李迎接 查蘊(yùn)初 吳開

【摘 要】在這個(gè)信息化發(fā)展迅速的社會(huì)，無線局域網(wǎng)在我們生活中的地位日益上升，具有不可替代的特征。無線局域網(wǎng)的速度快，穩(wěn)定，價(jià)錢低廉等優(yōu)勢獲得現(xiàn)代人的青睞，現(xiàn)如今無論到哪首先想找的是一個(gè)有無線局域網(wǎng)的地方，進(jìn)行休息與工作。但給人們帶來便捷的同時(shí)也帶來了諸多危險(xiǎn)，無線局域網(wǎng)的安全問題已經(jīng)變得十分嚴(yán)峻，個(gè)人私密信息的泄露，支付賬號(hào)密碼被盜用，設(shè)備被黑客惡意的操控利用，對(duì)我們的正常生活造成了極大的危害。基于此本文將針對(duì)當(dāng)前社會(huì)無線局域網(wǎng)中多種威脅之一的ARP攻擊分析其原理提出相應(yīng)的防范措施。

【關(guān)鍵詞】ARP攻擊；網(wǎng)絡(luò)安全；無線局域網(wǎng)

一、ARP攻擊原理分析

1、ARP攻擊：這種攻擊方式是歷史悠久的入侵網(wǎng)絡(luò)手段，有著廣泛的操作空間，簡單來說這是一種間接性的攻擊入侵方式，通過篡改攔截和嗅探，可以獲得兩臺(tái)電腦之間的所有數(shù)據(jù)信息，然而通信雙方都無法察覺，換言之，利用這種攻擊方式可以獲取到對(duì)方的所有發(fā)出的數(shù)據(jù)信息，或者替換對(duì)方所有接收到的數(shù)據(jù)信息。這種攻擊方式歷史悠久，分布廣泛，操作簡單，極易上手，而且基本能夠滿足大多數(shù)黑客竊取，阻斷個(gè)人私密信息流的目的，依靠的是ARP協(xié)議中互相信任的這一弊端，這也是ARP攻擊方式中區(qū)別于其他攻擊方式的一大特點(diǎn)。在此協(xié)議剛開始的那段時(shí)間里，設(shè)計(jì)師的目的是要讓電腦與電腦之間能夠快速連接，互相識(shí)別與通信，而且在當(dāng)時(shí)并不會(huì)有人會(huì)想到能夠利用ARP協(xié)議中的設(shè)計(jì)弊端進(jìn)行攻擊，于是在設(shè)計(jì)之初也就忽略了安全性問題，最終反應(yīng)在現(xiàn)實(shí)中的是：在同一個(gè)局域網(wǎng)中所有設(shè)備在通信時(shí)，都是互相信任的，只要得到了相應(yīng)的應(yīng)答反饋信息，絕不會(huì)進(jìn)行校驗(yàn)甄別是否是目標(biāo)主機(jī)發(fā)送的，并存在自己的ARP緩存之中留作下次傳遞數(shù)據(jù)使用。然而隨著社會(huì)的不斷發(fā)展，技術(shù)的不斷進(jìn)展更新，逐漸有人發(fā)現(xiàn)了這一弊端并利用了起來。這里舉一個(gè)簡單的例子來說明ARP攻擊的原理，首先有三臺(tái)電腦端，分別為：A、B、C，它們的IP地址分別為：IPA、IPB、IPC，它們的MAC地址分別為：MACA、MACB、MACC，他們所對(duì)應(yīng)的接口分別為：PA、PB、PC，其中電腦B為使用ARP攻擊的黑客電腦，還有一個(gè)交換機(jī)X。正常情況下，電腦A想與電腦C進(jìn)行通信時(shí)，電腦A會(huì)向所在的局域網(wǎng)絡(luò)中交換機(jī)X發(fā)送多個(gè)ARP請求包，其中包含著電腦A的IPA和MACA，以及電腦C的IPC、MACC，交換機(jī)X接收到請求后進(jìn)行封包，根據(jù)交換機(jī)中的CAM表（MAC轉(zhuǎn)換為相對(duì)應(yīng)的接口協(xié)議），將電腦A發(fā)來的ARP請求包通過對(duì)應(yīng)的端口PB、PC發(fā)送給電腦B和電腦C，由于電腦A想與電腦C進(jìn)行通信，正常來說的電腦B會(huì)將電腦A所發(fā)送的ARP請求包直接丟掉（因?yàn)檎埱蟀?dāng)中沒有關(guān)于電腦B的MAC和IP地址），而電腦C接收到電腦A已發(fā)出的ARP請求包后會(huì)明白電腦A要與電腦C通信，于是乎電腦C也會(huì)像之前電腦A發(fā)出請求包給C一樣經(jīng)過交換機(jī)返回一個(gè)應(yīng)答包給電腦A，而黑客所操控的電腦B可以對(duì)整個(gè)過程進(jìn)行監(jiān)聽，那么問題隨之而來了，電腦必會(huì)收到電腦A的請求包，根據(jù)請求包可以分析得出電腦C的MAC地址和IP地址，這時(shí)，電腦B可以偽造一個(gè)其中包含IPC和MACB的應(yīng)答包，反饋給電腦A，如果電腦A這時(shí)儲(chǔ)存了電腦B發(fā)出的應(yīng)答包，這是可以稱電腦A的ARP緩存被毒化，然而正確的應(yīng)答包應(yīng)該是IPC和MACC，（注意這里替換了MAC地址），ARP緩存毒化過后的電腦A就會(huì)交接下來要發(fā)送的信息全部發(fā)送給電腦B，達(dá)到了所說的竊取數(shù)據(jù)。簡單說：IP地址可以視為一個(gè)快遞當(dāng)中收貨方的名字，MAC地址可以視為快遞當(dāng)中的收貨地址，我只是需要知道人是我想要發(fā)的人就行了地址并不會(huì)管，但是在這個(gè)過程當(dāng)中會(huì)有一個(gè)問題，電腦B和電腦C會(huì)同時(shí)向電腦A回饋信息，這時(shí)電腦A應(yīng)該把哪個(gè)的反饋包緩存到自己的ARP緩存當(dāng)中呢，這里需要遵循一個(gè)數(shù)據(jù)傳遞的統(tǒng)一原則：先到先得，后到優(yōu)先，也就是說電腦A最后收到的應(yīng)答包才會(huì)儲(chǔ)存在ARP緩存當(dāng)中，層層覆蓋，而且在ARP緩存列表當(dāng)中有兩種形式，一種是靜態(tài)一種是動(dòng)態(tài)，靜態(tài)緩存列表即使關(guān)機(jī)重新啟動(dòng)以后才會(huì)被清空刪除，而動(dòng)態(tài)這是每20秒會(huì)更新一次，這樣是為了保證通信的順暢以及及時(shí)應(yīng)對(duì)IP地址更改時(shí)的通信問題，那么如何保證電腦B所發(fā)出的請求包會(huì)在電腦C的之后呢，這里只需要不斷的向電腦A發(fā)送請求包即可，總會(huì)有后與電腦C的請求包將其覆蓋，這一操作可以在滲透軟件當(dāng)中進(jìn)行調(diào)整發(fā)送頻率，達(dá)到目的效果，同時(shí)也需要以相同的方式向電腦C進(jìn)行操作，相當(dāng)于電腦B成為了電腦A與電腦C的中間人，這也就是我們常說的中間人攻擊，中間人攻擊如果在操作合理的情況下，被攻擊雙方根本無法察覺。這里只是簡單的偽裝成電腦C，當(dāng)然也可以偽裝成網(wǎng)關(guān)，偽裝成網(wǎng)關(guān)以后可以控制整個(gè)局域網(wǎng)對(duì)外的聯(lián)絡(luò)，限制速度，也可以當(dāng)個(gè)對(duì)一個(gè)IP地址進(jìn)行封殺網(wǎng)絡(luò)連接。這里舉一個(gè)簡單的安卓APP，wIfI殺手，有人曾在高中時(shí)段，利用wIfI殺手這一APP將全校網(wǎng)絡(luò)用戶全部封殺，其利用的就是ARP攻擊，而應(yīng)對(duì)措施就是，斷開，重新連接，這樣操作可以使得自己的IP地址進(jìn)行變化，收到wIfI殺手需要重新再掃描一次局域網(wǎng)用戶才可以起到封殺作用。

二、ARP攻擊防范措施

由于IP地址是收貨人的姓名，是兩個(gè)電腦識(shí)別的關(guān)鍵，如果網(wǎng)速變慢或者根本無法上網(wǎng)或者有其他現(xiàn)象證明自己被ARP攻擊，可以嘗試不斷變更自己的IP地址，使得發(fā)送機(jī)和接收機(jī)之間的識(shí)別機(jī)制不斷進(jìn)行更新，方可避免ARP攻擊?；蛘咧苯邮褂每梢灶A(yù)防ARP攻擊的第三層交換機(jī)，設(shè)置MAC與IP的靜態(tài)綁定，雖然每次重啟機(jī)器以后需要重新設(shè)置一下，但也是一個(gè)簡單的能夠預(yù)防的措施，合理分配VLAN，從根本上阻止盜用MAC地址和IP地址。

【參考文獻(xiàn)】

[1]林宏剛，陳麟，王標(biāo)，吳彥偉.一種主動(dòng)檢測和防范ARP攻擊的算法研究[J]. 四川大學(xué)學(xué)報(bào)（工程科學(xué)版），2008（03）：143-149.

[2]李軍鋒.基于計(jì)算機(jī)網(wǎng)絡(luò)安全防ARP攻擊的研究[J].武漢工業(yè)學(xué)院學(xué)報(bào)，2009，28（01）：57-59.

[3]史雋彬，秦科.ARP攻擊現(xiàn)狀分析及一種應(yīng)對(duì)ARP攻擊的方法[J].陜西理工學(xué)院學(xué)報(bào)（自然科學(xué)版），2013，29（02）：45-49.

[4]郭征，吳向前，劉勝全.針對(duì)校園網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案[J].計(jì)算機(jī)工程，2011，37（05）：181-183.

[5]郭會(huì)茹，楊斌，牛立全.ARP攻擊原理分析及其安全防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（06）：5-6.