葉潤華

【摘 要】隨著網(wǎng)絡(luò)的發(fā)展和普及，網(wǎng)絡(luò)的開放性、共享性、互連性隨之?dāng)U大。網(wǎng)絡(luò)互連一般采用TCP/IP協(xié)議，而TCP/IP協(xié)議是一個(gè)工業(yè)標(biāo)準(zhǔn)的協(xié)議簇，在該協(xié)議簇制訂之初，沒有過多考慮其安全性，所以協(xié)議中存在很多的安全漏洞，致使網(wǎng)絡(luò)極易受到黑客的攻擊。ARP協(xié)議作為TCP/IP協(xié)議簇中的一員，同樣也存在著安全漏洞，利用ARP協(xié)議漏洞進(jìn)行攻擊是黑客的攻擊手段之一。

【關(guān)鍵詞】ARP；局域網(wǎng)；監(jiān)聽；攻擊；欺騙

【中圖分類號(hào)】TP393 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）03-0067-01

1. 背景

隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)己經(jīng)成為工作生活中不可或缺的工具。但伴之而來的非法入侵也一直威脅著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，干擾了互聯(lián)網(wǎng)的正常發(fā)展。因此，如何有效地防范各種攻擊，增強(qiáng)網(wǎng)絡(luò)安全性，是一項(xiàng)重要的課題。

局域網(wǎng)內(nèi)經(jīng)常性大面積斷線；IP地址沖突不斷；內(nèi)網(wǎng)主機(jī)互訪出錯(cuò)頻繁；網(wǎng)站主頁給篡改，網(wǎng)頁發(fā)現(xiàn)病毒；殺毒軟件無可奈何；進(jìn)而登陸賬號(hào)被盜、敏感信息外泄……

這些常見的局域網(wǎng)故障，很大程度上跟ARP攻擊有關(guān)。ARP攻擊是一種典型的欺騙類攻擊，攻擊主機(jī)通過發(fā)送偽造的ARP應(yīng)答來更新目標(biāo)主機(jī)的ARP高速緩存，從而使自身贏得目標(biāo)主機(jī)的信任。然后再實(shí)施有效攻擊或非法監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，造成目標(biāo)主機(jī)被攻破或機(jī)密信息泄漏等一系列災(zāi)難性后果。

2. ARP攻擊模式

從ARP協(xié)議工作原理可以看出，ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點(diǎn)的基礎(chǔ)上的，它很高效，但卻不安全。它是無狀態(tài)的協(xié)議，不會(huì)檢查自己是否發(fā)過請(qǐng)求包，也不管（其實(shí)也不知道）是否是合法的應(yīng)答，只要收到目標(biāo)MAC是自己的ARP reply包或arp廣播包（包括ARP request和ARP reply），都會(huì)接受并緩存。這就為ARP欺騙提供了可能，惡意節(jié)點(diǎn)可以發(fā)布虛假的ARP報(bào)文從而影響網(wǎng)內(nèi)結(jié)點(diǎn)的通信，甚至可以做“中間人”。

2.1 IP沖突或DoS攻擊

這種攻擊形式與中間人攻擊有相似之處，都是持續(xù)廣播偽造的ARP應(yīng)答報(bào)文，截取并轉(zhuǎn)發(fā)主機(jī)和網(wǎng)關(guān)之間的報(bào)文，監(jiān)聽主機(jī)與網(wǎng)關(guān)之間的通信，常用于竊取敏感的登陸信息和密碼。

3 ARP整體防護(hù)設(shè)計(jì)思路

從ARP攻擊原理可以看出，防范ARP欺騙攻擊最大困難在于其攻擊不是針對(duì)服務(wù)器或交換機(jī)系統(tǒng)本身的，而且攻擊源可以在網(wǎng)段內(nèi)任何一個(gè)地方隱藏，其隱蔽性很高。所以有時(shí)候即使管理員發(fā)現(xiàn)了攻擊的存在，要在最短時(shí)間內(nèi)快速定位攻擊源也是非常困難的事情。這就意味著像防治普通攻擊或病毒那樣單一的從服務(wù)器系統(tǒng)或者從網(wǎng)絡(luò)網(wǎng)關(guān)上進(jìn)行防范效果不是很好。

一個(gè)完整的ARP攻擊防范策略需要從三方面同時(shí)入手：計(jì)算機(jī)系統(tǒng)防護(hù)、網(wǎng)絡(luò)設(shè)備維護(hù)以及健全網(wǎng)絡(luò)安全監(jiān)管機(jī)制。

計(jì)算機(jī)系統(tǒng)防護(hù)。這是基于主機(jī)的安全防護(hù)，主要從系統(tǒng)安全加固、系統(tǒng)DLL控制、MAC ARP綁定、安裝ARP防火墻等方面構(gòu)筑第一道防線。

網(wǎng)絡(luò)設(shè)備的防護(hù)。局域網(wǎng)內(nèi)的主機(jī)通過交換機(jī)、路由器相連，因而應(yīng)該在交換機(jī)與路由器上構(gòu)筑第二道防線。在交換機(jī)某些固定端口上配置靜態(tài)MAC地址，把一個(gè)MAC地址永久性地分配給一個(gè)端口。對(duì)于連接服務(wù)器或機(jī)密主機(jī)的交換機(jī)端口，設(shè)置安全保護(hù)，阻止攻擊方對(duì)該端口的監(jiān)聽。對(duì)于具有DHCP功能的路由器，盡量用手動(dòng)指定IP地址給已知MAC地址的主機(jī)。

健全網(wǎng)絡(luò)安全監(jiān)管機(jī)制、合理分配網(wǎng)絡(luò)資源。監(jiān)聽局域網(wǎng)內(nèi)ARP數(shù)據(jù)包的情況。通過監(jiān)聽和分析網(wǎng)絡(luò)狀況，如主機(jī)表、協(xié)議、數(shù)據(jù)包特征以及流量等多方面的信息，及時(shí)發(fā)現(xiàn)通信異常，定位攻擊源，并從源頭上解決ARP攻擊。同時(shí)合理利用VLAN優(yōu)化網(wǎng)絡(luò)，把ARP攻擊所造成的損失減到最低。

4. 結(jié)束語

ARP攻擊之所以能在公眾局域網(wǎng)內(nèi)如此輕易的傳播，是因?yàn)樵趽碛袡C(jī)器數(shù)量較多的公眾上網(wǎng)環(huán)境，由于其中各類系統(tǒng)的安全責(zé)任點(diǎn)歸屬復(fù)雜、使用人員安全意識(shí)欠缺，造成環(huán)境內(nèi)安全管理漏洞較大、安全盲點(diǎn)較多，從而使新一代以ARP欺騙為基礎(chǔ)的網(wǎng)頁掛碼或重定向攻擊得以滋生。即使一個(gè)單位或網(wǎng)站管理員能保證自己的服務(wù)器與網(wǎng)絡(luò)交換設(shè)備不被攻占，他也無法抵御來自網(wǎng)絡(luò)范圍內(nèi)任何一臺(tái)機(jī)器的ARP攻擊。對(duì)付此類攻擊，傳統(tǒng)上從操作系統(tǒng)或交換設(shè)備的單點(diǎn)防御已無濟(jì)于事。

本文就揭示ARP協(xié)議的漏洞以及如何利用漏洞進(jìn)行攻擊和如何防范這種攻擊，構(gòu)建出一個(gè)整體防范策略。