鄭學(xué)夫

摘 要：本文介紹了ARP原理，ARP欺騙過程，ARP的常見幾種攻擊分類，通過終端用戶防護(hù)和DHCP監(jiān)控的方法，對ARP攻擊的防范策略。

關(guān)鍵詞：ARP原理；ARP欺騙過程；ARP攻擊

1 ARP原理

ARP（AddressResolutionProtocol）是地址解析協(xié)議，簡單來說是將osi參考模型中的第三層網(wǎng)絡(luò)層的ip地址和第二層數(shù)據(jù)鏈路層的MAC地址的一種對應(yīng)。ARP提供了一種基于此的動(dòng)態(tài)映射。在數(shù)據(jù)通信的過程當(dāng)中，搜索到目標(biāo)計(jì)算機(jī)的MAC地址，封裝成幀。實(shí)現(xiàn)了計(jì)算機(jī)在一個(gè)局域網(wǎng)中的互相通信。為了更快捷的找到ip地址和MAC地址的映射，在用戶和路由器以及服務(wù)器上都有相應(yīng)的ARP緩存表。在緩存表中存放了最新學(xué)習(xí)到的地址映射記錄。ARP機(jī)制會(huì)自動(dòng)刪除規(guī)定時(shí)間之外記錄，因此確保了ARP緩存表準(zhǔn)確性，縮短了ARP緩存表的長度，加快了查詢的速度。

1.1 ARP欺騙過程

用一個(gè)例子，說明arp的欺騙過程，我們假設(shè)在一個(gè)局域網(wǎng)中用3臺計(jì)算機(jī)連接到一臺交換機(jī)下面，其中一個(gè)取名為A，是arp的攻擊者；一個(gè)取名為B，是發(fā)送數(shù)據(jù)的主機(jī)；另一個(gè)取名為C，是接收數(shù)據(jù)的主機(jī)。三臺電腦的ip分別為192.168.1.10；192.168.1.20；192.168.1.30。MAC地址分別為MAC-A，MAC-B，MAC-C。現(xiàn)在，B要向C發(fā)送數(shù)據(jù)了，B首先查詢自己的ARP緩存表，查看是否有192.168.0.4對應(yīng)的MAC地址，若有，直接將MAC地址封裝。若B不知道C的MAC地址。B發(fā)送廣播包，告訴全網(wǎng)我的ip地址和MAC地址，誰的ip地址為192.168.1.30。這時(shí)全網(wǎng)的電腦都收到了B發(fā)送的廣播包，只有C回應(yīng)，告訴B電腦，我就是你要找的ip，我的MAC地址是MAC-C。C單獨(dú)給B的回應(yīng)。那么B知道C的MAC地址，可以向C發(fā)送數(shù)據(jù)了。它會(huì)動(dòng)態(tài)更新自己的ARP緩存表。同時(shí)C也會(huì)更新自己的ARP緩存表。如果在B發(fā)送廣播包的時(shí)候，A也給B電腦一個(gè)回應(yīng)，告訴B我的ip地址為192.168.1.30，我的MAC地址為MAC-A。A假稱自己的ip地址為C的ip地址。A不停的應(yīng)答，造成了B重新更新了自己的ARP緩存表。寫入錯(cuò)誤記錄。也就是ARP緩存表中毒。致使了凡是發(fā)送給C的數(shù)據(jù)都被A主機(jī)劫持。這就是所謂的ARP欺騙。

2 ARP攻擊分類

⑴偽裝網(wǎng)關(guān)。ARP攻擊者發(fā)送錯(cuò)誤網(wǎng)關(guān)IP地址和MAC地址對應(yīng)給被攻擊者。造成終端用戶學(xué)習(xí)到錯(cuò)誤的網(wǎng)關(guān)地址。用戶不能訪問網(wǎng)關(guān)，流量被攻擊者截取，最終造成用戶不能訪問外網(wǎng)。⑵欺騙網(wǎng)關(guān)。ARP攻擊者發(fā)送虛假ARP報(bào)文給網(wǎng)關(guān)，造成網(wǎng)關(guān)更新了非法用戶的MAC地址和ip地址對應(yīng)。網(wǎng)關(guān)要傳送的全部數(shù)據(jù)都發(fā)送到ARP攻擊方。最終造成用戶無法正常訪問外網(wǎng)。⑶欺騙用戶。ARP攻擊者偽造虛假的ARP報(bào)文發(fā)送給用戶或者服務(wù)器，如果是用戶，造成用戶更新了錯(cuò)誤的MAC和IP地址對應(yīng)，導(dǎo)致用戶之間無法正常訪問。如果是服務(wù)器，造成了用戶在訪問服務(wù)器時(shí)，流量都轉(zhuǎn)到了ARP攻擊方。導(dǎo)致無法訪問服務(wù)器。⑷泛洪攻擊。ARP攻擊者發(fā)送海量的偽造ARP報(bào)文在局域網(wǎng)中廣播，從而ARP表被耗盡。用戶再也無法學(xué)習(xí)新的ARP報(bào)文。這是將資源占滿耗盡的泛洪攻擊手段，導(dǎo)致合法用戶無法訪問外網(wǎng)。

3 ARP攻擊常見應(yīng)對方法

對ARP攻擊原理的分析，我們發(fā)現(xiàn)ARP攻擊防范的方法：如何獲取合法用戶和網(wǎng)關(guān)的IP地址和MAC地址的對應(yīng)關(guān)系，利用這個(gè)合法的對應(yīng)關(guān)系，對ARP報(bào)文進(jìn)行檢查，并且過濾掉不合法的ARP報(bào)文。

3.1 認(rèn)證方式

3.1.1 總體思路

通過使用用戶認(rèn)證機(jī)制來獲取在線用戶的IP地址和MAC地址對應(yīng)關(guān)系，并且使用認(rèn)證的方法確認(rèn)誰是合法的用戶。通過這樣的機(jī)制解決難以獲取的合法用戶IP地址和MAC地址對應(yīng)關(guān)系。同時(shí)我們事先在認(rèn)證服務(wù)器上配置網(wǎng)關(guān)的合法IP地址和MAC地址對應(yīng)關(guān)系。由此，可對局域網(wǎng)中進(jìn)行著的虛假ARP報(bào)文過濾掉。能夠防范ARP的攻擊行為。

3.1.2 終端用戶防護(hù)

用戶的802.1X認(rèn)證過程中，使用CAMS服務(wù)器（認(rèn)證服務(wù)器）將IP地址和MAC地址映射到iNode客戶端，客戶端在用戶終端匹配出網(wǎng)關(guān)的正確IP地址和MAC地址映射關(guān)系，并且在用戶終端形成了靜態(tài)的ARP綁定，這樣能夠有效防范偽裝網(wǎng)關(guān)的ARP攻擊。

3.2 使用DHCP監(jiān)控

3.2.1 總體思路

交換機(jī)監(jiān)控用戶的動(dòng)態(tài)獲取IP地址的過程，并且將IP地址和MAC地址的對應(yīng)關(guān)系綁定在交換機(jī)上。利用交換機(jī)濾掉所有不能匹配所綁定的IP地址和MAC地址關(guān)系的ARP報(bào)文，以此來阻止用戶終端主機(jī)發(fā)送的ARP欺騙報(bào)文。使用這種方法防御全部的ARP攻擊類型。

3.2.2 相關(guān)技術(shù)

為了防范中間人攻擊，所謂中間人攻擊是指在局域網(wǎng)中對一臺或者多臺主機(jī)的數(shù)據(jù)包的攻擊。攻擊者處于正常用戶終端中間，可以對數(shù)據(jù)包進(jìn)行捕獲、篡改、轉(zhuǎn)發(fā)。進(jìn)而做出相應(yīng)隱蔽性強(qiáng)，危害高的非法攻擊?；诖说姆婪叮覀円階RP入侵檢測的方式。接入的交換機(jī)能夠?qū)?jīng)過的所有ARP報(bào)文進(jìn)行判斷，查看其是不是合法的。交換機(jī)可以采用動(dòng)態(tài)獲?。―HCP方式）或者進(jìn)行靜態(tài)配置合法的IP地址和MAC地址的對應(yīng)關(guān)系。這樣通過比對數(shù)據(jù)報(bào)的源IP地址和MAC地址的對應(yīng)關(guān)系，來確定終端用戶的合法性。實(shí)現(xiàn)對非法ARP報(bào)文的屏蔽，阻止所有ARP的欺騙攻擊。

[參考文獻(xiàn)]

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第5版）[M].北京：電子工業(yè)出版社，2008.

[2]吳青.局域網(wǎng)ARP攻擊與防范[J].辦公自動(dòng)化雜志，2006（8）：25～27

[3]梁柱森.圖書館局域網(wǎng)內(nèi)ARP病毒的分析與防止[J]2008.

[4]劉衍斌，王岳斌，陳崗.基于ARP欺騙的中間人攻擊的檢測與防范[J].微計(jì)算機(jī)信息.2012（08）.