黃益群， 潘澤強(qiáng)

（江西中醫(yī)學(xué)院 計(jì)算機(jī)學(xué)院，南昌 330006）

0 前言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全日益受到人們的關(guān)注，但由于網(wǎng)絡(luò)本身的復(fù)雜性，其管理難度也越來(lái)越大，任何一個(gè)小的問(wèn)題都可能影響到整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。如最近流行的ARP欺騙攻擊，它可以在很短的時(shí)間內(nèi)使整個(gè)網(wǎng)絡(luò)陷于癱瘓。因此，如何有效地防范ARP欺騙攻擊成為了人們研究的一項(xiàng)重要課題。本文主要從ARP原理、ARP欺騙過(guò)程和如何防御等三個(gè)方面進(jìn)行簡(jiǎn)單的介紹。

1 ARP協(xié)議原理

源主機(jī)在傳輸數(shù)據(jù)前，首先要對(duì)初始數(shù)據(jù)進(jìn)行封裝，在該過(guò)程中會(huì)把目的主機(jī)的IP地址和MAC地址封裝進(jìn)去。在通信的最初階段，我們能夠知道目的主機(jī)的IP地址，而MAC地址卻是未知的。這時(shí)如果目的主機(jī)和源主機(jī)在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)會(huì)以第二層廣播的方式發(fā)送ARP請(qǐng)求報(bào)文。ARP請(qǐng)求報(bào)文中含有源主機(jī)的IP地址和MAC地址，以及目的主機(jī)的IP地址。當(dāng)該報(bào)文通過(guò)廣播方式到達(dá)目的主機(jī)時(shí)，目的主機(jī)會(huì)響應(yīng)該請(qǐng)求，并返回ARP響應(yīng)報(bào)文，因而源主機(jī)可以獲取目的主機(jī)的MAC地址，同樣目的主機(jī)也能夠獲得源主機(jī)的MAC地址。如目的主機(jī)和源主機(jī)地址不在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)發(fā)出的IP數(shù)據(jù)包會(huì)送到交換機(jī)的默認(rèn)網(wǎng)關(guān)，而默認(rèn)網(wǎng)關(guān)的MAC地址同樣可以通過(guò)ARP協(xié)議獲取[1]。經(jīng)過(guò)ARP協(xié)議解析IP地址之后，主機(jī)會(huì)在緩存中保存IP地址和MAC地址的映射條目，此后再進(jìn)行數(shù)據(jù)交換時(shí)只要從緩存中讀取映射條目即可。ARP工作原理如圖1所示。

圖1 ARP工作原理

2 ARP欺騙過(guò)程

2.1 對(duì)網(wǎng)內(nèi)主機(jī)的欺騙

在Ethernet中，任何一臺(tái)主機(jī)當(dāng)收到一個(gè)ARP報(bào)文之后更新自己ARP緩沖區(qū)。但由于主機(jī)無(wú)法驗(yàn)證報(bào)文的真實(shí)性，當(dāng)收到欺騙性的報(bào)文時(shí)，它也會(huì)更新本身的ARP緩沖區(qū)，這樣就造成“IP—MAC”的映射錯(cuò)誤，使主機(jī)之間無(wú)法通信[2]。以表1為例，假設(shè)有三臺(tái)主機(jī)A、B、C，具體信息如表1所示。

表1 三臺(tái)主機(jī)A、B、C的具體信息

B為攻擊者，A、C為被攻擊者。首先B分別向A、C發(fā)送ARP請(qǐng)求報(bào)文，當(dāng)A、C收到以后分別向B發(fā)送一個(gè)ARP響應(yīng)報(bào)文，B收到后更新A、C的“IP—MAC”映射，并不斷地向A、C發(fā)送ARP響應(yīng)報(bào)文，發(fā)送給A報(bào)文中的發(fā)送方的IP地址為10.30.5.4，MAC地址03-03-03-03-03-03，發(fā)送給C報(bào)文中發(fā)送方的IP地址為10.30.5.2，MAC地址03-03-03-03-03-03；當(dāng)A、C收到以后分別更新本機(jī)的ARP緩存這樣主機(jī)A、C就會(huì)誤認(rèn)為B就是對(duì)方，造成了A、C之間不能通信。這種攻擊方法也稱為中間人攻擊。還有一些其他的攻擊方法，但這些攻擊都有一個(gè)共同特點(diǎn)就是發(fā)送一些欺騙性的ARP報(bào)文。

2.2 網(wǎng)內(nèi)主機(jī)與網(wǎng)關(guān)之間信息的竊取

當(dāng)主機(jī)B想要獲取主機(jī)A對(duì)外通信的內(nèi)容時(shí)，會(huì)分別給主機(jī)A和網(wǎng)關(guān)D發(fā)送一個(gè)ARP應(yīng)答包，讓A和D都把第三方監(jiān)聽者誤認(rèn)為是對(duì)方，這樣，主機(jī)A看似成功的實(shí)施了對(duì)外通信，而實(shí)際上中間夾著監(jiān)聽主機(jī)B。此時(shí)，主機(jī)B不僅可以完成監(jiān)聽，而且還可以隨意更改數(shù)據(jù)包中地某些信息，并成功完成數(shù)據(jù)包轉(zhuǎn)發(fā)。

簡(jiǎn)單說(shuō)，ARP欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達(dá)到這個(gè)目的。

3 ARP欺騙的發(fā)現(xiàn)及防御

3.1 ARP欺騙的發(fā)現(xiàn)

當(dāng)局域網(wǎng)中有ARP攻擊時(shí)，它一般不會(huì)單獨(dú)的攻擊某一臺(tái)機(jī)器，而是整個(gè)局域網(wǎng)，涉及面積比較大，可以在很短的時(shí)間內(nèi)使整個(gè)網(wǎng)絡(luò)癱瘓。因此及時(shí)地發(fā)現(xiàn)ARP攻擊源是非常重要的。一般可以采用以下幾種方法：

1）使用“ARP -a”命令

如上文中提到的中間人攻擊，當(dāng)我們?cè)谥鳈C(jī)C上輸入此命令時(shí)，顯示本機(jī)的ARP緩存：緩存中10.30.5.2所對(duì)應(yīng)的MAC地址與真正的MAC地址不符，說(shuō)明攻擊源的MAC地址為22-22-22-22-22-22。另外，還有一種情況比較具有迷惑性，當(dāng)主機(jī)C除了向網(wǎng)關(guān)A沒(méi)有向其他主機(jī)發(fā)出連接，主機(jī)C的ARP緩存如下所示：

ARP緩存沒(méi)有任何異常，但主機(jī)C和網(wǎng)關(guān)A之間無(wú)法通信，這主要是由于主機(jī)B不斷的向本網(wǎng)段內(nèi)的主機(jī)發(fā)送ARP請(qǐng)求報(bào)文，其他主機(jī)向主機(jī)B發(fā)送一個(gè)響應(yīng)，這樣主機(jī)B就可以用主機(jī)C的信息向網(wǎng)關(guān)A發(fā)送偽造的ARP報(bào)文，該報(bào)文的源MAC地址為主機(jī)C的地址，當(dāng)交換機(jī)收到該幀時(shí)，交換機(jī)把指向主機(jī)C端口改到和主機(jī)B相同。查看網(wǎng)關(guān)D的ARP緩存，會(huì)看到指向主機(jī)B和很多主機(jī)都指向了同一個(gè)端口。

2）監(jiān)聽數(shù)據(jù)報(bào)

當(dāng)有ARP攻擊的時(shí)候，攻擊源一般會(huì)向本網(wǎng)段內(nèi)的所有主機(jī)發(fā)送ARP請(qǐng)求報(bào)文。因此可以利用一些抓包工具，如用Sniffer等進(jìn)行抓包，如發(fā)現(xiàn)有大量的ARP請(qǐng)求報(bào)文從某一臺(tái)機(jī)器發(fā)出，那么這臺(tái)機(jī)器極有可能就是攻擊源。

3）查看網(wǎng)關(guān)ARP緩存

ARP攻擊時(shí)最主要的攻擊對(duì)象就是網(wǎng)關(guān)。因此可以查看網(wǎng)關(guān)的ARP緩存，如果有很多個(gè)IP地址都指向同一個(gè)MAC地址，那么就說(shuō)明存在A R P欺騙攻擊，這個(gè)MAC地址對(duì)應(yīng)的主機(jī)就是A R P攻擊源。

由于ARP攻擊主要利同ARP協(xié)議的漏洞，因此目前沒(méi)有徹底的方法來(lái)防御ARP攻擊。我們可以通過(guò)一些安全措施提高網(wǎng)絡(luò)的安全性。

3.2 ARP欺騙的防御

3.2.1 在客戶端綁定網(wǎng)關(guān)和ARP服務(wù)器的真實(shí)MAC地址

在本文設(shè)計(jì)的方案中，通過(guò)在客戶端的主機(jī)上靜態(tài)綁定網(wǎng)關(guān)和ARP服務(wù)器的MAC地址，來(lái)防范第三方對(duì)源主機(jī)與網(wǎng)關(guān)和ARP服務(wù)器之間的通信進(jìn)行監(jiān)視，這樣設(shè)置的結(jié)果是主機(jī)發(fā)送數(shù)據(jù)前不需要通過(guò)向所在的局域網(wǎng)廣播請(qǐng)求來(lái)得到網(wǎng)關(guān)的MAC地址，它會(huì)直接查詢靜態(tài)記錄以獲得的地址。攻擊者若在沒(méi)有收到ARP請(qǐng)求的情況下仍發(fā)送偽造的ARP應(yīng)答數(shù)據(jù)包企圖實(shí)施欺騙時(shí)，源主機(jī)將拒絕用偽造的數(shù)據(jù)更新ARP緩存表的靜態(tài)記錄[3]。即不再對(duì)ARP緩存表中對(duì)信息進(jìn)行更新，這樣可以防止第三者對(duì)主機(jī)與網(wǎng)關(guān)之間的通信信息進(jìn)行竊聽，也能保證定時(shí)發(fā)往ARP服務(wù)器的ARP應(yīng)答包沒(méi)有經(jīng)過(guò)第三者轉(zhuǎn)發(fā)，所以通信是可靠的?？梢詤⒄障旅娴睦訉?duì)局域網(wǎng)內(nèi)的主機(jī)進(jìn)行靜態(tài)的MAC地址綁定。

例如：假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為10.30.5.1，本機(jī)地址為10.30.5.3，在“開始”-“程序”-“附件”菜單下調(diào)出“命令提示符”，輸入：arp-a，在計(jì)算機(jī)上運(yùn)行arp -a后顯示如下信息：

其中，01-01-01-01-01-01就是網(wǎng)關(guān)10.30.5.1對(duì)應(yīng)的MAC地址，類型是動(dòng)態(tài)(dynamic)的，因此是可被改變的。

手工綁定的命令為：

arp-s 10.30.5.1 00-01-02-03-04-05

綁定完后，可再用arp -a查看arp緩存：:

這時(shí)，型變?yōu)殪o態(tài)(static)，就不會(huì)再受攻擊影響了。但是需要說(shuō)明的是，手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效，需要再次重新綁定。所以，要想永久綁定可以將上面的命令做成批處理文件，在計(jì)算機(jī)啟動(dòng)時(shí)便已對(duì)網(wǎng)關(guān)和ARP服務(wù)器的MAC地址進(jìn)行了綁定，編寫一個(gè)批處理文件aarp.bat，內(nèi)容如下：

保存為：aarp.bat。

運(yùn)行批處理文件將這個(gè)批處理文件拖到“Windows→開始→程序→啟動(dòng)”中，如果需要立即生效，請(qǐng)運(yùn)行此文件。

通過(guò)以上的設(shè)定，能有效的阻止攻擊者對(duì)用戶和網(wǎng)關(guān)之間實(shí)施ARP欺騙，本方案在設(shè)計(jì)的時(shí)候，之所以沒(méi)有對(duì)局域網(wǎng)內(nèi)的其他主機(jī)的MAC地址沒(méi)有實(shí)行靜態(tài)綁定，是考慮到在局域網(wǎng)內(nèi)的用戶經(jīng)常會(huì)處于各種原因?qū)χ鳈C(jī)的IP地址進(jìn)行修改如果每個(gè)主機(jī)都采用靜態(tài)記錄，那么當(dāng)對(duì)主機(jī)的IP地址進(jìn)行正當(dāng)調(diào)整后，如果忘記重新設(shè)置該靜態(tài)記錄，局域網(wǎng)內(nèi)部就會(huì)出現(xiàn)混亂。因此不宜對(duì)局域網(wǎng)內(nèi)其他主機(jī)的MAC地址進(jìn)行靜態(tài)綁定。

3.2.2 設(shè)置ARP服務(wù)器

ARP服務(wù)器的主要功能是接受局域網(wǎng)內(nèi)的所有主機(jī)定時(shí)發(fā)送的ARP應(yīng)答數(shù)據(jù)包，對(duì)各個(gè)主機(jī)的ARP請(qǐng)求進(jìn)行應(yīng)答，然后對(duì)接收到的所有應(yīng)答包的信息進(jìn)行分析判斷，看是否存在相同的IP地址對(duì)應(yīng)不同的MAC地址，如果存在，對(duì)發(fā)生矛盾的信息暫時(shí)不進(jìn)行更新，然后服務(wù)器將判斷的結(jié)果再發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)通過(guò)這個(gè)MAC地址查出用來(lái)實(shí)施ARP欺騙攻擊的主機(jī)在交換機(jī)上所對(duì)應(yīng)的物理端口，從而進(jìn)行控制。在服務(wù)器和網(wǎng)關(guān)之間實(shí)行聯(lián)動(dòng)機(jī)制，使得ARP攻擊能及時(shí)被發(fā)現(xiàn)并被及時(shí)被清除[4]。系統(tǒng)要求網(wǎng)內(nèi)各個(gè)主機(jī)發(fā)往ARP服務(wù)器的數(shù)據(jù)要定期主動(dòng)發(fā)送，即使在沒(méi)有收到ARP服務(wù)器發(fā)送的ARP請(qǐng)求時(shí)也要進(jìn)行發(fā)送，其發(fā)送周期要盡量小，原則上不能超過(guò)服務(wù)器對(duì)ARP緩存表進(jìn)行更新的周期(一般為2分鐘)，這樣設(shè)置的理由是周期越小，服務(wù)器越能即使發(fā)現(xiàn)企圖實(shí)施攻擊的計(jì)算機(jī)，以便通知網(wǎng)關(guān)對(duì)其通信端口進(jìn)行控制。

3.3.3 設(shè)置主機(jī)的ARP請(qǐng)求

當(dāng)源主機(jī)要和局域網(wǎng)內(nèi)的一臺(tái)主機(jī)進(jìn)行通信時(shí)，源主機(jī)就發(fā)送一個(gè)ARP請(qǐng)求數(shù)據(jù)包給ARP服務(wù)器，服務(wù)器對(duì)接受到的信息進(jìn)行行分析，分別發(fā)送給要通信的兩臺(tái)主機(jī)一個(gè)ARP應(yīng)答數(shù)據(jù)包，內(nèi)容就是對(duì)方的IP地址和對(duì)應(yīng)的MAC地址。由于兩臺(tái)主機(jī)對(duì)服務(wù)器的地址都進(jìn)行了綁定，所以受到的信息是可靠的，兩臺(tái)主機(jī)收到這個(gè)信息后就可以進(jìn)行通信了，ARP服務(wù)器設(shè)置于網(wǎng)關(guān)的前端，對(duì)客戶端來(lái)說(shuō)是透明的。

4 結(jié)束語(yǔ)

上述的幾種防御措施也存在各自的局限性，一般是多種方案配合使用，可以最大限度的阻止ARP欺騙攻擊的出現(xiàn)，但是還有以下問(wèn)題需要繼續(xù)研究，一是如何設(shè)置主機(jī)定時(shí)向ARP服務(wù)器發(fā)送一個(gè)ARP應(yīng)答包來(lái)報(bào)告自己的IP地址和MAC地址的對(duì)應(yīng)關(guān)系，二是如何實(shí)現(xiàn)ARP服務(wù)器和網(wǎng)關(guān)之間的聯(lián)動(dòng)機(jī)制，三是如何讓主機(jī)只識(shí)別來(lái)自ARP服務(wù)器的ARP應(yīng)答數(shù)據(jù)包。從根本上解決這一問(wèn)題，最好的方法是重新設(shè)計(jì)一種安全的地址解析協(xié)議。在IPv6中人們已經(jīng)考慮到了這個(gè)問(wèn)題，不再使用ARP和RARP協(xié)議，而采用了更安全的NDP，從而杜絕了來(lái)自底層的攻擊。

[1] 任俠,呂述望.ARP協(xié)議欺騙原理分析與抵御方法[J].計(jì)算機(jī)工程, 2003,29(9):127-128.

[2] 孟曉明.基于ARP的網(wǎng)絡(luò)欺騙的檢測(cè)與防范[J].信息技術(shù),2005,(5):41- 44.

[3] 李海鷹,程灝,呂志強(qiáng)等.針對(duì)ARP攻擊的網(wǎng)絡(luò)防御式設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2005,31(5):170- 171.

[4] 徐功文,陳曙.ARP協(xié)議攻擊原理及其防范措施[J].網(wǎng)絡(luò)與信息安全,2005,(1):4- 6.