ARP欺骗检测方法

ARP欺骗检测方法（精选9篇）

ARP欺骗检测方法 第1篇

目前, 由于ARP攻击而导致企业网络瘫痪的例子举不胜举, ARP攻击通过伪造IP地址和MAC地址实现ARP欺骗, 在网络中产生大量的ARP通信量使网络阻塞, 很多企业面对这些攻击束手无策, 因此ARP协议攻击检测方法的研究对网络安全具有重要的意义。

2 ARP原理

ARP协议是地址解析协议 (Address Resolution Protocol) 的英文缩写, 它是一个数据链路层协议, 工作在OSI七层模型的第二层, 它将网络层的IP地址映射到数据链路层的MAC地址, 以便将IP报文封装成以太帧发送, 达到通过IP地址访问以太网的目的。在局域网中, 一台主机要和另一台主机进行通信, 必须要知道目标主机的IP地址, 但是以太网中传输的数据包是以太包, 其寻址是依据其首部的物理地址 (MAC地址) 。因此仅仅知道某主机的逻辑地址 (IP地址) 并不能发送数据给目标主机。在网络数据链路层中传输的是“帧”, 帧里面就有目标主机的MAC地址, 是通过地址解析协议获得的。“地址解析”是指主机在发送帧前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目的设备的IP地址查询其MAC地址, 使两者之间建立了一种对应关系, 从而保证通信的顺利进行。对这种对应关系的查询基于ARP缓存表。在局域网的任何一台主机都在自己的ARP缓冲区中建立一个ARP缓存表, 该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。

3 ARP攻击的种类

3.1 基本的ARP欺骗

攻击主机D (MAC:dddd-dddd-dddd) 通过发送伪造的ARP包给局域网内的其他主机, 宣布自己的IP地址为172.16.1.1, 把自己伪造成网关设备A。其他主机学习到伪造的ARP包, 误把网关A的MAC地址解析为dddd-dddd-dddd, 则所有访问外网的数据包都送给攻击主机D, 如果D不予转发, 则外网通信也就中断了。同理, 攻击主机D还可以通过ARP欺骗伪造成二层网络内的其他主机。

3.2 交换环境的流量嗅探

在ARP欺骗的基础上, 攻击主机可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。主机B (IP:172.16.1.2, MAC:bbbb-bbbb-bbbb) 与主机C (IP:172.16.1.3, MAC:cccc-cccc-cccc) 互访。攻击主机D发送ARP欺骗包给B, 将自己伪装成C;同时又发送ARP欺骗包给C, 将自己伪装成B。这样B和C之间的互访都要通过D, 流量就被监听了。同理, 如果主机B要访问外网, 需要和网关A通信。D通过给A和B分别发不同的ARP欺骗包, 就可以监听主机B访问外网的流量。

3.3 ARP泛洪

攻击主机D发送多个ARP欺骗包, 把自己的IP伪装成172.16.1.2-254等, 从而占用大量的ARP表项。如果网络中存在多个攻击主机伪造大量的ARP表项, 则可能使交换机的ARP表项被耗尽溢出, 从而影响整个网络的正常通信。

3.4 基于ARP欺骗的Do S

Do S又称拒绝服务攻击, 当大量的连接请求被发送到一台主机时, 由于主机的处理能力有限, 不能为正常用户提供服务, 便出现拒绝服务。这个过程中如果使用ARP欺骗来隐藏自己, 则被攻击主机的日志上就不会出现真实的IP, 从而给寻找Do S攻击源带来很大的困难。

4 ARP欺骗攻击的检测

4.1 抓包分析

使用抓包软件 (如windump、snifferpro等) 在局域网内抓ARP的reply包, 以windump为例, 192.168.0.1是网关地址, 抓下来的包只分析包含有reply字符的, 格式如下:

如果最后的MAC地址不是网关的真实MAC地址的话, 那就说明有ARP欺骗存在, 而这个MAC地址就是那台进行ARP欺骗主机的MAC地址。这种方法简单易行, 无需特别权限设置, 所有用户都可以做, 误判率较小。但必须在局域网内部 (广播域内部) 听包才有效。

4.2 对IP-MAC的监控

在网络正常时, 使用NBTSCAN工具扫描全网段的IP地址和MAC地址, 保存一个全网的IP-MAC地址对照表备用。

4.2.1 登陆局域网的上联三层交换机, 并查看交换机的ARP缓存表。

如果在ARP表中存在一个MAC对应多个IP的情况, 就表明极可能存在ARP欺骗攻击, 而这个MAC就是欺骗主机的MAC。

4.2.2 在接入二层交换机上利用转发表找出病毒机器的MAC-PORT对应的网络端口, 对端口进行隔离或对该MAC的数据包进行过滤。

也可使用NBTSCAN或者NETROB0COP软件找出网段内与该MAC地址对应的IP, 对其进行查封或杀毒处理。该方法的优点是对ARP攻击源进行封堵。可防止中毒机器利用其它机器的漏洞进行病毒传播。可及时地将攻击源隔离出网络, 使病毒机器暂时不能上网也不会对整个网络造成危害。但该方法也存在一定的局限性.它的实现对网络交换设备有较强的依赖性。系统要求不断收集三层交换机上的IP-MAC信息和各接入层交换机的MAC-PORT信息表。用户端口一旦被查封, 一定要通过其它方式告知用户, 请用户及时处理病毒机器。机器恢复正常时应及时开通被查封的端口。

结束语

ARP本身并不能造成多大的危害, 一旦被结合利用, 其危险性就不可估量。由于ARP的漏洞所在, 对ARP攻击的防范也很被动, 我们只有提高防范意识, 密切监控网络运行情况, 及时对病毒进行查杀, 才能保障网络的安全畅通。

参考文献

[1]宋志.基于PVLAN技术的防ARP欺骗技术探讨[J].电脑知识与技术, 2005 (4) :377-378, 383.

[2]管荣荣, 罗红飞.图书馆局域网防ARP病毒攻击方法探讨[J].农业图书情报学刊, 2008, 20 (4) :26-29.

[3]孔祥翠, 郭爱章, 耿玉水.校园局域网防ARP病毒的研究和解决[J].计算机安全, 2008 (3) :95-96, 100.

[4]黄玉春, 王自南.浅谈局域网中的嗅探原理和ARP欺骗[J].大众科技, 2006 (8) :84

ARP欺骗检测方法 第2篇

ARP类型的攻击最早用于 之用，网内中毒电脑可以伪装成路由器，盗取用户的密码， 后来发展成内藏于软件，扰乱其他局域网用户正常的网络通信。

作为网管的你可能会有此经历――网络频繁掉线，速度变慢，你对此却无从下手。这可能就是网络遭受ARP攻击表现，下面介绍五种简单方法帮助你快速解决之。

第一、建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

第二、建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

第三、网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP 不匹配，

这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

第四、网关机器关闭ARP动态刷新的过程，使用静态路由，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

192.168.2.32 08:00:4E:B0:24:47

然后再/etc/rc.d/rc.local

最后添加：arp -f

生效即可

第五、偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。

简述ARP欺骗原理及解决方法 第3篇

关键词：ARP欺骗；IP地址；MAC地址

中图分类号：TP393.18 文献标识码：A文章编号：1007-9599 (2011)05-0000-01

Brief Introduction of ARP Spoofing Outlined Principles and Solutions

Shen Haiwan

(School of Information Engineering, Zhejiang,Huzhou313000,China)

Abstract:With the extensive application of the Internet, "ARP" deceit-like virus outbreak followed, full of different parts of our network management to bring our wide range of issues. ARP (Address Resolution Protocol, Address Resolution Protocol) is a located in the TCP / IP protocol stack in the low-level protocol, responsible for IP address resolution into a corresponding MAC address. Once the link error, we can not communicate properly and the target host, resulting in paralysis of the entire network. In this paper, principle of ARP spoofing and a number of solutions is briefly described.

Keywords:ARP spoofing;IP address;MAC address

一、ARP的工作原理

ARP是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。整个解析过程是一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址数据包，通过MAC地址两个主机就可以实现数据传输了。

二、ARP欺骗原理

一般计算机中的原始的ARP协议，假如把ARP协议看成一个人，那么它就像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP欺骗攻击的包一般有以下两个特点：第一，以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配；第二，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。

将ip地址转换为mac地址是ARP的工作，在网络中发送虚假的ARP respones，就是ARP欺骗。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

三、ARP欺骗的症状

计算机网络连接正常，有时候PC无法访问外网，重新启动路由器又好了，过一会又不行了；用户私密信息被窃取；局域网内的ARP广播包巨增，使用ARP查询时发现不正常的MAC地址，或者是错误的MAC地址，还有一个MAC地址对应多个IP的情况；局域网内出现网络拥塞，甚至一些网络设备当机。

四、ARP欺骗的判别

假如网络出现掉线了,是ARP造成的，如何去判断？如果用户发现以上疑似ARP欺骗的情况，可以通过如下操作进行诊断：点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

五、ARP问题解决

现在看到ARP解决方案，主要有以下的二种。

（一）静态绑定（IP+MAC法）。解决ARP欺骗最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。 欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。下面简单介绍下具体绑定方法：

1.对每台主机进行IP和MAC地址静态绑定。2.arp -s可以实现 “arp –s IP MAC地址 ”。例如：“arp –s 192.168.0.1 CC-CC-CC-CC-CC-CC”。3.设置成功会在PC上面通过执行arp -a 可以看到相关的提示：

Internet Address Physical Address Type

192.168.0.1 CC-CC-CC-CC-CC-CC static(静态)

（二）主动维护（路由器ARP广播）。现在很多路由器具有ARP广播功能,它的原理是路由器不间断的广播正确的路由器ARP。例如:路由器的IP是192.168.0.1 MAC:11:12:13:14:15:16,那它就会不停的每秒广播自己的正确ARP。不管你内网机器是否喜欢收,1秒收一个一秒收一个,收到了就改一次ARP表。无穷无尽无止无息,如果出现ARP欺骗,欺骗者发出欺骗信息,PC刚收到欺骗信息就收到了正确信息。所以问题也就解决了。但是有个隐患,就是广播风暴的问题。不间断的广播是会影响内网的网络。以每秒次的频率发送APR广播在内网是微乎其微的,因为任何一个机器都会有广播发生,多一个ARP最多相当于多几台机器的信息量,对内网是不会有影响的。但是这种方式有它的问题,当欺骗者加大欺骗ARP的频率超过路由时(在欺骗软件上面实现非常容易),还是会造成欺骗的效果。解决也应该很简单就是加大路由器的广播频率,但是这样也未必能解决好问题。因为当你使用超量路由器ARP广播的时候，网络内部容易造成混乱，为了一个ARP，7*24小时折腾网络，致使网络的性能大大的下降。

六、结论

不坚定的ARP协议，注定了它成为网络攻击时被利用的对象，近些年来，ARP欺骗在网络上一直很猖獗，给广大用户带来了极大的损失。所以我们只有了解它，才能采取有效的防范措施，通过本文的阐述，让大家对ARP欺骗有一定的了解，能够采取一些行之有效的防范措施，为构建和谐网络社会起到积极作用，促进信息社会健康发展。

参考文献：

[1]雷震甲.网络工程师教程[M].清华大学出版社,2006

校园网ARP欺骗检测与防范 第4篇

长期以来ARP欺骗一直是对网络安全的严重威胁。高校校园网主机规模庞大, 网络游戏玩家众多, 加之比较容易接受新事物的学生, 对各种软件的下载与应用 (其中很多软件未必安全) , 种种因素使得高校校园网普遍成为网络安全的“重灾区”。中国矿业大学校园网核心层为思科6500系列三层交换机, 分布层和接入层采用思科和瑞捷交换机, IP地址采取静态分配。本篇所讨论的ARP防治策略, 即是在此种网络环境下归纳的。

1 ARP欺骗鉴定方法

1.1 个人用户鉴定方法

(1) 检查本机的“ARP欺骗”木马病毒进程

进入“任务管理器”, 点选“进程”标签, 查看其中是否有一个名为“MIR0.dat”的进程。如果有, 则说明已经中毒。多数ARP欺骗木马进程都是这个, 但也有一些其他的。

(2) 检查网内感染“ARP欺骗”木马病毒的计算机

在“命令提示符”下输入并执行“ipconfig”命令, 记录网关IP地址, 即“Default Gateway”对应的值, 例如“192.168.18.1”。然后执行“arp-a”命令查看自己网关MAC地址, 如若变成和内网一机器MAC地址相同, 可据此断定内网有机器中了ARP网关欺骗型病毒。本操作前提是知道网关的正确MAC地址, 可在正常上网主机上, 使用“arp-a”命令查看网关M A C地址, 通过对比查看网关M A C地址是否被修改。

1.2 网管人员鉴定方法

(1) 查看CPU利用率

附:6月21日校园网核心设备Center6509_super720日志

网络运行状况良好时, 该设备利用率应为10%左右, 据此可知此时设备利用率偏高, 且网络ARP欺骗型病毒特征明显。

(2) 查看ARP表

用三层设备接入校园网的单位, 网管可以检查其三层设备上的ARP表。如果有多个IP对应同一个MAC, 则此MAC对应的计算机很可能中了木马病毒。可通过下连二层交换机的转发表查到此MAC对应的交换机端口, 从而定位有问题的计算机。

附:6月21日Center6509_super720日志, 还有多条记录, 限于篇幅, 本文所有举例都只抓取具有代表性的几条。

(3) 查看路由日志

通过分析路由器运行日志, 可以了解到一些诸如IP地址冲突, 一个MAC对应多个IP的信息。然后再通过其他命令具体分析。

以校园网核心设备为例:Center6509_super720#sh logging

(4) 抓包分析

可通过Sniffer等抓包工具抓取来自交换机端口的数据包进行分析, 以确定ARP欺骗病毒特征, 并定位攻击源主机。

如图1所示为2007年5月4日核心交换机某端口协议柱状图, 从图上可看出ARP欺骗病毒特征明显。

2 ARP欺骗防治策略

2.1 个人用户防治策略

(1) 清空ARP缓存

点击“开始”按钮->选择“运行”->输入“arp-d”->点击“确定”按钮, 然后重新尝试上网, 如能恢复正常, 则说明此次掉线可能是受ARP欺骗所致。

(2) 临时静态ARP缓存表

通过执行“arp-s 210.31.197.94 00-03-6b-7f-ed-02”, 临时绑定主机IP与MAC地址。

(3) 总是静态ARP缓存表

通过建立一批处理文件, 绑定IP和MAC。方法如下:

每次开机, 计算机都会执行一次静态ARP地址绑定, 从而较好地防范ARP欺骗。如果能在机器和路由器中都进行绑定, 效果会更好。

(4) 采用针对性较强的杀毒软件

趋势、诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒。查杀病毒并非完全抵御ARP攻击, 但可避免主机成为ARP攻击源。

(5) 采用防ARP欺骗软件

ARP防火墙、风云防火墙等, 都是针对性较强的防ARP欺骗攻击软件, 可以起到防范甚至追踪ARP攻击源的作用。

(6) 目前已知以下程序带有此类ARP病毒, 应慎用

传奇2冰橙子1.44版、传奇2及时雨PK版、网吧传奇杀手、QQ第六感、P2P终结者、网络执法官等类似程序。

2.2 网络管理防治策略

(1) IP+MAC访问控制

使用可防御ARP攻击的三层交换机, 在端口绑定IP和MAC地址, 限制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止IP、MAC地址盗用, 杜绝ARP攻击。

(2) 网络追踪与限制

网络管理人员借助Sniffer监听软件, 并结合交换机或路由器自身命令, 可实现对ARP攻击源的追踪、定位与限制。下面以中国矿业大学图书馆ARP欺骗解决步骤来详细阐明, 图2为图书馆网络拓扑。

第1步, 发现问题

2007年5月10日上午10时, 校园网核心设备Center_6509交换机CPU利用率一直很高, 接近100%。

交换机采样如下:

CPU utilization for five seconds:99%/5%;one minute:99%;five minutes:95%

Center6509_super720#sh proc cpu history

查看历史记录, 发现近一个小时, CPU利用率一直接近100%, 这显然是不正常的。

第2步, 缩小范围

交换机2模块是与各单位进行连接的千兆接口, 承载大部分的流量。先逐个停掉2模块各端口测试, 最终确定是连图书馆方向的6号端口存在问题。停掉6号端口, 交换机CPU利用率立刻就降到正常水平, 打开6号端口, 再次升高。

第3步, 深入追查

图书馆方向是瑞捷4909交换机。登录该交换机, 采用第二步的方法, 确认是5模块的1号端口存在问题。分析如下:

Library (config) #inte fast Ethernet 5/1

Library (config-if) #sh

Center_6509核心交换机CPU利用率立刻恢复正常, ARP特征不再明显。

CPU利用率具体采样如下:

第4步, 抓包分析

至此可断定Fa5/1下连网段存在问题。具体哪些主机存在问题, 还需要进一步分析。

接下来采用Sniffer监听软件, 抓取数据包进行深入分析。在Library_4909上, 重开Fa5/1端口。将装有Sniffer的笔记本连接至Center_6509的Fa4/11端口, 抓取Gi2/6端口的数据包。在Center_6509上对源和目的监听端口的配置如下:

monitor session 1 source interface Gi2/6 rx

monitor session 1 destination interface Fa4/11

用专家系统抓包, 查看如图3所示协议矩阵, 发现“0040.ca65.e888”这个MAC地址ARP流量特别大, 这个就是最可能的攻击源。

第5步, 准确定位

回到Center_6509交换机上, 用命令查看这个MAC地址的状态。

0040.ca65.e888这个MAC地址, 同时对应若干个IP地址, 这是一种典型的ARP攻击现象。这可能是由两种原因导致的:该用户明知故犯, 实施了主动攻击;该用户中了ARP病毒, 实施了被动攻击。

可见, Fa5/1下连的0040.ca65.e888就是攻击源, 与上面的排查结果吻合。

第6步, 强制策略

在Library_4909交换机上做MAC地址过滤

mac-address-table static 0040.ca65.e888 vlan 67 interfac fast Ethernet 5/1

Center_6509交换机立刻接收不到有关这个MAC地址的数据包。

具体采样如下:

Center6509_super720#sh arp|include 0040.ca65.e888

Center6509_super720#

这个严重影响网络运行效率的问题, 至此得到解决。

(3) 子网内部定位攻击源

网络管理人员采用以上方法, 可以及时查到攻击源MAC地址。但是当子网内发生ARP欺骗行为时, 受影响主机在交换机上统一显示为攻击源MAC地址, 如何在出现问题的子网内部准确定位攻击源主机, 还是网络管理人员需要考虑的问题。“netscan”命令即是一个行之有效的方法。下面以设计院ARP攻击解决过程为例予以说明。

2007年9月10日上午, 设计院整个单位的网络运行缓慢, 甚至时断时续。通过在核心交换Center_6509上运行相应命令, 获知0020.ed17.659d与0020.eda7.0d79这两个MAC存在典型的ARP攻击行为。

在设计院某台主机上, 运行“nbtscan”命令, 查找子网主机的真实M A C地址。具体如下:

据此可轻易查到攻击源211.70.222.173与211.70.222.188对应的主机。在网络管理人员判断主机所有者时, Net BIOS Name也是一个参考因素。分别找到这两台主机查看, 发现均没有安装杀毒软件。将这两台主机断开网络连接, 整个网络恢复正常。对相关网络管理人员来说, 这是一个很直观的教训。为所有的联网主机安装杀毒软件, 是一个不可或缺的步骤。

nbtscan是一个扫描Windows网络Net BIOS信息的小工具, 一般系统不自带, 可以在网络上下载。

3 结语

个人用户要增强网络安全意识, 及时下载和更新操作系统补丁程序, 安装正版杀毒软件, 及时更新病毒库, 增强个人计算机防御计算机病毒的能力。不轻易下载、使用盗版或存在安全隐患的软件, 不随便打开来历不明的电子邮件, 尤其是邮件附件, 不随便共享文件和文件夹, 以免个人计算机受到木马病毒的入侵。同时, 网络管理人员还要养成经常监控网络流量的好习惯。院系机房以及学校网络管理部门, 要逐级建立比较全面的MAC地址库, 便于发现问题及时定位。

摘要：本文从用户和网络管理人员的角度入手, 从实战出发, 分别阐述了针对不同层次ARP欺骗的防治策略, 具有较强的针对性和可操作性。

关键词：ARP欺骗,局域网,MAC地址

参考文献

[1]思科网络技术学院教程.美.cisco system公司.cisco network-ing academy program著.

详解ARP欺骗及防范方法 第5篇

（一）什么是ARP协议

ARP协议全称为Address Resolution Protocol(地址解析协议)，功能是实现主机IP地址和MAC地址之间的映射关系。在以太网中，网络中实际传输的数据格式为“帧”，而帧中必须封装源主机和目的主机的MAC地址，即以太网中的通信需要通过MAC地址来实现。但是在通信中只是给出了目的主机的IP地址，此时就需要通过目的主机的IP地址来找到目的主机的MAC地址，这一过程就是由ARP协议来实现的。

ARP协议的具体工作过程如下：在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，记录该主机已知的本局域网内其它主机的IP地址和MAC地址之间的映射关系。假设当主机A需要和主机B之间进行通信时，主机A首先查询自己的ARP缓存表，如果查询到主机B的IP地址和MAC地址之间的映射关系，则将主机B的MAC地址封装进数据帧进行通信。如果没有查询到相应的记录，则主机A广播发送出目的MAC地址为FF-FF-FF-FF-FF-FF的ARP请求数据包，请求获得主机B的MAC地址。此时，本广播域内所有的主机都会接收到主机A的ARP请求，并将主机A的IP地址和MAC地址之间的映射关系保存到自己的ARP缓存表中，但是只有主机B做出回应，主机A在接收到主机B的响应信息后将主机B的IP地址和MAC地址之间的映射关系保存到自己的ARP缓存表中，并将主机B的MAC地址封装进数据帧进行通信。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，以确保其内容的正确性和实时性。一般每个映射关系的潜在生命周期是10分钟，如果一个表项在2分钟内没有被使用，则会被从ARP缓存表中删除，而即使一直被使用，最长生命也只是10分钟。

（二）ARP欺骗的原理

从ARP协议的工作过程可知：ARP是以信任本广播域内所有主机为基础的。即某台主机只要接收到ARP数据包，就会对自己的ARP缓存表进行刷新，而并不验证该数据包的真实性和可靠性。ARP欺骗正是基于ARP协议的这一特点对网络进行攻击，攻击者可以通过伪造ARP的响应数据包并发送给想要欺骗的主机，使被欺骗的主机获得错误的IP地址和MAC地址之间的映射关系。这一点非常容易实现，因为ARP协议并没有规定必须在接收到ARP的请求数据包后才能发送ARP的响应数据包。因此可以人为的制造一个ARP响应数据包并指定其中的源IP地址、目的IP地址、源MAC地址、目的MAC地址，从而达到欺骗的目的，造成被欺骗的主机无法进行正常的网络通信。而且攻击者还可能使用第三方主机的MAC地址作为伪造MAC地址，这样即使在被攻击的主机上查到了伪造MAC地址，也很难定位哪台主机才是真正的攻击者。

（三）ARP欺骗的种类

1. 假冒网关攻击

攻击者伪造ARP响应数据包发送给被攻击主机，在伪造的ARP响应数据包中源IP地址为网关的IP地址，但是源MAC地址却是伪造的MAC地址。被攻击的主机根据接收到的伪造ARP响应数据包刷新自己的ARP缓存表，获得错误的网关IP地址和MAC地址之间的映射关系。此时，被攻击主机发送到网关的所有流量全部被重定向到伪造的网关MAC地址，造成被攻击主机无法正常访问外部网络。

在局域网遭到假冒网关攻击时，一般表现为在全网配置相同的情况下，唯独某一台或某几台主机无法上网，在对其进行重启操作后即恢复正常，但过一段时间后又出现问题。查看出问题主机上的ARP缓存表可以发现网关的MAC地址为错误地址。

2. 欺骗网关攻击

攻击者伪造ARP响应数据包发送给网关，在伪造的ARP响应数据包中源IP地址为网络中某合法主机的IP地址，但是源MAC地址却是伪造的MAC地址。网关根据接收到的伪造ARP响应数据包刷新自己的ARP缓存表，获得错误的内网某主机IP地址和MAC地址之间的映射关系。此时，网关发送到该主机的所有流量全部被重定向到伪造的主机MAC地址，导致该主机无法正常访问外部网络。

在局域网遭到欺骗网关攻击时，一般表现为网络中的主机逐台掉线，甚至是网络中所有主机均无法上网，重启网关设备(路由器或三层交换机)后即恢复正常，但很快主机又开始掉线。查看网关设备上的ARP缓存表可以发现大量内网主机的MAC地址均为错误地址。

3. 中间人攻击

又称为ARP双向欺骗，主要用于网络监听。攻击者为监听两台主机之间的通信，分别向进行通信的两台主机发送伪造的ARP响应数据包，在伪造的ARP响应数据包中源IP地址为参与通信另一方的IP地址，而源MAC地址均为攻击者的MAC地址。被攻击的两台主机根据接收到的伪造ARP响应数据包刷新自己的ARP缓存表，获得对方IP地址均映射到攻击者的MAC地址上的错误的映射关系。此时，信源主机发送给信宿主机的流量实际上发送给了攻击者，再由攻击者发送给信宿主机。即进行通信的两台主机之间看似直接的通信实际上是通过攻击者间接进行的。在此攻击者扮演了中间人的角色，对通信信息进行窃取和篡改。

在局域网遭到中间人攻击时，一般表现为某台主机突然掉线，过一会儿又自动恢复，但是恢复后上网变得很慢。查看该主机上的ARP缓存表可以发现网关的MAC地址为错误地址，而网关设备上的ARP缓存表中该主机的MAC地址亦为错误地址，并且与主机ARP缓存表中网关的MAC地址相同。同时，还有可能表现为局域网内主机之间通信速度变慢，参与通信的两台主机的ARP缓存表中保存的对方MAC地址均为错误地址并相同。

中间人攻击是比较常见的一种基于ARP欺骗的攻击方式，目前大部分的可以进行不同冲突域之间监听的网络嗅探器均是采用的中间人攻击实现的。

4. 泛洪攻击

攻击者利用工具制造大量的ARP请求数据包，泛洪发往本广播域中的路由器、交换机以及主机设备。一方面导致被攻击者的CPU忙于处理ARP请求，负担过重，造成设备其他功能不正常甚至瘫痪;另一方面，占用大量的网络带宽，使可用网络带宽减少。

在局域网遭到ARP数据包的泛洪攻击时，一般表现为网内主机上网速度很慢甚至无法上网，但查看所有设备的ARP缓存表均没有问题。通过网络抓包软件捕获网络中的数据包可发现大量的ARP请求数据包。

（四）ARP欺骗的防治

1. ARP的双向绑定

通过分析已知，ARP欺骗利用的是对本广播域其他主机的信任，即ARP缓存表总是会依据接收到的ARP数据包进行刷新。因此往往由于信任了伪造的ARP响应数据包而导致被攻击，所以只要不让网关设备和网内主机刷新自己的ARP缓存表即可防范ARP欺骗攻击。在默认情况下，ARP缓存表中的记录类型为“dynamic”，即依据接收到的ARP数据包进行动态刷新的。为防范ARP欺骗攻击，可以将IP地址和对应的MAC地址进行静态的绑定，即进行ARP绑定，使之不进行刷新。IP地址与MAC地址的绑定操作必须在网关设备上以及网内主机上都要实现，即进行双向的绑定。因为如果只是在网关设备或者网内主机上进行单向绑定，则ARP欺骗还是可以通过假冒网关攻击或欺骗网关攻击在网络的另一端达到攻击的目的。

在网关设备上需要对网内所有的主机的IP地址和MAC地址进行静态的绑定，目前一般的宽带路由器等网关设备均支持在图形界面下进行ARP绑定操作，在此不再赘述。在网内主机上则需要对网关设备的IP地址和MAC地址进行静态的绑定，绑定方法为：在命令行模式下，输入命令“arp-s网关IP地址网关MAC地址”。需要注意的是，在网内主机重启后，ARP缓存表内容会丢失，即静态绑定的网关设备IP地址与MAC地址的映射关系也会丢失。因此往往将ARP绑定操作写成批处理文件并放置到“开始—程序—启动”中，使其在系统启动时即被加载执行。

2. 使用ARP防火墙

目前，有很多不同品牌的ARP防火墙软件可供选择，比较流行的有360ARP防火墙、金山ARP防火墙等。尽管厂家和版本不同，但是ARP防火墙一般都具备以下功能：

拦截基于ARP欺骗的攻击。大部分ARP防火墙都可以提供双向的拦截，一方面拦截接收到的外部ARP欺骗数据包，保证系统不受ARP欺骗攻击的影响;另一方面拦截本机对外发送的ARP欺骗数据包，避免本机感染基于ARP欺骗的病毒后成为攻击者。

追踪攻击源和ARP病毒查杀。在拦截到外部ARP欺骗数据包后，可以快速定位攻击者的IP地址，以便管理员及时对其进行处理。在拦截到本机对外发送的ARP欺骗数据包后，可自动定位本机上感染的病毒程序，并对其进行查杀。

主动防御。主动与网关保持通信，通告本机正确的MAC地址，确保网关不被欺骗。

为达到防范ARP欺骗的目的，一般要求局域网内所有的主机都要安装ARP防火墙软件。

3. 细分VLAN，减小广播域

ARP欺骗是在同一个广播域中进行的，一旦有某一台主机受到基于ARP欺骗病毒的感染，会迅速蔓延至整个广播域。如果广播域比较大，一方面会造成大范围的主机受到影响，另一方面也造成定位攻击者的困难。而如果通过细分VLAN，减小广播域的大小，则可以将基于ARP欺骗的攻击有效的抑制在一个很小的范围内，确保网络的大部分不受攻击。而且还可以快速定位到攻击者，以对其进行查杀。

细分VLAN只是缓解基于ARP欺骗攻击的传播、减少ARP欺骗攻击对网络带来的影响。当局域网遭受到ARP欺骗攻击时，在细分VLAN减少对网络影响的同时，还需要配合使用相应的杀毒软件和防火墙软件来进行查杀。

（五）结束语

通过上文对ARP欺骗的实现原理以及基于ARP欺骗的攻击方法进行深入的分析，使我们对于ARP欺骗有了一个比较具体的认识，并能够给出防治的方法。当然，在实际的网络环境中，可能会碰到很多不同种类的基于ARP欺骗的攻击，但万变不离其宗，只要掌握了ARP欺骗的原理，对症下药，就可以解决基于ARP欺骗的攻击，打造安全的局域网。

参考文献

[1]徐敬东, 张建忠.计算机网络[M].北京:清华大学出版社, 2006.

[2]Cisco Systems公司.思科网络技术学院教程 (第一、二学期) [M].北京:人民邮电出版社, 2007.

浅谈ARP欺骗原理和解决方法 第6篇

1 ARP欺骗原理

在同一网内的所有机器是通过MAC地址通讯的。方法为, PC和另一台设备通讯, PC会先寻找对方的IP地址, 然后在通过ARP表调出相应的MAC地址, 实现与对方通讯。也就是说在局域网内各设备互相通讯是依据MAC地址, 而不是IP地址。

ARP在设计没有考虑过多的安全问题, 所以给ARP留下很多的隐患, 其中ARP欺骗就是其中一个例子。网内的任何一台机器都可以轻松的发送ARP广播, 来宣称自己的IP和自己的MAC。这样收到的机器都会在自己的ARP表格中建立一个IP和MAC地址项, 而不去管是否是正确的。例如:10.13.27.5/23机器MAC是00-13-20-9E-1E-2B。它在内网广播自己的IP地址是10.13.26.1 (网关IP) , MAC地址是00-13-20-9E-1E-2B (它自己的真实MAC) .这样大家会把发给网关10.13.26.1的信息和发给00-13-20-9E-1E-2B.也就是10.13.27.5有了这个方法后欺骗者只需要做一个软件, 在网内想骗谁就骗谁。往往做这些软件的人可能都是木马程序员, 捆绑在外挂或其它软件上, 能自动找到网关, 截取局域网内的帐号密码, 并发到他自己的邮箱上。

基于原理, ARP在技术上面又分为, 对PC的欺骗和对网关的欺骗;它们的区别在后面的ARP解决里面仔细阐述。

2 ARP欺骗的起因

网络游戏兴起后, 网络盗号, 木马也跟着疯狂。ARP欺骗就是一种很好的盗号方式。捆绑有ARP攻击方式的木马外挂, 会先找到局域网的网关MAC地址, 然后发送自己ARP欺骗, 告诉同个子网内所有的机器自己就是网关, 所有出口的信息都往我这里发。例如:10.13.27.5 MAC 00-13-20-9E-1E-2B机器为欺骗者的盗号机器, 首先, 它会先找到网关 (内网网关为10.13.26.1 MAC为00-13-20-9E-1E-2B) 。之后它就会发送ARP广播, 说自己的IP地址是10.13.26.1MAC地址是00-13-20-9E-1E-2B.这样, 同一子网内所有收到它发信息得机器都会误认为它就是本子网的网关。所有上网信息都会发送给这个MAC地址的机器, 由于找不到真正的网关, 这些被骗的机器就无法上网。而发送的所有信息都会被这个盗号机器收到, 完成盗号事件。

3 ARP的发现

我们学校网络不能访问外网了, 于是我的手机被打暴了, 查了以后发现是ARP造成的。这里给出方法, ARP的通病就是掉线, 在掉线的基础上可以通过以下几种方式判别。1) 一般情况下不需要处理几分钟之内就可以回复正常上网。因为ARP欺骗是由时限, 过了期限就会自动的回复正常。2) 打开被骗机器的DOS界面, 输入ARP-A命令会看到相关的ARP表, 通过看到的网关的MAC地址可以去判别是否出现ARP欺骗, 但是由于时限性, 这个工作必须在机器回复正常之前完成。3) 装上ARP网盾, 哪个IP进行了欺骗, 真实的MAC地址都能显示。

4 ARP问题解决

ARP解决方案, 有以下三种:

4.1 路由器AR P广播、超量路由器AR P广播

国内部分硬件路由有此功能, 它的原理是路由器不间断的广播正确的路由器ARP。例如:路由器的IP是192.168.1.1MAC∶11∶12∶13∶14∶15∶16, 那它就会不停的每秒广播自己的正确ARP。不管你是否喜欢收, 1秒收一个一秒收一个, 收到了就改一次ARP表。无穷无尽无止无息, 如果出现ARP欺骗, 欺骗者发出欺骗信息, PC刚收到欺骗信息就收到了正确信息.有些厂商相用高速ARP发送来解决这个问题, 但是随之而来的广播风暴的又是一个新的问题。

4.2 静态绑定

ARP解决最有效的方法, 就是从根本杜绝它的欺骗途径。欺骗是通过ARP的动态实时的规则欺骗内网机器, 所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗。方法为:找到路由器的lan口的MAC地址, 把MAC地址通过静态的方式帮定到每台PC上面。通过类似于“ARP-S 192.168.1.1 00-13-32-33-12-11”命令。我们设置的是静态方式。

4.3 MAC/IP双向绑定

第二种办法只能解决自己一台电脑, 网络管理员通过技术手段可以查得真实的IP又如何, 我校电脑600多台, 不可能每台都查过去。为此我们在路由器上做MAC/IP绑定, 只有绑定了MAC的电脑才能上网, IP地址统一由路由器分配 (H3C:ER5200具有MAC/IP绑定, 防ARP攻击, 正能完成本项任务) 。MAC/IP绑定给我校网络安全提供了三个方面的好处。其一是没有登记MAC码的网卡不能上网, 登记MAC码的网卡IP统一分配, 不会出现IP冲突。其二是登记MAC时留下具体使用人的联系方式, 具体电脑位置, 方便找到根源进行整改。其三是有效地防止了周围的无线用户借用我校的大功率AP免费无线上网。

5 结论

前面提到了ARP欺骗可以造成内部网络的混乱, 让某些被欺骗的计算机无法正常访问内外网, 让网关无法和客户端正常通信, 甚至造成网络的瘫痪。我们了解了它存在意义, 了解它的机理。网管员配合单位做好MAC的登记、绑定, 才对ARP欺骗电脑实施“堵”、“杀”、“防”失效后进行“追”查到使用者, 让ARP木马无处可藏。真真正正的和ARP欺骗说再见。

参考文献

[1]雷震甲.网络工程师教程[M].清华大学出版社, 2006.

ARP欺骗攻击的取证和防御方法 第7篇

ARP欺骗是攻击者发送伪造的ARP请求或ARP应答信号发起的攻击行为。当收到一个ARP应答的时候,所有的客户端无论是否发出过ARP请求,都可能会更新本地ARP缓存表。并且ARP协议中,对ARP应答信号的信号源缺少可靠的认证机制,所以无论收到的ARP请求/应答信号是真实的还是伪造的,都会进行处理,这就给网络中的数据传输安全留下了隐患。

1 ARP欺骗攻击类型

1.1 中间人攻击(MITM)

中间人攻击就是攻击者在目标主机与另一方主机(网关或服务器)进行正常通信的过程中,进行拦截、插入、伪造、中断数据包,达到截获对方敏感数据,伪造身份等目的[1]。

1.2 拒绝服务攻击(Do S)

拒绝服务攻击以阻塞正常网络带宽、耗尽服务器内存资源、干扰及破坏正常通信为主。在传统的网络中,Do S攻击已成为攻击者进行恶意破坏大型网站通信、破坏公司网络等极具威胁性的途径[2]。

1.3 MAC泛洪

交换机依靠对CAM表的查询来确定正确的转发接口。攻击者通过伪造大量的ARP应答报文,使CAM表被这些伪造的MA C地址占据,真实的MAC地址却无法进入CAM表,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。此时,任何一个经过交换机的正常单播数据帧,都会以广播帧的形式被处理,导致网络带宽资源被大量的数据包占用。

2 ARP欺骗的检测和取证方法

2.1 检查ARP缓存

受到ARP欺骗攻击的主机ARP缓存表,会保存错误的IP和MAC地址绑定关系,通过对比ARP缓存和可信IP和MAC地址绑定关系,可以分析ARP欺骗攻击类型和攻击源。

2.2 检测ARP数据包

攻击者发起ARP欺骗攻击需要向网络中发送伪造的ARP报文,这些伪造的ARP报文中会重复使用合法的IP地址。如果存在ARP欺骗攻击,ARP报文中IP地址和MAC地址就会出现多对对应关系。并且,ARP应答数据包的包头结构中,含有源MA C地址和目的MAC地址等信息,通过分析伪ARP数据包,可以定位出ARP欺骗攻击的主机。

2.3 网络流量分析

在受到ARP欺骗攻击的网络中,攻击者需要持续发送伪AR P数据包,相比于正常的网络,受攻击的网络中ARP数据包会增多,将导致整个网络中的单播、多播、广播数据包比例发生明显变化。

3 受攻击网络取证分析

3.1 检查ARP缓存表

本地ARP缓存表包含了本地的所有IP地址和MAC地址的对应关系。如果ARP缓存受到中毒攻击,就会出现伪造的IP和MAC地址对应关系。表1所示是受攻击主机的ARP缓存表,缓存表中出现了重复的MAC地址:00-0c-29-f2-3d-a5同时对应着192.168.0.1和192.168.0.117两个IP地址,而网关的的MAC地址实际是be-53-e5-a4-6f-20,IP为192.168.0.117的主机就是ARP欺骗攻击的攻击源,目标是伪装成网关。

3.2 分析ARP数据包

使用wireshark捕获到的受攻击内网流量中的ARP数据包监测显示结果为:Duplicate IP address detected for 192.168.0.117(00:0c:29:f2:3d:a5)–also in use by be:53:e5:a4:6f:20。说明IP地址192.168.0.117被重复使用,说明IP为192.168.0.117的主机发出伪造的ARP包,并且这些伪ARP包中的IP地地址,B很可能发起了Do S攻击或是中间人攻击。

3.3 网络流量分析

通过Ntop分析网络流量可以确定网络上存在的各种问题,判断是否存在ARP攻击行为。表2和表3分别是在正常网络和受攻击网络情况下,主机用Ntop得出的网络流量统计信息。在受到ARP欺骗攻击时,广播流量明显增大到18.0%。广播包很可能就是实施ARP欺骗持续发出的伪ARP包。

3.4 入侵检测

除上述几种措施外,还有很多ARP欺骗检测工具,如XArp、ARPToxin、snort等[3]都可以对基于ARP欺骗的攻击行为进行实时检测。其中,Snort是一个开源的,具有实时流量分析、网络IP数据包记录等强大功能的网络入侵/防御检测系统。这种方法首先要根据具体网络手动配置文件,对网络的变化适应性差。

4 防御措施

4.1 IP地址与MAC地址静态绑定

通常,局域网内IP地址和MAC地址的对应关系是动态的,这是ARP欺骗攻击的前提。如果静态绑定受信任的IP地址和M AC地址,当收到已绑定地址的ARP请求/应答信号后,ARP缓存表就不会进行更新。

4.2 DHCP防护和DAI检测

通过交换机的DHCP ack包或者手工指定,建立和维护一张包含受信任的IP和MAC地址生成的DHCP Snooping绑定表,交换机开启DHCP Snooping后,会检查非信任端口报文中的M AC地址,根据绑定表过滤掉不受信任的DHCP信息,与数据库中的借口信息不匹配的DHCP信息同样也会被丢弃。避免非法冒充DHCP服务器接入。

5 结论

为了保障网络安全,关于OSI各层的安全策略已经做了大量研究。通过数据链路层一直面临着严重的安全威胁。利用ARP协议无状态的特性发起的ARP欺骗攻击危害极大。通过实验室环境验证检查ARP缓存表、ARP包监测、网络流量分析,可以及时发现并定位ARP欺骗攻击行为。最后给出IP地址静态绑定、DHCP防护和DAI检测等安全防护措施,对保护局域网安全具有重要意义。

参考文献

[1]马军,王岩.ARP协议攻击及其解决方案[J].微计算机信息,2006.

[2]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报,2009.

ARP欺骗检测方法 第8篇

自清华大学作为第一所国内大学建立了校园网, 随后越来越多的高校相机开始建立校园网。同时作为园区网的另一个主要团体-公司也开始着手建立本公司的园区网。局域网的建立大大方便了对于一些共有资源的访问。但是目前, 大大小小的园区网中存在的问题众多, 在这其中, ARP欺骗有愈演愈烈的趋势。

1“ARP欺骗”

1.1“ARP中毒”症状

日常生活中我们实际上经常遇到ARP欺骗的现象, 只不过有时候我们没有注意到, 我们的主机只是受到了牵连。本文对于日常中常见的ARP欺骗的现象做如下总结:

(1) 、频繁出现“ip地址冲突”或“某某ip地址与某某MAC地址冲突”的提示信息

(2) 、打开网页非常慢

(3) 、网络连接正常, 但是联网困难, 有时需要多次连才能连上

1.2 ARP欺骗原理

(1) ARP协议

ARP (Address Resolution Protocol) 是局域网内用来进行地址解析的协议, 该协议负责将IP地址映射到MAC地址。

局域网内两台主机之间的通信必须要知道对方的MAC地址, ARP是一种数据链路层协议, 而我们通常所说的IP协议是工作在网络层, 当不同局域网之间通信的时候必须要通过路由器内的路由表进行转发, 而在局域网内部转发数据包的时候需要数据链路层发挥作用。因此真正决定数据包发送目的地址的是MAC地址, MAC地址唯一标识一台主机。当A主机想要与同一局域网内的B主机发送消息时, 首先查找B主机的IP地址在本主机的ARP缓存表中有无对应MAC地址, 若没有, 则发出ARP请求报文, 该请求报文在该局域网内广播, 所有主机都能收到该请求报文, 收到报文的主机查看报文里面封装的IP地址是否与自己的一样, 若相同则把自己的MAC地址写进ARP应答报文中, 发送给发送请求报文的主机。请求主机收到确认报文后, 重新写进自己的arp缓存表中, 更新缓存表。

(2) ARP协议漏洞

ARP协议设置的前提是本局域网内的所有主机都是“可信任的”。所有ARP协议没有对收到的ARP确认报文进行身份认证, 并且也不要求对发出去的每一个请求报文都要求有确认报文, 同时也不对每一个收到的确认报文进行身份认证和是对某一个请求报文的回复。

(3) “ARP欺骗”工作原理

ARP攻击主利用ARP协议不验证收到的回复报文是不是自己所发出的的请求报文的确认, 以及回复者身份是否合法, 确认报文中的IP地址是否是发送方的真正IP地址。

当发送请求方收到错误的IP-MAC关系映射后, 仍然写进自己的ARP缓存表中, 因此, 当发送方发送消息的时候实际上是按照错误的MAC地址发送给了错误的“IP指向者”。如果该攻击者是截取了网关的IP地址, 把自己伪装成网关的话, 将会造成本地局域网内的所有主机不能上网, 或是信息泄露, 从而造成重大影响。

2 文献综述

张云高, 吉杰在 (2009) 《ARP欺骗的自动探测、定位和隔离》一文中通过研究分析MAC地址和多个IP地址对应的情况的分析, 定位攻击者的MAC地址, 然后定位相应的交换机借口, 最后关闭该接口从而达到隔离ARP攻击的目的, 在该方法中还借助了数据库技术和SNMP技术, 自动完成该探测、定位、隔离过程。

金培莉等 (2009) 在《ARP欺骗分析及快速防御机制的建立》一文中在三层园区网设计的基础上通过对汇聚层交换机和接入层交换机的IP与MAC地址对应关系分析是否存在ARP攻击, 以及定位攻击者的接入端口, 从而关闭端口以达到隔离的目的。

3“静态ARP”和“DAI“两种方法解决ARP欺骗

(1) 工作原理

正常情况下, 可以联网的主机用arp-a查询本地主机的ARP缓存表, 有若干个IP-MAC地址映射关系。当主机收到ARP攻击后可能会出现两种情况:一是主机不能上网, 查询ARP缓存表发现存在IP与MAC地址多对一关系。二是主机不能上网, ARP缓存表为空这种情况是彻底攻击了主机的网卡。

这里主要介绍对于伪造网关的arp欺骗如何解决, 在命令行界面中使用arp–a查看主机arp缓存表的IP-mac对应关系。使用arp–d刷新当前主机的arp缓存表, 并且通过arp–s设置当前主机的arp缓存表内容, 通过该命令设置的缓存表是静态的IP-MAC对应关系, 该信息是存储在硬盘上, 是随着操作系统的启动而执行的, 是不会被删除的。因此成为静态ARP表。

(2) 用sniffers软件实施ARP攻击

(1) 两台主机A和B, 其中A作为攻击主机, B作为被攻击主机。

(2) 检测实施ARP攻击之前被攻击者的arp缓存表信息, 这里我们使用sniffers抓包软件进行抓取的数据包分析。

(3) 在A主机上使用sniffers软件对B主机进行arp攻击。

(4) 检测B主机arp缓存表是否发生变化, 同时用360查毒软件检查是否受到arp攻击。

(3) ARP攻击效果

(1) 实施ARP攻击之前的B主机的网关以及ip地址

(2) ARP攻击前被攻击主机ARP缓存表

参照相关教程文献在在A主机上运行Win Pcap, 然后在攻击机里面安装并运行“局域网终结者”, 并且写入目的主机ip地址, 如192.168.1.104。然后开始对目标主机实施攻击。

(3) 攻击后查看您被攻击主机网络连接状态:

(4) 目标主机arp缓存表

(4) 静态ARP方法

通过命令arp-s设置网关IP-MAC关联。在windows XP中在cmd中设置代码如下:

但是在win7中必须以管理员身份运行cmd界面, 并且命令如下:

netsh–c i i show in//找到正在使用的网卡idx号11, 然后运行如下设置命令完成ip与mac地址绑定:

netsh–c i i add neighbors 11192.168.1.1.40-16-9f-b0-36-12

然后用arp-a命令即可查看现在主机ARP缓存表中的IP-MAC映射关系。

(5) DAI技术

开启交换机的DHCP监听特性。代码如下:

全局模式下开启交换机DHCP监听特性

Switch (config) #Ip arp inspection//全局模式下开启DAI功能

到此为止DAI配置完成, 然后可以show出DAI的配置信息:

命令如下:

(6) 实验结果分析

通过实验结果可以发现, A主机运用本文所提出的该种防范能够有效的检测出ARP攻击, 然后通过手动静态配置被攻击主机的ARP缓存表可以恢复该主机的上网功能。

4 结论

总结ARP欺骗难以根除, 因为这是来源与ARP协议的本身, 创设ARP协议的假设条件与显示不一致, 而导致的ARP协议在现实生活中使用中造成危害, 并且被不法分子利用。ARP协议本身没有病毒的自我复制的特征, 但是由于她是广播数据包, 因此同一局域网内都会受到错误的IP-MAC地址映射关系, 从而造成全网的关系瘫痪。因此, 损失重大。这里我们使用上面所提出的方法可以很好地解决ARP病毒的攻击。

摘要：地址解析协议是建立在互相信任的基础之上的, 本身存在漏洞, 随着近年来园区网的泛滥, 随之而来的ARP病毒也有愈演愈烈之势。并且局域网内一台主机感染ARP病毒, 有可能造成局域网内其他主机也造成影响。本文介绍“静态ARP”和“DAI”两种简单易行的方法防范ARP攻击。

关键词：ARP,DAI,防范,检测

参考文献

[1]金培莉, 岳江红, 曹东亚, 愈丞涛《ARP欺骗分析及快速防御机制的建立》中山大学学报200 (93) .

[2]罗琳《校园网ARP欺骗分析与防范检测技术》电脑知识与技术, 2009 (13) .

[3]谢希仁.计算机网络原理 (第5版) 电子工业出版社2007.

[4]邢金阁, 刘扬《ARP欺骗攻击的检测及防御技术研究》东北农业大学学报201 (28) .

ARP欺骗检测方法 第9篇

近年来, 我院经常出现局域网中电脑访问网络时延迟增高, 甚至彻底断网的现象, 大部分原因即是网内有电脑中了ARP病毒, 病毒利用ARP协议漏洞对网络进行攻击。攻击者可以利用APR欺骗进行拒绝服务攻击 (Do S) 或中间人攻击, 造成网络通信中断或数据被截取篡改, 严重影响网络安全。目前利用ARP协议漏洞的木马病毒在局域网中广泛传播, 是局域网安全的首要威胁。

一、ARP攻击概述

1.1 ARP协以及原理

ARP协议是”Address Resolution Protocol” (地址解析协议) 的缩写。在LAN (局域网) 中, 实际传输的是”帧”, 帧里面有目标主机的MAC地址。

ARP协议是建立在信任局域网内所有节点的基础上, 虽然效率很高, 但并不安全, ARP协议是一种无状态的协议, 它不会检查自己是否发过请求, 也不管是否是合法应答, 只要接受到目标MAC地址是自己的ARP广播报文, 都会接受并更新ARP缓存表, 从而为ARP欺骗提供了可能性。

ARP欺骗是如何运作的呢?其实就是将伪装的ARP应答发送到目的主机中, 并且使目的主机接收应答中伪造的MAC地址与IP地址之间的映射, 同时讲目的主机的缓存更新。ARP欺骗由攻击者发送假的ARP数据包到局域网中, 尤其是送到网关上。它的目的是要让原本应该送至特定的IP地址的帧被错误送到攻击者指定的地方。因此攻击者可将这些应答篡改后转送到任何主机。攻击者同样可以将ARP数据包转送到一个不存在的MAC地址以达到阻断服务攻击 (Do S) 的效果。

1.2 ARP欺骗的常见攻击方式

常见的ARP欺骗, 通常包括2种攻击方式:中间人攻击、拒绝服务攻击 (Do S) :

中间人攻击:在计算机安全领域中, 中间人攻击 (MITM) 是指攻击者与通讯的两段分别创建独立的联系, 并交换其锁收到的数据, 使通讯的两端认为他们正在通过一个私密的连接与对方直接对话, 但事实上整个会话都被攻击者完全控制。拒绝服务攻击 (Do S) :拒绝服务攻击就是使目标主机不能响应外界发送的请求, 从而不能对外提供服务的攻击方法。

二、ARP攻击的应对方法

2.1划分VLAN

ARP报文是一种广播报文, 就意味着它的传播就只能在一个广播域内进行, 无法跨网段, 所以在路由器或交换机上对局域网进行合理的分段操作, 划分多个VLAN, 这样可以方便管理网络, 易于排查攻击的范围, 也可以将ARP攻击固定在一个VLAN中, 有效减少局域网内的ARP攻击的范围。但划分VLAN并不能彻底解决局域网内ARP攻击, 只能将ARP攻击的影响范围从整个局域网缩小到攻击者所在的网段, 并相对容易寻找到攻击源, 解决网络故障。

2.2静态绑定ARP缓存表

用此种方法, 需要在网关设备上对网内所有主机的IP地址和MAC地址进行静态绑定, 同时在网内主机上则需要对网关设备的IP地址和MAC地址进行静态绑定。但是, 网内主机一旦重启, 其ARP缓存表的内容就会全部丢失, 必须重新设置静态缓存。此方法工作量巨大, 灵活性较差, 仅针对小型网络比较适用。

2.3绑定交换机端口与主机MAC地址

此方法是将局域网中的主机的MAC地址和与之连接的交换机端口进行绑定, 这就使得连接到这个端口的MAC地址是固定的, 即使攻击者发送伪造的ARP欺骗报文, 端口依然可以检测出MAC地址是不一样的。并且, 如果因为交换机故障或者其他客观原因, 人为变换了主机的连接端口, 不通过管理员也无法连接到网络, 对于管理网络也有不方便的地方。

三、结束语

本文通过分析ARP欺骗攻击的原理, 介绍了ARP欺骗所带来的危害, 同时探讨了几种防御ARP欺骗攻击的方案, 使各计算机用户可以最大限度地避免ARP欺骗的攻击, 同时也需要每个用户的配合, 安装杀毒软件定期杀毒, 及时更新系统补丁, 确保自身不感染ARP病毒, 防患于未然。

参考文献

[1]David C Plummer.RFC826, An Ethernet Address Resolution Protocol[S], 1982.

[2]任侠, 吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程, 2003, 29 (9) :127-128.

[3]邓清华, 陈松乔.A R P欺骗攻击及其防范[J].微机发展, 2004 (8) :126-128.