ARP的攻击原理及其防御方法

摘要：随着计算机技术和Internet技术的不断推广应用，网络逐渐成为了人们日常生活中不可缺少的部分。通过网络人们可以完成浏览信息、收发邮件、远程信息管理、与外界进行电子商务交易等活动。但是由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及网络边界的不可知性，网络中必然存在众多潜在的安全隐患。近年来，针对网络的攻击也在不断增加，其中利用ARP协议漏洞对网络进行攻击就是其中的一种重要方式。

当局域网的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道。所以，在一个网段中只要有一台计算机感染了ARP欺骗病毒运行ARP欺骗的木马程序,就会欺骗局域网内所有主机和路由器,影响整个网内计算机的正常上网。

关键字：ARP、攻击、御防方法

一、ARP协议介绍

ARP协议即地址解析协议。局域网中的IP数据包是通过以太网发送的,而以太网设备并不识别IP地址而是只识别物理地址(MAC)。ARP地址解析协议就是在计算机相互通信时,实现IP地址和物理地址的转换以确保信息正确的到达目的主机的协议。

每台计算机都会有一个ARP缓存表,缓存表里保存着目标设备的IP-MAC地址映射。ARP缓存表采用了老化机制,只保存最近一段时间内监听到的ARP信息以缩短缓存表长度提高查询效率。当客户机对某一IP地址的主机有通信需求时,首先会在自己的ARP缓存表里查询有没有相应的IP-MAC地址映射。如果有则封装ARP报文发送数据帧,如果没有则广播ARP请求询问目标机器的物理地址,然后监听信道上的ARP应答。值得一提的是,当客户机发出ARP请求后,同时也会监听信道上的其它ARP请求。收到ARP回答后新的地址映射将被存入ARP缓存表。

二、ARP病毒攻击原理

因为ARP缓存表是可以随时更新的动态缓存表,所以攻击者完全可以发送一个带有欺骗性的ARP请求或者回答,以更改ARP缓存表中的地址映射,使得被攻击的主机的地址解析发生错误,将信息发往攻击者希望的机器地址,以达到窃取信息的目的。

APR欺骗通常有针对局域网内计算机的欺骗、针对交换机的欺骗与针对DHCP服务的欺骗几种。下面分别对这几种ARP欺骗方法进行介绍。 1、针对局域网内计算机的欺骗

由于局域网内各个计算机的ARP缓存表都是根据信道上的ARP响应包动态变化的,而且并不是只监听自己发出的ARP请求。所以局域网中的攻击者想要利用ARP欺骗窃取内网中某台主机发出的信息或者破坏网络的正常通信是很容易的。例如A主机要发送信息给B主机,而C主机想得到他们的信息。C只需向A和B发送ARP应答包让他们都以为对方的MAC地址是C的MAC地址就可以了,这样看起来A和B是直接通信,但实际上信息都是通过C来转发的,这样C就可以轻松地得到A和B的通信内容。当然针对局域网内计算机的ARP欺骗还有很多,常见的

比如篡改网关的MAC地址(通常将网关的MAC地址改成自己的MAC地址),或者干脆大量发送伪造的ARP数据包造成局域网中计算机ARP缓存表的崩溃,使得网内计算机不能正常上网。

2、针对DHCP服务的欺骗

DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)的缩写,它是TCP/IP协议簇中的一种,主要是用来给网络中的计算机机分配动态的IP地址。使用DHCP可以大大简化配置客户机的TCP/IP的工作,尤其是当某些TCP/IP参数改变时,如网络的大规模重建而引起的IP地址和子网掩码的更改。但是由于DHCP服务器和客户端之间没有认证机制,如果有木马病毒让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。病毒的攻击方式通常是将DHCP所能分配的IP地址耗尽,然后通过伪造MAC地址来冒充DHCP服务器,然后给客户机提供一个假的DNS地址,这样用户就很容易被引导到一个假的网站,这样攻击者就可以得到他们想要的用户密码等信息。

三、故障现象

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

四、防御方法

综上所述,ARP欺骗病毒的根本运作机理就是伪造物理地址(MAC)。现在已经有许多方法和软件可以用来防止MAC地址欺骗。

1、 使用可御防ARP攻击的三层交换机，绑定端口MAC-IP。限制ARP流

量，及时发现并自动阻断ARP供给端口。合理划分VLAN。彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。

2、 查找病毒源，对病毒源头的机器进行处理，杀毒或重新安装系统。

解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。

3、 对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网

络的访问。此类攻击程序一般都是从Internet下载到用户终端。如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。

4、 关闭一些不需要的服务。条件允许的可关闭一些没有必要的共享，

也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。

5、 经常更新杀毒软件（病毒库）。设置允许的可设置为每天定时自动更

新，安装并使用网络防火墙软件。

6、 给系统安装补丁程序。通过Windows Update安装好系统补丁程序。

以上分析了ARP欺骗病毒的攻击原理和基本的防御方法。鉴于ARP欺骗病毒

对于局域网的严重危害,我们应该重视对它的日常防御,熟悉解决方法,以保证局域网的正常运行。

参考文献:

[1] 陈庆章.大学计算机网络[M].北京:机械工业出版社,2008

[2] 王奇.以太网中的ARP欺骗原理与解决办法[J].网络安全技术与应用,2008,(2)

[3] 张曾科.计算机网络[M].北京:清华大学出版社,2004