部分区域的网络瘫痪，这极大地影响了校园网用户的正常上网。本文首先介绍了ARP攻击原理，然后分析了ARP攻击的实现过程，最后根据我校网络现状提出并实施了一系列的解决方案。

关键词：ARP攻击 校园网 ARP包探测

中图分类号：TP309.5 文献标识码：B 文章编号：1673-8454（2009）03-0054-02

一、引言

我校的校园网由于其终端众多、网络广播域大、安全防护措施缺乏以及用户层次广等特征，导致极易被不法分子利用而造成网络严重的安全威胁和安全隐患。在校园网中，ARP（Address Resolution Protocol，地址解析协议）攻击是目前最为常见的一种攻击手段。因为ARP攻击不同于传统的病毒攻击方式，而是对网络上正常传播的数据包进行截获与病毒挂载，因此它的攻击具有非常大的隐蔽性。当网络遭受ARP欺骗攻击时，系统补丁、端口过滤等网络管理员常用的防护手段将无法起作用。因为ARP攻击利用了ARP协议本身缺陷且可以在数据链接层直接传播，特别是多种手法混用时要快速查出攻击源也非常困难。

二、ARP攻击原理

ARP 的基本功能是通过目标主机的IP 地址，查询其物理MAC 地址，以保证通信的顺利进行。然而局域网中计算机比较多，它们只有通过ARP缓存表来记忆其他终端机的网卡MAC地址。如果你的机子是在局域网中，可以通过arp-a命令来查询本机所记录的ARP缓存表。结果如下所示：

Arp-a

Interface: 192.168.1.122 ---0x10003

Internet Address Physical Address Type

192.168.1.12200-0c-76-23-79-4d dynamic

192.168.1.100-0c-76-22-8a-4d dynamic

192.168.1.12600-d0-f8-b2-e9-7f dynamic

其中第一列是计算机的IP 地址，第二列是MAC地址，“dynamic”代表动态缓存。如果以计算机A（192. 168. 1. 122）向路由器（192. 168.1. 1）发送请求为例，可以分为如下步骤进行。

（１）当Ａ 向路由器发出请求时，查找自己的ＡＲＰ 缓存表是否有路由器的ＩＰ 地址；

（２）如果找到了路由ＩＰ，则可以查找到路由器的ＭＡＣ 地址，直接把路由器的ＭＡＣ 地址写入帧里面发送；

（３）如果在ARP 缓存表中没有找到相对应的IP 地址，主机A 就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，向同一网段内的所有主机发出这样的询问：“192. 168. 1. 1 的MAC 地址是什么?”网络上其他主机并不响应ARP询问，只有路由器接收到这个帧时，才向主机A 做出这样的回应：“192. 168. 1. 1 的MAC 地址是00-0c-76-23-79-4d”。这样主机A就可以向目标主机发送数据，同时它还更新了自己的ARP 缓存表。

三、基于ARP 协议的攻击

1.ARP攻击的流程

针对校园网不稳定，成片掉线或者时断时续的现象，我们可以确定问题由ARP攻击造成。以上面的A主机、B主机（IP为192.168.1.126）和路由器为例来分析ARP欺骗的攻击过程。

假设主机B上存在ARP地址欺骗类病毒，那么主机B就会时刻运行ARP欺骗程序来发送ARP欺骗数据包。当主机A需要上网时，它需要查找所在局域网中的路由器，如果主机A的ARP缓存表中不存在路由器的MAC地址，它就在局域网中向各主机发送广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这时主机B向A发送了一个自己伪造的ARP应答，例如，“我的IP是192. 168. 1. 1，MAC地址是：00-d0-f8-b2-e9-7f”。当A接受到B 伪造的ARP 应答，便更新本地的ARP缓存表，于是A只有路由器的地址，但却没有路由器的正确MAC地址。A向外网发送的所有信息都被B截获，造成不能上网。具体的实现流程如图1所示。

2.ARP攻击的方式

ARP的攻击方式非常多，如：用ARP攻击Windows系统，利用IP冲突攻破用户的屏幕保护甚至可以造成用户死机；用ARP攻击交换机或者路由器，给交换机不断发送大量假MAC地址的数据包，引起数据包丢失，最终导致交换机系统的崩溃，使用户无法上网；用ARP攻击使ARP包在发送过程中进行病毒挂载，使所有Web服务器网关内的主机访问该网站而造成中毒。

四、ARP攻击防御策略

从ARP攻击原理可以得出：防范ARP欺骗攻击最大的困难在于其攻击不是针对服务器或交换机系统本身，而且攻击源可以在网段内任何一个地方隐藏。所以有时候即使我们发现了攻击的存在也无法迅速定位攻击源。因此，我们提出ARP攻击防范策略需要从三方面同时入手：加强计算机系统的安全、MAC-ARP对应表管理、网络非法ARP包探测。

1.加强计算机系统的安全

目前很多用户都因为系统存在安全漏洞，而受到ARP攻击，所以要避免遭受ARP的攻击，我们就必须先保证自己计算机系统的安全性。具体方法如下：

（１）给系统安装补丁程序，杜绝所有的后门；

（２）系统管理员需要设置足够复杂的强密码；

（３）经常更新杀毒软件的病毒库，且安装网络防火墙；

（４）关闭不必要的网页，减少病毒攻击的机率。

2.MAC-ARP对应表管理

MAC-ARP对应表的管理，我们可以采用ARP杀毒软件和病毒防火墙产品或者采用IP地址与MAC地址绑定来实现。IP地址与MAC地址的绑定在我们学校的新网络中没有应用，所以我们必须更多地考虑采用ARP杀毒软件。ARP防火墙的功能主要体现在：可以拦截ARP攻击、拦截IP冲突、拒绝服务攻击、监测ARP缓存、ARP病毒专杀和ARP缓存保护等。所以，采用ARP杀毒软件和病毒防火墙产品可以有效地维护MAC-ARP对应表的关系。

3.ARP攻击探测器

ARP攻击探测器目前在市场上还没有成熟的产品，很多大型网站都是通过自己编程来实现。其原理是：在其上存放一张局域网ARP表，记录有权威的ARP信息，嗅探器通过IDS原理在路由器镜像口侦听局域网内ARP广播包内容，如果网络内广播包与ARP表不一致，或者ARP广播帧超过合理数量的阀值，则探测器分析后会匹配到ARP欺骗特征并马上报警进行相应的策略联动。

五、总结

通过对ARP攻击的分析，我校采取了一系列解决方案，使校园网ARP病毒攻击得到较好的解决，保证了校园内正常的计算机办公与教学。

参考文献：

[1]谢希仁.计算机网络(第四版) [M].大连:大连理工大学出版社,2004.

[2]付欢,穆瑞辉. 校园网ARP 欺骗攻击及其解决方法[J].新乡教育学院学报,第21卷第2 期.

[3]刘涛,陈宝国.ARP漏洞分析及防范[J].实践与经验,2008(6).

[4]徐非.ARP协议的网络安全性研究[J].上海电力学院学报,第24卷第2期.

ARP攻击防御 第11篇

ARP攻击在各大数据中心 (IDC中心) 泛滥, 使得国内众多机房或网络运营商深恶痛绝。由于其攻击的特性, 它可以导致被攻击网站或服务器的无法访问, 或者使访问者访问其他错误网址或接收到错误信息, 直接危害着企业的利益。因此, ARP欺骗攻击严重影响了IDC中心的正常运行和信息安全, 如何进行防范及清楚ARP病毒已成为网络管理者迫切需要解决的问题。

2 ARP工作原理

ARP (Address Resolution Protocol) 是地址解析协议, 提供了从IP地址到物理地址的映射。即通过已知的网络层 (IP层, 也就是相当于OSI的第三层) 地址获得数据链路层 (MAC层, 也就是相当于OSI的第二层) 的MAC地址。

ARP工作原理:主机A向主机B发送报文, 会首先查询本地的ARP缓存表, 通过B的IP地址找到对应的MAC地址后, 就会进行数据传输。如果未找到, 则A会广播一个ARP请求报文 (此报文中包含主机A的IP地址到物理地址的映射及主机B的IP地址) , 请求主机B回答其物理地址。网上所有主机包括B都收到该ARP请求, 但只有主机B识别自己的IP地址, 于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址, A接收到B的应答后, 就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此, 本地高速缓存的这个ARP表是本地网络流通的基础, 而且这个缓存是动态的。

3 IDC中常见ARP欺骗攻击方式

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP地址到MAC地址映射。如果IDC的托管主机受到ARP病毒感染或是被黑客控制了, 就可能出现了ARP欺骗攻击。通常, 被感染或被控制的主机会向本网段广播伪造的ARP信息, 这会导致同网段的其它托管主机或是网关的ARP表出现混乱, 会造成这些主机无法进行正常通信, 更有甚者则会导致这些主机上的通信被监听或窃取事件的发生等等问题。

3.1 欺骗攻击

这是比较常见的攻击, 通过发送伪造的ARP包来欺骗路由和目标主机, 让目标主机认为这是一个合法的主机。便完成了欺骗.这种欺骗多发生在同一网段内, 因为路由不会把本网段的包向外转发, 当然实现不同网段的攻击也有方法, 便要通过ICMP协议来告诉路由器重新选择路由。

(1) 相同网段ARP欺骗

此种欺骗攻击通常会伪造一个ARP_REPLY的响应包发送给欲欺骗主机, 人为指定该数据包中的源IP, 目标IP, 源MAC地址, 目标MAC地址。通过此虚假的ARP响应包修改欲欺骗主机的ARP缓存, 达到欺骗目的。以图1为例说明相同网段间ARP欺骗过程。

主机C欲非法入侵主机B, 下面是具体的步骤:

(1) 主机C首先研究与主机B正常通信的主机A, 发现主机A漏洞。

(2) 根据主机A的漏洞, 使其暂时停止工作。

(3) 主机C将自己IP地址改为192.168.0.1。

(4) 主机C向主机B发送一个ARP响应包, 其中源IP地址为192.168.0.1, 源MAC地址为CC:CC:CC:CC:CC:CC, 要求主机B更新ARP缓存中IP地址到MAC地址的映射表.

(5) 主机B更新了自己的ARP缓存。

(6) 主机C成功入侵主机B。

以上为一个在同网段内的ARP欺骗过程。

(2) 不同网段ARP欺骗

如主机A与主机C在不同网段, 上面的方法则不起作用。以图2为例说明不同网段间ARP欺骗过程。

在现在的情况下, 位于192.168.1网段的主机C如何冒充主机B欺骗主机A呢?显然用上面的办法的话, 即使欺骗成功, 那么由主机C和主机A之间也无法建立telnet会话, 因为路由器不会把主机A发给主机B的包向外转发, 路由器会发现地址在192.168.0.这个网段之内。

现在就涉及到另外一种欺骗方式ICMP重定向。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下, 当路由器检测到一台机器使用非优化路由的时候, 它会向该主机发送一个ICMP重定向报文, 请求主机改变路由。路由器也会把初始数据报向它的目的地转发。我们可以利用ICMP重定向报文达到欺骗的目的。下面是结合ARP欺骗和ICMP重定向进行攻击的步骤:

(1) 主机C需将自己发出的非法IP包的存活时间改成最大。

(2) 寻找主机B的漏洞使其暂时停止工作。

(3) 当主机A找不到原来的192.0.0.2后, 将更新自己的ARP对应表。此时, 主机C发送一个原IP地址为192.0.0.2, MAC地址为CC:CC:CC:CC:CC:CC的ARP响应包。

(4) 现在每台主机都知道了, 一个新的M A C地址对应192.0.0.2, 一个ARP欺骗完成了, 但是, 每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.2的IP包丢给路由。于是还需要构造一个ICMP的重定向广播。

(5) 定制一个ICMP重定向包告诉网络中的主机, 到192.0.0.2的路由最短路径不是局域网, 而是路由, 请主机重定向你们的路由路径, 把所有到192.0.0.2的IP包丢给路由。

(6) 主机A接受这个合理的ICMP重定向, 于是修改自己的路由路径, 把对192.0.0.3的通讯都丢给路由器。

(7) 主机C成功入侵主机A。

其实上面的想法只是一种理想话的情况, 主机许可接收的ICMP重定向包其实有很多的限制条件, 这些条件使ICMP重定向变的非常困难。

(3) ARP欺骗新表现形式

此种欺骗攻击方式同上一样, 向全网发送伪造的ARP数据包, 区别在于它对HTTP报文的修改。

用户在浏览某些网页时, 网页中可能会包含一些恶意的代码, 这就是俗称的“网页木马”, 此种行为被称为“挂马”。主要有以下三种方法插入恶意代码:

(1) 局域网被ARP欺骗。当网内的一台主机欲访问网外的WEB服务器时, 该主机会将请求发给负责本网的网关, 由网关到服务器获得请求页面再发给该主机。此时攻击主机伪装成网关将插入恶意代码的网页发给请求主机, 对于该局域网内的其他主机均可采取此种攻击方法。

(2) 服务器被ARP欺骗。服务器所处局域网内, 有主机被感染病毒, 服务器发给用户的网页在传输过程中被插入恶意代码。

(3) 服务器被攻击。服务器被入侵或感染病毒, 硬盘上网页文件被修改插入恶意代码。

3.2 MAC Flooding

MAC Flooding可以称之为MAC洪泛现象, 这是一个比较危险的攻击, 可以溢出交换机的ARP表, 使整个网络不能正常通信。其中Flooding是一种快速散布网络连接设备 (如交换机) 更新信息到整个大型网络打每一个节点的一种方法。交换机中也存放着一个ARP缓存表。同主机中的ARP缓存表相同, 它也起到记录网络设备MAC地址与IP地址的对应关系的功能。但是交换机中的ARP缓存表的大小是固定的, 这就导致了ARP欺骗的另一种隐患:由于交换机可以主动学习客户端的MAC地址, 并建立和维护这个ARP缓存表, 当某人利用欺骗攻击连续大量的制造欺骗MAC地址, ARP缓存表就会被迅速填满, 同时更新信息以洪泛方式发送到所有的接口, 也会发给所有的接口和邻近的交换机, 会导致其他交换机的ARP表溢出, 造成交换机负载过大, 网络缓慢和丢包甚至瘫痪。所以说MAC Flooding是一种比较危险的攻击, 严重会使整个网络不能正常通信。

3.3 基于ARP的DOS攻击

DoS攻击的目的就是让被攻击主机拒绝用户的服务访问, 破环系统的正常运行。最终使用户的部分Internet连接和网络系统失效。它的基本原理是:攻击者利用ARP欺骗工具, 不断向被攻击主机发送大量的连接请求, 由于遭到ARP欺骗的主机不能够根据ARP缓存表找到对方主机, 加之主机的处理能力有限, 使得它不能为正常用户提供服务, 便出现拒绝服务。在这个过程中, 攻击者可以使用ARP欺骗方式来隐藏自己, 这样在被攻击主机的日志上就不会出现攻击者真实的IP地址。被攻击主机不能根据日志上提供的IP地址找到正真的攻击者。

4 防范措施

针对IDC机房内经常发生的ARP病毒攻击, 在此介绍防范ARP攻击的几种方法。

4.1 常用解决方法

(1) 捆绑MAC和IP地址

杜绝IP地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP地址与所记录计算机的网卡地址进行捆绑。如:ARP-s 192.16.10.400-EO-4C-6C-08-75.这样, 就将上网的静态IP地址192.16.10.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了, 即使别人盗用您的IP地址, 也无法通过代理服务器上网。如果是通过交换机连接, 可以将计算机的IP地址、网卡的MAC地址以及交换机端口绑定。

(2) 修改MAC地址, 欺骗ARP欺骗技术

就是假冒MAC地址, 所以最稳妥的一个办法就是修改机器的MAC地址, 只要把MAC地址改为别的, 就可以欺骗过ARP欺骗, 从而达到突破封锁的目的。

(3) 交换机端口设置

(1) 端口保护 (类似于端口隔离) :ARP欺骗技术需要交换机的两个端口直接通讯, 端口设为保护端口即可简单方便地隔离用户之间信息互通, 不必占用VLAN资源。同一个交换机的两个端口之间不能进行直接通讯, 需要通过转发才能相互通讯。

(2) 数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL (访问控制列表) 。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤, 根据预设条件, 对报文做出允许转发或阻塞的决定。华为和Cisco的交换机均支持IP ACL和MAC ACL, 每种ACL分别支持标准格式和扩展格式。标准格式的ACL根据源地址和上层协议类型进行过滤, 扩展格式的ACL根据源地址、目的地址以及上层协议类型进行过滤, 异词检查伪装MAC地址的帧。

(4) 禁止网络接口做ARP解析

在相对系统中禁止某个网络接口做ARP解析 (对抗ARP欺骗攻击) , 可以做静态ARP协议设置 (因为对方不会响应ARP请求报文) 如ARPs XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix, NT等, 都可以结合“禁止相应网络接口做ARP解析”和“使用静态ARP表”的设置来对抗ARP欺骗攻击。

(5) 定期检查ARP缓存

管理员定期用响应的IP包中获得一个rarp请求, 然后检查ARP响应的真实性。定期轮询, 检查主机上的ARP缓存。

4.2 推荐使用方法

根据ARP欺骗攻击的常见方式及IDC机房自身特点, 在IDC机房推荐采取网关及其网内主机的IPMAC的静态双向绑定办法, 这是一个较全面并相对持久的解决方式。

此种双向静态绑定的作法, 是分别对网关的ARP缓存中的IP地址MAC地址及其网内各主机的IP地址MAC地址进行静态绑定, 并把正确的IP地址及MAC地址记下来。

具体方法为, 建立/etc/ethers文件, 其中包含正确的IP/MAC对应关系, 格式如下:

192.168.2.32 08:00:4E:B0:24:47, 然后再在/etc/rc.d/rc.loca最后添加:arp-f生效即可。

通过双向静态绑定可再也不受其它人的信息干扰, 之后完全按照绑定的地址进行信息的传输, 可排除其他错误指令的干扰, 能有效地完成工作。在这种情况下, 可大大降低用户服务器或主机在受到攻击时无法访问而掉线的情况发生。此种解决方案虽然对IDC中心会带来一定的工作量, 但其效果要明显好于其他方法, 有效抵制ARP欺骗攻击。

5 结束语

ARP攻击问题一直是困扰着IDC中心的一个难题.但其并不是无法解决的, 通过建立完善的预防机制, 能够最大程度上抵制ARP欺骗攻击。随着网络产品及技术的不断更新, IDC中心网络建设的不断完善, 我们已经可以更好的解决ARP欺骗攻击问题, 确保IDC中心安全可靠运行。

摘要：本文介绍了ARP协议的基本原理, 阐述了ARP欺骗攻击产生的原因及在IDC中常见攻击手段, 结合IDC中心的特点提出了ARP欺骗攻击的预防方法, 并给出解决方案。

关键词：ARP攻击,IP地址,MAC地址,IDC

参考文献

[1]樊景博, 刘爱军.ARP病毒的原理及防御办法[J].商洛学院学报, 2007 (2) .

[2]曹洪武.ARP欺骗入侵的检测与防范策略[J].塔里木大学学报2007 (2) .

[3]孟晓明.给予ARP的网络欺骗的检测与防范[J].信息技术, 2005 (5) :41-44.

[4]王坚, 梁海军.ARP欺骗原理及其防范策略探讨[J].计算机与现代化, 2008 (2) :90-101.