ARP攻击防范

ARP攻击防范（精选10篇）

ARP攻击防范 第1篇

自从2005年ARP病毒首度发现, 到2007年CERNET应急响应组在报告里指出APR病毒是首要威胁, 再到今天的ARP木马病毒已经排在世界危害病毒的前5位, 它就像大型流感病毒一样, 极大地威胁着以太网用户的安全。的确, ARP病毒已经在相当程度上影响了网络的正常运行。ARP攻击有其自己的特点, 它造成的主要危害有:数据篡改及窃取、网络异常、非法控制等。表现症状为掉线、IP冲突、隐私信息泄露、网络速度受第三方控制等, 其根本原因是ARP病毒可以对网络参数进行强行修改。随着网络规模的日渐变大与网络节点的增加, ARP病毒攻击现象也随之日渐凸显, 所以分析ARP协议漏洞并且提出防范其病毒攻击的措施有着非常重要的现实意义。

1 ARP协议原理及其漏洞与攻击

1.1 ARP协议定义

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。地址解析协议是将OSI模型第三层逻辑IP地址映射成OSI模型第二层的物理地址 (即MAC地址) 。是在仅知道目标主机IP地址时为确定其MAC地址时所使用的一种协议。第三层即网络层的交互是靠IP32位逻辑地址进行通信的, 而到第二层数据链路层实际传输的地址必须要靠48位的物理地址 (即MAC地址) 才能够实现, 因为以太网的第二层交换设备是无法识别IP地址的, 所以必须通过ARP协议将IP地址映射成MAC地址才能完成通信。图1为ARP协议与IP层协议之间的逻辑图。

1.2 ARP协议工作原理

安装了TCP/IP协议栈的主机会有一个ARP高速缓存, 里面有所在同网段上的各主机和路由器的IP地址到MAC地址的映射表。在一个内网中, 如果主机Y向主机X (IP地址为x.x x.x, MAC地址为xx-xx-xx-xx-xx-xx) 发送IP数据报, 那么主机Y会在其缓存表中寻找有无主机X的IP地址, 如果有, 那么就可以查出主机X的MAC地址, 然后将MAC地址写入MAC帧直接发送。如果没在ARP缓存表中找到主机X的IP地址, 那么主机Y会在内网中发送一个广播, 内网上所有主机都会收到, 但是只有主机X会响应这个请求, 当主机Y收到主机X的响应后, 主机Y的ARP高速缓存表就会写入主机X的IP地址到其MAC地址的映射 (如图2所示) 。ARP缓存表采用了所谓的老化机制, 也就是说, 该表会在主机需要的时候进行刷新, 在一段时间内如果表中的某一行映射关系没有使用, 系统就会自动删除该行, 这样可以减少ARP表的长度, 提高查询速度。

1.3 ARP协议漏洞

ARP协议是一个网络中必不可少的协议, 虽然它有着高效率的映射机制, 但是美中不足之处在于, 作为一个局域网协议, 它在设计之初并没有把网络安全因素考虑进去, 而是把网络的安全和信任作为其前提条件。ARP协议是工作在IP协议层的更底层 (即OSI模型第二层) , 因此它的危害更加隐蔽, 这也是为什么ARP欺骗更能让人在神不知鬼不觉的情况下出现网络故障的原因。ARP协议机制有着动态性、无认证性、无连接性、广播性等安全隐患。这些弊端是ARP协议本身固有的缺陷, 如果做较大修改则会破坏它与TCP/IP协议栈的兼容性。以下是ARP协议漏洞的具体分析。

(1) 动态性。所谓动态性是指ARP高速缓存可以随时根据接收到的ARP数据包进行动态更新。由于主机间ARP缓存表在一定的时间段里需要动态更新, 这样欺骗者就可以在被攻击主机下次缓存表更新之前对其进行修改, 于是便可以对该主机进行欺骗和攻击。

(2) 无认证性。无认证性是说只要主机接收到的ARP数据包是有效的, 该主机就会无条件地刷新ARP缓存表, 而无需认证。这样就会给欺骗者提供了修改被攻击主机的机会, 对被欺骗者主机的ARP缓存表进行修改, 而该主机并没有提供检验IP地址到MAC地址映射表的检验机制, 不会考虑它的真实性。

(3) 无连接性。是指任何主机随时都可以接受ARP数据包, 即便该主机没有发出ARP请求时, 也可以做出ARP应答。并用其接受的信息刷新其ARP缓存表。

(4) 广播性。ARP的请求是以广播的方式进行的, 由于主机不知道目的主机的MAC地址时需要在局域网中进行广播, 这样欺骗者就可以伪装ARP应答, 与发送广播的主机实际要通信的计算机进行恶性竞争, 欺骗者还可以知道什么时候该内网的计算机刷新ARP缓存表, 以确保可以最大限度的进行攻击。

1.4 ARP攻击

(1) 伪造网关。简单来说就是欺骗者主机伪装成网关, 而其他受骗主机本来该发往网关的数据包却发往了假网关, 导致受骗主机不能上网。这也是所谓的拒绝服务攻击 (DoS攻击) , 如图3所示。

(2) 中间人攻击 (Man-in-the-Middle Attack) 。是指攻击者插入到通信双方的连接中, 截获并且转发双方数据包的行为。这样通过获得数据包可以获得有价值的信息, 同时也可以篡改信息, 于是信息的机密性和完整性就遭到了破坏, 如图4所示。

(3) 对网关的攻击。由于ARP协议的无连接性、无认证性、和动态性, 攻击者将发送给网关一系列错误的内网MAC+IP地址, 并按照一定的频率不断地进行, 使真正的地址信息无法通过更新保存在网关中, 结果网关的所有数据只能发送给错误的MAC地址, 造成正常主机无法收到信息。

(4) ARP泛洪攻击。攻击者伪造大量的ARP报文, 在内网中进行广播, 导致网关ARP缓存表被占满, 合法用户的ARP表项无法正常学习, 导致合法用户无法正常访问外网。主要是对局域网资源消耗的一种攻击手段。

(1) 由于ARP协议的无连接性和无认证性, 攻击者可以不断地向客户端client发送数据包, 称网关对应的MAC地址为MAC_C; (2) 客户端client想要上网时, 使用MAC_C网关地址发送数据包, 真正的网关发现MAC地址并不是自己的MAC_B, 于是忽略客户端发送的该数据包, 导致客户端不能与外网进行通信。

(1) 攻击者不断地向客户端client发送响应数据包, 欺骗说网关的MAC地址MAC_C; (2) 攻击者不断地向网关发送响应数据包, 欺骗client客户端的MAC地址为MAC_C。

2 ARP攻击防范

ARP攻击的最根本途径就是攻击者利用ARP漏洞的特点进行攻击, 即利用了主机对ARP应答的无条件信任, 强行修改主机ARP缓存表的条目, 进而实现了各种攻击。因此防范ARP攻击就要保证缓存表中MAC地址与IP地址映射关系的正确, 尽可能地做到防范对缓存表的非法篡改。

2.1 用户端计算机的防范范畴

(1) 设置静态的APR缓存。欺骗是通过ARP的动态性实时规则欺骗内网主机的, 所以我们把内网主机的ARP缓存表设置为静态, 攻击者即便向主机发送ARP响应包, 主机的ARP缓存表也不会进行刷新, 从而一定程度上避免了ARP欺骗的发生。即用户在DOS提示符下先利用arp-a命令, 再利用arp-s命令在网内主机上绑定网关的IP和MAC地址。同时在网关也要进行IP地址和MAC地址的静态绑定, 双向的绑定使得内网安全性更高。但是这种方法也有明显的不足, 在经常变化的网络环境中靠手工维护ARP缓存表对于维护人员来说工作量是非常巨大和繁琐的。

(2) 安装杀毒软件。及时对杀毒软件的病毒库进行更新, 同时对系统补丁及时进行更新安装;安装ARP防火墙或者开启ARP局域网防护;安装Sniffer, ArpKiller等软件防止ARP攻击。

(3) 通过RARP协议进行判断。RARP是反地址协议, 它的功能刚好和ARP协议相反, 是用来知道了MAC地址从而确定IP地址的协议。在局域网中如果主机发送一个RARP请求, 若发现一个MAC地址对应了多个IP地址, 则说明拥有该MAC地址的主机受到了ARP克隆攻击。

2.2 内网管理范畴

(1) 使用可防御ARP攻击的三层交换机, 第三层交换技术用的是IP路由交换协议。绑定端口MAC和IP地址;限制ARP流量;采用VLAN技术隔离端口, 内网管理人员可以根据本单位的网络拓扑结构划分若干个VLAN, 这样既能够在发生ARP攻击时减少受影响的网络范围, 又可以方便定位出现攻击时的网段和主机。

(2) 设置ARP服务器, 指定内网中某台主机为ARP服务器, 用来专门保护并且维护可信范围内所有主机的ARP缓存表。该服务器通过查阅自己的ARP缓存的静态记录并且以被查询主机的名义响应局域网内部的ARP请求。同时设置内网中的其他主机只使用来自该ARP服务器的ARP响应。当然前提是该ARP服务器没有被攻击者所攻击。

(3) 使用网关监听网络, 利用网关截取每一个ARP数据包, 并且分析该数据包包头的源地址、目的地址和ARP数据包的协议地址是否匹配。

(4) 可以对内网中传送的数据进行加密, 即使加密数据包被截获也增加了攻击者破获数据包的时间成本。

(5) 因为ARP通信双方的交互流程缺乏一个授信机制, 要从根本上解决ARP攻击问题可以在网内的通信双方建立一个可信任的验证体系。

3 结束语

由于ARP协议自身的漏洞的原因, 给ARP欺骗攻击滋生提供了温床。本文有针对性地提出了漏洞所在和基于漏洞攻击的防范机制, 并从软硬件、单个主机和局域网其他网络设备等方面立体式提出了具体解决方案。随着网络技术的不断发展, 在网络安全的领域里也给技术人员和网络用户们提出了更多的难题。在这种情况下不仅需要用户自身做好防范工作, 网络管理人员更要提高警惕, 确保网络的正常运行。

参考文献

[1]谢希仁.计算机网络[M].北京:电子工业出版社, 2004.

[2]杨延双.TCP/IP协议分析与应用[M].北京:机械工业出版社, 2007.

[3]胡恒峰.驱除恼人的ARP攻击[J].科学24小时, 2008 (Z1) .

[4]程春, 杨春.关于IP的几种欺骗的分析与研究[J].四川师范大学学报, 1999 (4) .

[5]R ITANJALI MAJHI, G.PANDA, G.Sahoo efficient prediction of ex-change rates with low complexity artificial neural network models[J].Expert Systems with Applications, 2009, 36:181-189.

[6]郑先伟.Cernet应急响应组2007年5月报告:ARP欺骗是首要威胁[J].中国教育网络, 2007 (7) .

ARP攻击防范 第2篇

中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.

Part2. 病毒原理分析:

病毒的组件

本文研究的病毒样本有三个组件构成:

%windows%SYSTEM32LOADHW.EXE(108,386 bytes) ….. ”病毒组件释放者”

%windows%System32driverspf.sys(119,808 bytes) ….. ”发ARP欺骗包的驱动程序”

%windows%System32msitinit.dll (39,952 bytes)…”命令驱动程序发ARP欺骗包的控制者”

病毒运作基理:

1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .

LOADHW.EXE释放组件后即终止运行.

注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,

ARP攻击的定位与防范 第3篇

关键词：ARP；局域网；攻击

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 06-0000-01

Positioning and Prevention of ARP Attack

He Jiadong1,Yang Ming2,Liu Xin2

(1.8630 Troops Network Center,Tianjin300250,China;2.Military Medical College Network Information Center,Tianjin300162,China)

Abstract:This paper first introduces the ARP protocol,analyzes the reasons for producing ARP attacks,describing the network's performance suffered after the ARP attack.Finally,the active defense and passive defense two security solutions given.

Keywords:ARP;LAN;Attack

一、概述

在网络世界中，MAC地址的获取过程是一个动态的解析的过程。在这个过程之中通过ARP地址解析协议将IP地址与网卡MAC地址进行映射。ARP攻击就是利用ARP地址解析过程的漏洞对局域网用户进行攻击，使受害者获得错误的IP-MAC映射关系，导致受害者与错误的主机进行通讯。利用ARP攻击，攻击者可以实现欺骗攻击、交换环境嗅探、MAC地址表溢出以及拒绝服务攻击。因此，ARP攻击对局域网存在着巨大的威胁。

二、ARP攻击

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。

ARP是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层地址解析为数据连接层的MAC地址。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框；2.计算机不能正常上网，出现网络中断的症状。

三、ARP攻击的定位

一旦网络中遭受到ARP攻击，由于ARP协议天生的缺陷，必需尽快找到攻击源头，将其从网络中隔离开，才能彻底阻止其对网络继续入侵。

从攻击原理上进行分析，一方面所有的ARP攻击源都会有其特征——网卡会处于混杂模式，因此，我们可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能正在进行ARP攻击。

从另一方面来说，在局域网发生ARP攻击时，可以通过查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域网中部署Sniffer等网络嗅探工具，定位ARP攻击源的MAC。

四、ARP攻击的防范

（一）被动防御措施

1.客户端安装杀毒软件并保持病毒库随时更新，解决终端用户不小心感染ARP病毒，从而对局域网造成危害的问题。

2.客户端安装ARP防火墙软件，防止被ARP攻击。一般ARP防火墙通过向网络中定期广播自己的MAC地址来“主动”告知其他终端不要被“欺骗”，同时在自己的客户端上绑定网关的MAC地址，防止自己被“欺骗”。

3.舍弃ARP协议，采用其他寻址协议，例如PPPOE。采用该方式则会产生一系列的兼容性问题。

总之，采用被动的防御措施，只能“治标”，不能“治本”，而且会给网络带来额外的负担。并不是我们介绍的重点。

（二）主动防御措施

1.dhcp snooping。DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。另外，建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。

这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。

2.ARP inspection。DAI是以dhcp-snooping的绑定表为基础来检查mac地址和ip地址的合法性。需要注意的是，对于前面dhcp-snooping的绑定表中关于端口部分，是不做检测的；同时对于已存在于绑定表中的mac和ip对于关系的主机，不管是dhcp获得，还是静态指定，只要符合这个表就可以了。如果表中没有就阻塞相应流量。

在开始应用Dynamic ARP Inspection时，交换机会记录大量的数据包，当端口通过的数据包过多时，交换机会认为遭受DoS攻击，从而将端口自动errdisable，造成通信中断。为了解决这个问题，我们需要加入命令errdisable recovery cause arp-inspection

在cisco网络环境下，boot request在经过了启用DHCP SNOOPING特性的设备上时，会在DHCP数据包中插入option 82的选项（具体见RFC3046）这个时候，boot request中数据包中的gateway ip address：为全0，所以一旦dhcp relay 设备检测到这样的数据包，就会丢弃。

[作者简介]

ARP攻击与防范 第4篇

ARP (Address Resolution Protocol) 是地址解析协议, 是一种将IP地址转化成物理地址的协议。在局域网中, 一个主机要和另一个主机进行直接通信, 除需要知道目标主机的IP地址外, 还必须要知道目标主机的MAC地址。这个目标MAC地址就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。即ARP协议是用来来完成IP地址转换为MAC地址 (即第2层物理地址) 的。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 默认情况下, ARP从缓存中读取IP-MAC条目, 缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此, 只要网络上有ARP响应包发送到本机, 即会更新ARP高速缓存中的IP-MAC条目。在DOS窗口输入命令arp-a可以看到如下所示的对应关系:

通过以上示例可以看出, IP地址192.16.16.1对应的物理地址 (即MAC地址) 为aa-aa-aa-aa-aa-aa, 其类型为动态。我们以主机A (192.168.1.1) 向主机B (192.168.1.2) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么”?网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.1.2的MAC地址是bb-bbbb-bb-bb-bb”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

从上面可以看出, ARP协议的基础就是信任局域网内所有的人, 那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗, A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候, 把C的MAC地址骗为DD-DD-DD-DD-DD-DD, 于是A发送到C上的数据包都变成发送给D的了。这就正好是D能够接收到A发送的数据包了, 这样欺骗就成功了。

ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 从而在网络中产生大量的ARP通信量使网络阻塞。用伪造源MAC地址发送ARP响应包, 是对ARP高速缓存机制的攻击。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。当攻击者大量向局域网中发送虚假的ARP信息后, 就会造成局域网中的机器ARP缓存的崩溃。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。因此, 当局域网中的某台机器B向A发送一个自己伪造的ARP应答, 而如果这个应答是B冒充C伪造来的, 即IP地址为C的IP, 而MAC地址是伪造的, 则当A接收到B伪造的ARP应答后, 就会更新本地的ARP缓存, 这样在A看来C的IP地址没有变, 而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行, 而是按照MAC地址进行传输。所以, 那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址, 这样就会造成网络不通, 导致A不能Ping通C。这就是一个简单的ARP欺骗。

2 ARP欺骗的种类

ARP欺骗是黑客常用的攻击手段之一, ARP欺骗分为两种, 一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

前一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 结果路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息;后一种ARP欺骗的原理是伪造网关。它的原理是建立假网关, 让被它欺骗的PC向假网关发数据, 而不是通过正常的路由器途径上网。在PC看来, 就是上不了网, “网络掉线了”。

一般来说, ARP欺骗攻击的后果非常严重, 大多数情况下会造成大面积掉线。有些网管员对此不甚了解, 出现故障时, 认为PC没有问题, 交换机没掉线的“本事”, 电信也不承认宽带故障。而且如果第1种ARP欺骗发生时, 只要重启路由器, 网络就能全面恢复, 那问题一定是在路由器了。为此, 宽带路由器背了不少“黑锅”。

3 ARP攻击主要的方式

3.1 简单的欺骗攻击

这是比较常见的攻击, 通过发送伪造的ARP包来欺骗路由和目标主机, 让目标主机认为这是一个合法的主机, 便完成了欺骗。这种欺骗多发生在同一网段内, 因为路由不会把本网段的包向外转发, 当然实现不同网段的攻击也有方法, 便要通过ICMP协议来告诉路由器重新选择路由。

3.2 交换环境的嗅探

在最初的小型局域网中我们使用HUB来进行互连, 这是一种广播的方式, 每个包都会经过网内的每台主机, 通过使用软件, 就可以嗅谈到整个局域网的数据。现在的网络多是交换环境, 网络内数据的传输被锁定在特定目标。既已确定的目标通信主机, 在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。

3.3 MAC Flooding

这是一个比较危险的攻击, 可以溢出交换机的ARP表, 使整个网络不能正常通信。

3.4 基于ARP的DOS

这是新出现的一种攻击方式, DOS又称拒绝服务攻击。当大量的连接请求被发送到一台主机时, 由于主机的处理能力有限, 不能为正常用户提供服务, 便出现拒绝服务。这个过程中如果使用ARP来隐藏自己, 在被攻击主机的日志上就不会出现真实的IP, 攻击的同时, 也不会影响到本机。

4 定位ARP攻击源头和防御方法

4.1 定位ARP攻击源头

(1) 主动定位方式:因为所有的ARP攻击源都会有其特征网卡会处于混杂模式, 可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的, 从而判断这台机器有可能就是“元凶”。定位好机器后, 再做病毒信息收集, 提交给趋势科技做分析处理。

(2) 被动定位方式:在局域网发生ARP攻击时, 查看交换机的动态ARP表中的内容, 确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具, 定位ARP攻击源的MAC。

也可以直接Ping网关IP, 完成Ping后, 用ARP-a查看网关IP对应的MAC地址, 此MAC地址应该为欺骗的MAC。

通过上述方法, 我们就能够快速地找到病毒源, 确认其MAC〉机器名和IP地址。

4.2 防御方法

(1) 使用可防御ARP攻击的3层交换机, 绑定端口-MAC-IP, 限制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。

(2) 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大地减少该问题的发生。

(3) 在发生ARP攻击时, 及时找到病毒攻击源头, 并收集病毒信息, 可以使用趋势科技的SIC2.0, 同时收集可疑的病毒样本文件, 一起提交到趋势科技的TrendLabs进行分析, TrendLabs将以最快的速度提供病毒码文件, 从而进行ARP病毒的防御。

摘要：全球性的网络化、信息化进程正改变着人们的生活方式, 各学校也建立了自己的计算机网络。但是计算机病毒、网络入侵等也随之危害到了各学校的计算机网络。对威胁学校计算机网络的ARP攻击作了简单介绍, 并对其对应的防范措施进行了说明。

关键词：网络安全,ARP攻击,网络入侵

参考文献

[1]W.Richard Stevens.TCP/IP详解 (卷1) :协议[M].范建华, 胥光辉, 张涛, 译.北京:机械工业出版社, 2000.

[2]杨家海.网络管理原理与实现技术[M].北京:清华大学出版社, 2002.

[3]郭卫兴, 刘旭, 吴灏.基于ARP缓存超时的中间人攻击检测方法[J].计算机工程, 2008 (13) .

怎样防止arp攻击 第5篇

2、ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。

3、ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常，

比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。

4、防范ARP攻击最好的办法就是安装一款简单强劲的防火墙，例如一款非常有名，并且100%免费的 Comodo 防火墙。见下图：

5、Comodo 防火墙安装非常简单，只需要点击“下一步”即可完成安装，完成安装后，我们还需要对它进行一些配置，点击界面上的“防火墙”按钮，见下图：

6、接下来点击“防火墙行为设置”-“高级设置”，勾选“保护ARP缓存”，见下图：

ARP攻击与防范措施 第6篇

由于计算机网络具有开放性, 并且联结形式多样, 因此, 无论是在局域网还是在广域网中, 都存在着自然和人为等诸多因素的威胁, 加之网络自身的脆弱性, 致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。其中欺骗类攻击是网络中常见的一种攻击方式, ARP欺骗攻击就是一种典型的欺骗类攻击。因此, 了解ARP攻击的基本原理, 采取有针对性的必要措施, 防患于未然, 才能确保网络信息的保密性、完整性和可用性。

1 ARP协议工作原理

ARP (Address Resolution Protocol, 地址解析

协议) 用来动态地将第三层网络地址转换成数据链路层的物理地址, 也就是通过已知目标设备的IP地址, 找到目标设备的MAC地址, 以保证通信的进行。

在基于以太网交换技术的局域网中, 当数据准备发送时, 由数据链路层将上层数据封装在以太网数据帧中, 然后在以太网中传输。然而在封装过程中, 数据链路层并不知道以太网数据帧头中目的主机的MAC地址, 唯一的信息是IP数据报头中的目的主机IP地址。为了找到与目的主机IP地址相对应的MAC地址, 根据ARP协议, 源主机会发送一个称为ARP Request的以太网数据帧给以太网上的每一个主机, 这个过程称为ARP广播。ARP请求数据帧中包含目的主机的IP地址, 它向以太网上的每一个主机询问“如果你是这个IP地址的拥有者, 请回答你的MAC地址”。只有拥有此IP地址的主机收到这份广播报文后, 才会向源主机回送一个包含其MAC地址的ARP应答。并且, 为了尽量减少广播ARP请求的次数, 每个主机都有一个ARP缓存 (ARP Cache) , 这个缓存存放了最近的IP地址与MAC地址之间的映射记录。ARP缓存表采用老化机制, 主机每隔一定时间或者当收到ARP应答, 都会用新的地址映射来更新ARP缓存, 删除在一段时间内没有使用过的IP地址与MAC地址的映射关系。因为ARP是一个无状态的协议, 所以对于大多数操作系统, 如果收到一个ARP应答, 不管是否在此之前发过ARP请求, 都会更新自己的ARP缓存, 这就为系统安全留下了隐患。

2 ARP欺骗攻击的实现过程

ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答, 并使目标主机接收应答中伪造的IP与MAC的映射关系, 并以此更新目标主机的ARP缓存。假设网络中, A的IP地址为192.168.0.1, MAC地址为aa-aa-aa-aa-aa-aa, B的IP地址为192.168.0.2, MAC地址为bbbb-bb-bb-bb-bb;C的IP地址为192.168.0.3, MAC地址为cc-cc-cc-cc-cc-cc。

A向B发送一个自己伪造的ARP应答, 而这个应答中的数据发送方IP地址是C的IP地址192.168.0.3, MAC地址是伪造的一个其它地址dd-dd-dd-dd-dd-dd。当B接收到A伪造的ARP应答, B并不知道MAC地址被伪造了, B就会更新它自己本地的ARP缓存。现在和IP地址192.168.0.3对应的MAC地址在B的ARP缓存表上被改变成了一个不存在的MAC地址。从B开始Ping 192.168.0.3, 网卡递交的MAC地址是dd-dd-dd-dd-dd-dd, 结果当然不能Ping通C。如果A向B发送的伪造ARP应答中的MAC地址是aa-aa-aa-aa-aa-aa, 那么B发往C的数据就会错误地发送到A。此时, A就可以窃取C的数据。这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否, 甚至还可以直接对网关进行攻击, 使网络上的计算机发来的数据无法发送到正常网关, 而攻击者可以伪装成网关, 从而截取网络中其他计算机发送的数据。

3 ARP攻击的防范措施

3.1 设置静态ARP缓存表

ARP协议攻击最根本的原理就是改变IP地址与MAC地址的正确对应关系。所以, 可以采取静态ARP表来防范, 就是在目标主机的ARP缓存中设置静态地址映射记录。这样, 当主机A向主机B发送数据前就不需要通过向所在的局域网广播ARP请求来获得B的MAC地址, 它会直接查询ARP静态记录表来获得B的MAC地址。攻击者也就没有机会向A发送ARP应答。但是, 攻击者在未接收到ARP请求的情况下仍凭空伪造ARP应答发送给A, A将拒绝用伪造的数据更新ARP缓存中的静态记录。这种方法的缺点很明显, 就是在经常更换IP地址的局域网环境里, 由于每个主机都采用ARP静态记录, 手工维护十分繁琐, 通常只针对网关建立静态映射。

3.2 交换机上绑定端口和MAC地址

设置交换机的每个端口与MAC地址相对应。如果来自该端口的MAC地址发生变动, 就自动封锁该端口, 使主机无法连接到局域网。这样, 攻击者就无法发送伪造的ARP数据帧, 从而阻止了ARP欺骗的发生。

3.3 禁用网络接口ARP解析

在操作系统中可以做静态ARP协议设置 (因为对方不会响应ARP请求报文) , 并禁止网络接口做ARP解析以对抗ARP欺骗攻击。例如在Linux下使用ifconfig eth0-ARP可以使网卡驱动程序停止使用ARP, 然后建立静态ARP映射“ARP-s IP MAC”, 即可有效防范ARP攻击。

3.4 利用防火墙和防病毒软件加强监控

可以借助防火墙和防病毒软件, 监控进出主机的网络数据。在局域网内的每台机器都安装防火墙软件和防病毒软件, 每个网段也应安装防火墙软件。通过对防火墙和防病毒软件的正确配置, 可以有效的抵御ARP攻击, 以及防范基于ARP的病毒和木马程序的侵入。

4 结束语

本文通过分析ARP协议的工作原理, 探讨了基于ARP协议欺骗攻击的实现过程, 提出了多种可行的安全防御策略, 对于防范ARP欺骗攻击, 一般需要多种措施配合使用, 可以从制度和技术两方面采取多种有效措施防治, 以减少网络受到的危害, 提高工作效率, 降低经济损失。如果要从根本上解决这一问题, 最好的方法是重新设计一种安全的地址解析协议, IPV6中已经考虑到了这个问题, 采用了更安全的方式以防范来自底层的攻击。

参考文献

[1]门飞, 朱磊明.ARP协议攻击原理及其防范[[J].信息网络安全, 2003, 10:26-27.

[2]李海鹰, 程灏, 吕志强.针对ARP攻击的网络防御式设计与实现[J].计算机工程, 2005, 31 (5) :170-171.

[3]徐涛.基于Ethernet的ARP欺骗原理及防御[J].网络安全技术与应用, 2007, 7:22-24.

浅析ARP攻击防范对策 第7篇

1.1 ARP协议介绍

在TCP/IP网络环境下, 一个IP数据包到达目的地所经过的网络路径是由路由器根据数据包的目的IP地址查找路由表决定的, 但IP地址只是主机在网络层中的地址, 要在实际的物理链路上传送数据包, 还需要将IP数据包封装到MAC帧后才能发送到网络中。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址, 同一链路上的哪台主机接收这个MAC帧是依据该MAC帧中的目的MAC地址来识别的, 即除了同一链路上将网卡置为混杂模式的主机外, 只有当某台主机的MAC地址和链路中传输的MAC帧的目的MAC地址相同时, 该主机才会接收这个MAC帧并拆封为IP数据包交给上层模块处理。因此, 每一台主机在发送链路层数据帧前都需要知道同一链路上接收方的MAC地址, 地址解析协议ARP正是用来进行IP地址到MAC地址的转换的。ARP高速缓存通常是动态的, 该缓存可以手工添加静态条目, 由系统在一定的时间间隔后进行刷新, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

1.2 ARP攻击原理

针对交换机根据目的MAC地址来决定数据包转发端口的特点, ARP欺骗的实现:假设主机C为实施ARP欺骗的攻击者, 其目的是截获主机B和主机A之间的通数据, 且主机C在实施ARP欺骗前已经预先知道A和B的IP地址。这时C先发送ARP包获得主机B的MAC地址, 然后向B发送ARP Reply数据包, 其中源IP地址为A的IP地址, 但是源MAC地址却是主机C的MAC地址。主机B收到该ARP Reply后, 将根据新的IP地址与MAC映射对更新ARP缓存。这以后当B给A发送数据包时, 目标MAC地址将使用C的MAC地址, 因此交换机根据C的MAC地址就将数据包转发到攻击者C所在的端口。同理, 攻击者C发送ARP Reply使主机A确信主机B的MAC地址为C的MAC地址。在间歇的发送虚假ARP Reply的同时, 攻击者C打开本地主机的路由功能, 将被劫持的数据包转发到正确的目的主机, 这时攻击者对主机A和B来说是完全透明的, 通信不会出现异常, 但实际上数据包却被C非法截获, 攻击者C成为了“中间人”。

2. ARP攻击分类及危害

2.1 ARP欺骗/攻击类型

(1) 简单欺骗攻击:这是比较常见的攻击, 通过发送伪造的ARP包来欺骗路由 (网关) 和目标主机, 让目标主机认为这是一个合法的主机。便完成了欺骗。这种欺骗多发生在同一网段内, 因为路由不会把本网段的包向外转发, 当然实现不同网段的攻击也有方法, 便要通过ICMP协议来告诉路由器重新选择路由。

(2) 交换环境的嗅探:在最初的小型局域网中我们使用HUB来进行互连, 这是一种广播的方式, 每个包都会经过网内的每台主机, 通过使用软件, 就可以嗅谈到整个局域网的数据。现在的网络多是交换环境, 网络内数据的传输被锁定的特定目标。既已确定的目标通信主机。在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。

(3) MAC Flooding:这是一个比较危险的攻击, 可以溢出交换机的ARP表, 使整个网络不能正常通信。

(4) 基于ARP的Do S:这是新出现的一种攻击方式, Do S又称拒绝服务攻击, 当大量的连接请求被发送到一台主机时, 由于主机的处理能力有限, 不能为正常用户提供服务, 便出现拒绝服务。这个过程中如果使用ARP来隐藏自己, 在被攻击主机的日志上就不会出现真实的IP。攻击的同时, 也不会影响到本机。

2.2 ARP欺骗/攻击判断方法

由于各种ARP欺骗/攻击的目的、对象和手段各不相同, 要想准确判断出局域网内是否存在ARP欺骗/攻击, 就必须通过多种手段, 从不同侧面进行检测。

首先, 观察网络表现, 如果存在下列两种情况之一, 则初步判断存在ARP欺骗/攻击。一是网速时快时慢, 极其不稳定, 但单机进行光纤数据测试时一切正常;二是局域网内频繁性区域或整体掉线, 重启计算机或网络设备后恢复正常。

其次, 察看本地机器和路由器的特定信息或应用专业软件进行准确判断, 常用的方法有:使用“ARP-a”命令察看本地计算机ARP表信息变化, 如果发现某个IP (特别是网关) 对应的MAC地址发生了变化, 则可判定局域网内存在ARP欺骗/攻击;察看路由器的“系统历史记录”, 如果看到“MAC Chged 10.128.103.124MAC Old 00016c36d17f MAC New00055d60c718”消息代表用户的MAC地址发生了变化, 则说明局域网内曾经出现过ARP欺骗 (ARP欺骗的木马程序停止运行时, 主机在路由器上恢复其真实的MAC地址) ;三是使用ARPSniffer或ARP防火墙等专业软件进行抓包分析, 具体方法可以参见相关软件的操作手册。

2.3 ARP欺骗/攻击危害

ARP欺骗的危害的表现主要有两种形式:

一是窃取信息, 欺骗主机作为“中间人”, 被欺骗主机的数据都经过它中转一次, 这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据。出现这种情况的可能原因有:木马病毒、嗅探、人为操作。

二是破坏网络, 让被欺骗主机直接断网。出现这种情况的可能原因有:木马病毒、人为破坏、一些网管软件的控制功能。

3. ARP攻击防范措施

ARP欺骗攻击的关键是要铲除ARP欺骗攻击产生的根源, 作为网络管理员, 除了要做到以上八个方面外, 还可以采取以下措施:

一是做好基础资料的收集, 如:建立正确的IP-MAC对应表, 可以在发现问题是更快速地进行问题来源定位。

二是如果计算机数量不是太多, 建议在交换机和客户端上进行IP-MAC双向绑定, 这样可使局域网免疫ARP病毒。

三是定期用响应的IP包中获得一个rarp请求, 然后检查ARP响应的真实性。

四是定期轮询, 检查主机和交换机上的ARP缓存。如果发现IP-MAC表中出现1对多或多对一的情况, 则说明网内存在ARP欺骗攻击。

五是充分发挥交换机的潜力, 正确配置ACL, 禁止以网关IP作为源地址的ARP包通过, 允许以网关MAC地址为源地址的ARP包通过, 从而实现ARP欺骗攻击的防范, 授篇幅限制, 具体方法请参考实际交换机的配置手册。

结束语

ARP本身不能造成多大的危害, 一旦被结合利用, 其危险性就不可估量了。由于ARP本身的问题, 使得防范ARP的攻击很棘手, 经常查看当前的网络状态, 监控流量对一个网管员来说是个很好的习惯。更多新技术的应用将会使ARP欺骗攻击的防范简便易行。

参考文献

防范ARP病毒攻击的策略 第8篇

关键词：ARP,攻击,防范,策略

近年来一种“ARP欺骗” (Address Resolution Protocol地址解析协议) 病毒袭击了很多单位的局域网, 导致了网内计算机用户不能正常访问互联网。本校校园网也多次受到ARP病毒的攻击。就此, 谈谈防范ARP病毒的措施。

一、ARP的工作原理

ARP协议是Address Reso Lution Protocol地址解析协议的缩写, 是用来解释地址的协议。具体来说, 就是将网络层IP地址解析为数据链路层地址。TCP/IP协议中规定, 每一台接入局域网的主机都要配置一个32位的IP地址, 而局域网内主机之间的通信是靠一个48位的MAC地址来确定目标, 以太网设备并不识别IP地址, 因此IP驱动器必须把IP地址转换成以太网MAC地址。在这两种地址之间存在着某种静态或动态算法的映射, ARP协议就是用来确定这些映射的协议。

在每台安装有TCP/IP协议的主机里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。我们以主机A向主机B发送数据为例, 当发送数据时, 主机A会在自己的ARP缓存表中查询是否有目标IP地址, 如果查询到目标IP地址, 也就知道目标MAC地址, 直接把目标MAC地址写入帧里面发送;如果没查询到目标IP地址, 主机A就会在网络上发送一个广播“主机B的MAC地址是什么”, 网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应“我是主机B, MAC地址xx-xx-xx-xxxx-xx”, 这样主机A就知道了主机B的MAC地址, 主机A就可以向主机B发送信息, 同时主机A还更新自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查询。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

二、ARP欺骗攻击

通过上面ARP工作原理, 我们可以清楚看到ARP攻击就是通过伪造IP与MAC对应关系实现ARP欺骗, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存表中的IP与MAC条目, 造成在链路层上数据不能传输, 从而引起网络中断。ARP欺骗基本上分为四大类。

第一类是对路由器ARP表的欺骗。毒机告诉路由器一系列错误的网内MAC地址, 并按照特定的频率不断进行, 真实地址信息无法更新保存到路由器中, 因而路由器的所有数据只能按照错误的MAC地址进行发送, 使得正常计算机无法正确接收到信息。

第二类是对局域网内计算机的网关欺骗。此方式是利用毒机建立伪造网关, 让被毒机欺骗的计算机向毒机发送数据, 不能向真实网关发送数据。

第三类是“中间人”攻击。“中间人”攻击又称为ARP双向欺骗, 网络中某台PC上网突然掉线, 一会又恢复, 但是恢复后一直上网很慢, 查看该PC机的ARP表, 网关MAC地址已被修改, 而且网关上该PC机的MAC地址也是伪造的, 该PC机和网关之间的所有流量都转到另外一台机子上。

第四类是泛洪攻击。泛洪攻击导致网络经常中断, 或者网速很慢, 查看ARP表项也都正确, 但是在网络中抓包分析, 发现大量的ARP报文发往交换机、路由器或某台PC机, 导致CPU忙于处理ARP协议, 负担过重, 造成设备没有资源转发正常的数据流量。

三、防范ARP欺骗攻击的策略

可以通过网络升级改造防范ARP欺骗攻击。针对ARP欺骗攻击, 一些网络设备或软件开发商已研发生产了相关软硬件, 可以通过引进这类软硬件设备和网络升级改造, 以防范ARP欺骗攻击, 但这需要一定的经费投入, 在此经费没有到位的情况下, 我们还可以采取以下一些方法。

1、预防措施

防范ARP欺骗攻击最主要是做好预防, 具体可以采用以下措施:

(1) 及时更新计算机的病毒库以及升级操作系统。往往病毒就是利用了Windows系统漏洞入侵个人电脑的, 因此局域网内的每一个用户要及时打上安全补丁, 安装杀毒软件定期扫描, 建议启动操作系统和杀毒软件的自动更新功能。

(2) 使用支持ARP过滤的防火墙。出于成本方面的考虚, 往往大家采用大量的非管理型交换机, 无法进行IP+MAC+端口绑定。当单位的计算机数量比较多的时候在PC端进行IP+MAC地址绑定时, 由于机器重启后需要重新绑定, 虽然可以通过编辑批处理文件的方式自动运行, 但工作量无疑是巨大的, 所以可以采用ARP防火墙或者是支持ARP过滤的防火墙。目前比较流行的有Antiarp防火墙、金山ARP防火墙、奇虎360ARP防火墙、瑞星防火墙等。其中AntiARP因其功能强大且安装简单而深受好评。

(3) 将IP地址和MAC地址进行静态绑定。从前面ARP欺骗的工作原理中可以得知, 欺骗者通过修改ARP缓存表中IP地址所对应的MAC地址来达到欺骗的目的, 如果将IP地址与MAC地址进行静态绑定, 使之不能修改, 则欺骗者的伎俩无法得逞。

(4) 利用各种监测网络的软件及硬件可以检测局域网中每台计算机发出的ARP数据包, 能够发现是否存在ARP欺骗, 以及哪台计算机正在进行ARP欺骗。

2、处理措施

当局域网内已被ARP欺骗攻击, 可以采用以下处理措施。

(1) 客户端将IP地址和MAC地址进行静态绑定

编辑批处理文件jxcia.bat如下

@echo off

arp-d*

arp-s 192.168.1.254 AA-BB-CC-DD-EE-FF

其中:192.168.1.254 AA-BB-CC-DD-EE-FF需要更改为具体的网关IP地址和MAC地址。

Echo off是关闭回显, arp–d*是清空arp表, 最后arp–s是为主机加入一条静态arp记录, 用以保证能够正常访问到网关。把jxcia.bat加入到C:Documents and Settingszhl「开始」菜单程序启动其中, zhl为本地用户开机启动的用户名。

将IP地址和MAC地址进行静态绑定也可以采用编辑注册表, 键值如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

“MAC”=”arp s网关IP地址网关MAC地址”

然后保存成Reg文件以后在每个客户端上点击导入注册表。

(2) 查找并清理毒机

采用技术手段, 查找到感染ARP病毒的计算机。

查找方法一, 在电脑上ping一下网关的IP地址, 然后使用ARP-a的命令看得到的网关对应的MAC地址是否与实际情况相符, 如不符, 可去查找与该MAC地址对应的电脑。

查找方法二, 使用抓包工具, 分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己, 有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易, 第二种处理比较困难, 如果杀毒软件不能正确识别病毒的话, 往往需要手工查找感染病毒的电脑和手工处理病毒, 比较困难。

查找方法三, 使用mac地址扫描工具, nbtscan扫描全网段IP地址和MAC地址对应表, 有助于判断感染ARP病毒对应MAC地址和IP地址。

查找到毒机后, 将其从网络中断开, 然后杀毒。

四、结束语

ARP病毒是利用协议的缺陷进行攻击, 目前要重新设计更改ARP协议是不现实的, 因此网络避免不了ARP攻击, 但我们可以通过采用软、硬件的办法, 双管齐下, 尽量预防网络受到ARP攻击, 使ARP攻击的危害降到最低。解决及防范ARP病毒欺骗有更多更好的方法, 这还有待于我们继续探索研究。

参考文献

[1]陈一匡:《浅析ARP欺骗对校园网的危害及防范》, 《电脑知识与技术》, 2009. (5) 。

[2]程渊:《大型校园网防范ARP病毒入侵方案》, 《科技创新导报》, 2008.04。

[3]张少芳、赵李东:《详解ARP欺骗及防范方法》, 《大众科技》, 2009. (1) 。

浅析ARP欺骗攻击与防范 第9篇

随着计算机技术、网络技术、电子通信等技术的发展, 网络的应用越来越深入的到社会的各个行业, 随之而来的是人们对于接入网络的高效和安全问题的关注, 在网络应用的众多问题中, ARP欺骗攻击也日益被提到关注的重点上。

ARP攻击是指黑客利用ARP协议缺陷的基本原理, 通过在局域网内一台终端或服务器上发布欺骗ARP广播包以达到非法活动的目的。由于ARP广播协议本身存在的缺陷, 无法辨别来自网络范围内任何一台机器的ARP数据包的真伪。所以, 防止ARP攻击, 需要从网络整体结构上加强对MAC地址的综合管理防止各机器ARP表混乱, 并通过网络范围内ARP广播包分析以快速检测到攻击源位置。

2 ARP工作原理

连接到互联网上的计算机需要两个地址:一是MAC地址 (网卡地址) ;另一个是IP地址。ARP (地址转换协议) 就是解决主机和路由器在物理网络上发送分组时, 如何将32位IP地址转换成48位物理地址的问题, 它允许主机在只知道同一物理网络上一个目的站IP地址的情况下, 找到目的主机的物理地址。

在ARP工作中PC机1准备向PC机2发送数据, 已知它知道PC机2的IP地址IPB。通过比较IPB与子网掩码, 判断PC机1与PC机2是否在同一网段。如果是PC机1检查本机上ARP缓存存在IP/TCP对, 则直接发送数据, 否则广播ARP请求, 请求IP地址为IPB的PC机2做出响应。ARP请求包发出后, 同一网段内的所有主机接收到这个请求, 但只有PC机2识别它的IP地址, 并发出一个包含其MAC的应答。A接收到应答后, 更新本机上的ARP缓存, 然后用该MAC把数据包直接发送给PC机2;如果PC机2与PC机1不在同一网段, 则PC机1广播ARP请求来解析本地网关的MAC地址, 发送数据至网关, 然后判断网关与PC机2是否在同一网段。如果是则查找ARP缓存, 有IP/MAC对则转发数据, 无则继续广播ARP请求。

3 ARP欺骗危害与常见攻击形式

3.1 欺骗危害表现

主要现在以下几方面: (1) 网络访问速度变慢、频繁掉线、或网络时断时续。 (2) 同一网段的所有上网机器均无法正常连接网络。 (3) 打开windows任务管理器, 出现可疑进程。 (4) 查看交换机的ARP列表记录中看到大量的MAC更换信息。

3.2 常见攻击形式

(1) 简单欺骗攻击。通过发送伪造的ARP包来欺骗路由 (网关) 和目标主机, 让目标主机认为这是一个合法的主机, 便完成了欺骗。 (2) 嗅探攻击。在局域网中小的办公室环境下可能会使用HUB来进行互连, 这是一种广播的方式, 每个包都会经过网内的每台主机, 通过嗅探就能捕获到整个局域网的数据, 在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。 (3) 拒绝服务攻击。用不存在的MAC地址来更新ARP缓存中的MAC地址, 导致发送到该MAC的数据包丢失攻击者将目标主机中的ARP缓存MAC地址全部改为不存在的地址, 致使目标主机向外发送的所有以太网数据包丢失。 (4) 全子网轮询欺骗。全子网轮询欺骗是网络黑客取得点上突破后, 继续篡改被攻击主机中关于网络内多台主机的ARP记录, 这台被攻击的主机为网关或网络内任何一台非网关的主机, 被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。

4 ARP欺骗防范策略

4.1 IP-MAC-交换机端口捆绑

现有的二层及以上交换机进行IPMAC一交换机端口配对绑定, IP只能在指定交换机端口使用, 防止内部ARP攻击机发送虚假IP地址, 虚假MAC地址, 伪造网关, 进行欺骗攻击。

4.2 批处理命令实现主机双向绑定

创建PC机上的绑定脚本文件以在XP系统上的设置为例, 采用双向绑定的方法解决并且防止ARP欺骗。

将文件中的网关IP地址和MAC地址更改为实际使用的网关l P地址和MAC地址即可。

4.3 配置安全防火墙

防火墙软件被安装在正常主机上后, 能有效地防范自身被ARP欺骗, 并能检测出感染主机的MAC地址。

4.4 网络检测

配置主机定期向中心管理主机报告其ARP缓存的内容。这样, 中心管理主机上的程序就会查找出两台主机报告信息的不一致, 以及同一台主机前后报告内容的变化;利用网络嗅探工具连续监测网络内主机硬件地址与IP地址对应关系的变化, 以便找出潜在的安全隐患。

摘要：目前局域网环境中ARP欺骗是黑客最为常用的攻击手段。其主要目的是在于篡改网站内容、嵌入恶意代码、盗取用户帐号、发布不良信息, 监听传输数据等非法活动。通过分析ARP协议的工作原理, 讨论了ARP协议从IP地址到物理地址解析过程中存在的安全隐患, 给出了常见的ARP攻击的方法, 并着重讨论了不同网络环境下ARP欺骗的防范策略。

关键词：ARP,欺骗攻击,防范

参考文献

[1]蔡艳, 蔡豪, 李娜.ARP病毒攻击及局域网防范.电脑知识与技术.2011, 07 (26) .

“ARP攻击与防范”课程实验设计 第10篇

网络协议安全是网络安全中的重要领域,研究ARP协议及其在网络攻防中的应用具有积极的意义。但ARP攻击方式在不断变换,就连一些资深的网络管理员也为此感到十分头疼。更何况学校里没有实际工作经验的学生。基于此,本文设计了一套ARP攻击与防范实验方案,增强学生对ARP协议、ARP攻击原理的理解,并提高对网络实际操作和故障解决的能力。

1 ARP协议工作原理

ARP协议,全称Address Resolution Protocol,中文名是地址解析协议,它工作在OSI模型的数据链路层,用于将IP地址转化为网络接口的硬件地址(MAC地址)。无论是任何高层协议的通信,最终都将转换为数据链路层硬件地址的通讯。

当网络中一台主机要向另一台主机或者路由器发送数据时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如有,就直接将数据包发送到该MAC地址;如无,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址,此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到该ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并以超时则删除的策略加以维护。

ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP Reply包或ARP广播包都会接受并缓存,这就为欺骗提供了可能。

2 ARP攻击原理

ARP欺骗的核心思想是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。

2.1 ARP攻击过程

设在同一网段的三台主机:A、B、C。其IP地址和MAC地址映射关系如表1所示。

假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,收集信息,发现B的漏洞,使B暂时无法工作。然后C发送一个源IP地址为192.168.0.3源MAC地址为BB:BB:BB;BB:BB:BB的包给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP/MAC地址映射对,即192.168.0.2CC:CC:CC:CC:CC:CC。这样,A就将发往B的数据包发向了C,这就是典型的ARP欺骗过程。

2.2 ARP攻击方式

根据影响网络连接的方式,ARP欺骗技术主要有:对路由器ARP表的欺骗、对局域网内的主机网关欺骗以及IP地址欺骗等等。其中伪造网关是一种典型的ARP欺骗。就是建立假网关,让被它欺骗的主机向假网关发数据,造成无法通过正常的路由器途径上网。虽与其它主机可以连接,就是上不了网了,“网络掉线了”。

3 ARP攻击与防范实验

利用WinArpAttacke的Send功能实现ARP攻击,主机1对主机2发动ARP攻击,导致主机2无法与外界通信,即主机2与主机3ping不同。实验网络拓扑结构如图1所示。

1)运行WinArpAttacke软件,在Opitions中选择IP地址192.168.10.0网段的网卡Adapter,确定。点击“Scan”能够扫描出这个网段中存活的主机及对应的MAC地址。也可以采用ipconfig/all和arp-a命令获得被攻击前各主机的Mac地址,各主机IP地址及Mac地址对应如表2所示。攻击前各主机均能ping通。

2)主机1发动ARP禁止上网攻击,告诉主机2网关的MAC地址是一个假的MAC地址(00-11-22-33-44-55),则主机2要发往网关的数据都发不到真正的网关上,在主机1上设置Dst Hardware Mac:00-15-58-E8-C2-7B,Src Hardware Mac:00-15-58-E9-0A-C0,Ds Protocol Mac:00-00-00-00-00-00,Scr Protocol Mac:00-11-22-33-44-55,Dst IP:192.168.10.20,Src IP:192.168.10.254。选中“Continuously”发送连续欺骗,点击“Send”发送,则主机2会认为网关192.168.10.254的MAC地址为00-11-22-33-44-55,所以主机2Ping不通主机3。

3)ARP禁止上网攻击的防御:

我们可以在交换机上打开Port Security Arp Check开防止ARP欺骗,配置步骤如下:

配置完毕之后,主机1和主机2打开Ethereal软件进行监听,主机1再对主机2发动ARP禁止上网攻击,通过监听可以看出,主机1发送了ARP数据包但得不到应答,而主机2根本没有收到主机发送过来的ARP数据包,主机2还是可以与主机3之间正常通信。原因在于交换机收到端口5的arp的数据包的地址不是设定的192.168.10.10,则将数据包丢弃,从而防止了ARP欺骗。

4 总结

ARP欺骗是一种典型的欺骗攻击类型,它利用了ARP协议存在的安全隐患,以及通过使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。笔者承担计算机网络技术专业的“网络信息安全”课程教学,在讲到“ARP攻击与防范”课题时采用了这个实验,将抽象复杂的网络协议与实际应用结合起来,极大提高了学生实验积极性,学生反应良好,达到了较好的学习效果。

参考文献

[1]任侠.ARP协议欺骗原理分析与抵御方法[J].计算机工程,2003,29(9):1272128.

[2]傅军.基于ARP协议的欺骗及其预防[J].中国科技论文在线,2007(1):55258.

[3]马宜兴.网络安全与病毒防范[M].上海:上海交通大学出版社,2007:32.