網(wǎng)絡(luò)安全與局域網(wǎng)ＡＲＰ地址欺騙攻擊

高喜龍

【摘 要】ARP協(xié)議存在很多漏洞，ARP地址欺騙將會(huì)給局域網(wǎng)的安全帶來很多威脅。利用命令行法、工具軟件法或sniffer抓包嗅探法可定位ARP地址欺騙攻擊者。使用靜態(tài)的IP-MAC地址解析、ARP服務(wù)器或第三層交換技術(shù)等方法可防御ARP地址欺騙的攻擊。

【關(guān)鍵詞】ARP協(xié)議ARP地址欺騙

ARP，全稱Address Resolution Protocol，它是“地址解析協(xié)議的縮寫。MAC地址是固化在網(wǎng)卡上串行EEPROM中的物理地址，是由48比特長(6字節(jié))，16進(jìn)制的數(shù)字組成，0~23位是由廠家自己分配，24~47位叫做組織唯一標(biāo)志符，是識(shí)別LAN(局域網(wǎng))節(jié)點(diǎn)的標(biāo)識(shí)。

一、ARP地址欺騙攻擊者的定位

利用ARP協(xié)議的漏洞，攻擊者對(duì)整個(gè)局域網(wǎng)的安全造成威脅，那么，怎樣才能快速檢測并定位出局域網(wǎng)中的哪些機(jī)器在進(jìn)行ARP地址欺騙攻擊呢?面對(duì)著局域網(wǎng)中成百臺(tái)電腦，一個(gè)一個(gè)地檢測顯然不是好辦法。其實(shí)，我們只要利用ARP病毒的基本原理：發(fā)送偽造的ARP欺騙廣播，中毒電腦自身偽裝成網(wǎng)關(guān)的特性，就可以快速鎖定中毒電腦?？梢栽O(shè)想用程序來實(shí)現(xiàn)以下功能：在網(wǎng)絡(luò)正常的時(shí)候，牢牢記住正確網(wǎng)關(guān)的IP地址和MAC地址，并且實(shí)時(shí)監(jiān)控來自全網(wǎng)的ARP數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)有某個(gè)ARP數(shù)據(jù)包廣播，其IP地址是正確網(wǎng)關(guān)的IP地址，但是其MAC地址竟然是其他電腦的MAC地址的時(shí)候，這時(shí)，無疑是發(fā)生了ARP欺騙。對(duì)此可疑MAC地址報(bào)警，再根據(jù)網(wǎng)絡(luò)正常時(shí)候的IP一MAC地址對(duì)照表查詢?cè)撾娔X，定位出其IP地址，這樣就定位出攻擊者了。

下面再介紹幾種不同的檢測ARP地址欺騙攻擊的方法。

1.命令行法

在CMD命令提示窗口中利用系統(tǒng)自帶的ARP命令即可完成。當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時(shí)候，攻擊者會(huì)向全網(wǎng)不停地發(fā)送ARP欺騙廣播，這時(shí)局域網(wǎng)中的其他電腦就會(huì)動(dòng)態(tài)更新自身的ARP緩存表，將網(wǎng)關(guān)的MAC地址記錄成攻擊者本身的MAC地址，此時(shí)，我們只要在其受影響的電腦中使用“ARP -a”命令查詢一下當(dāng)前網(wǎng)關(guān)的MAC地址，就可知道攻擊者的MAC地址。我們輸入“ARP -a'，命令后的返回信息如下：

Internet Address 00-50-56-e6-49-56 Physical Address Type 192.168.0. dynamic。

由于當(dāng)前電腦的ARP表是錯(cuò)誤的記錄，因此，該MAC地址不是真正網(wǎng)關(guān)的MAC地址，而是攻擊者的MAC地址。這時(shí)，再根據(jù)網(wǎng)絡(luò)正常時(shí)，全網(wǎng)的IP-MA C地址對(duì)照表，查找攻擊者的IP地址就可以了[4]。由此可見，在網(wǎng)絡(luò)正常的時(shí)候，保存一個(gè)全網(wǎng)電腦的IP-MA C地址對(duì)照表是多么的重要?？梢允褂胣btscan工具掃描全網(wǎng)段的IP地址和MAC地址，保存下來，以備后用。

2.工具軟件法

現(xiàn)在網(wǎng)上有很多ARP病毒定位工具，其中做得較好的是Anti ARP Sniffer(現(xiàn)在已更名為ARP防火墻)。利用此類軟件，我們可以輕松地找到ARP攻擊者的MAC地址。然后，我們?cè)俑鶕?jù)欺騙機(jī)的MAC地址，對(duì)比查找全網(wǎng)的IP-MA C地址對(duì)照表，即可快速定位出攻擊者。

3.Sniffer抓包嗅探法

當(dāng)局域網(wǎng)中有ARP地址欺騙時(shí)，往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包，這時(shí)，流量檢測機(jī)制應(yīng)該能夠很好地檢測出網(wǎng)絡(luò)的異常舉動(dòng)，利用Ethereal之類的抓包工具找出大量發(fā)送ARP廣播包的機(jī)器，這基本上就可以當(dāng)作攻擊者進(jìn)行處理。

以上3種方法有時(shí)需要結(jié)合使用，互相印證，這樣可以快速、準(zhǔn)確地將ARP地址欺騙攻擊者找出來。找到攻擊者后，即可利用殺毒軟件或手動(dòng)將攻擊程序刪除。

二、ARP地址欺騙攻擊的防御及其解決辦法

1.使用靜態(tài)的I P-MAC地址解析

針對(duì)ARP地址欺騙攻擊的網(wǎng)絡(luò)特性，我們可以使用靜態(tài)的IP-MA C地址解析，主機(jī)的IP-MA C地址映射表由手工維護(hù)，輸人后不再動(dòng)態(tài)更新。即便網(wǎng)絡(luò)中有ARP攻擊者在發(fā)送欺騙的ARP數(shù)據(jù)包，其他電腦也不會(huì)修改自身的ARP緩存表，數(shù)據(jù)包始終發(fā)送給正確的接收者。這種防御方法中常用的是“雙向綁定法”。雙向綁定法，顧名思義，就是要在兩端綁定IP-MA C地址，其中一端是在路由器(或交換機(jī))中，把所有PC的IP-MA C輸入到一個(gè)靜態(tài)表中，這叫路由器IP-MA C綁定。另一端是局域網(wǎng)中的每個(gè)客戶機(jī)，在客戶端設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC機(jī)IP-MA C綁定。除此之外，很多交換機(jī)和路由器廠商也推出了各自的防御ARP病毒的軟硬產(chǎn)品，如：華為的FIX AR 18-6X 系列全千兆以太網(wǎng)路由器就可以實(shí)現(xiàn)局域網(wǎng)中的ARP病毒免疫，該路由器提供MAC和IP地址綁定功能，可以根據(jù)用戶的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對(duì)于聲稱從這個(gè)IP地址發(fā)送的報(bào)文，如果其MAC地址不是指定關(guān)系對(duì)中的地址，路由器將予以丟棄，這是避免IP地址假冒攻擊的一種方式。

2.使用ARP服務(wù)器

通過ARP服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播，但必須確保這臺(tái)ARP服務(wù)器不被黑客攻擊。

3.使用其他交換方式

現(xiàn)在，基于IP地址變換進(jìn)行路由的第三層交換機(jī)逐漸被采用，第三層交換技術(shù)用的是IP路由交換協(xié)議。以往的MAC地址和ARP協(xié)議已經(jīng)不起作用，因而ARP欺騙攻擊在這種交換環(huán)境下不起作用。該方法的缺點(diǎn)是這種交換機(jī)價(jià)格普遍比較昂貴。

出現(xiàn)ARP地址欺騙攻擊的解決辦法如下：

第一步：記住網(wǎng)關(guān)的正確IP地址和MAC地址，為以后的IP-MAC綁定做準(zhǔn)備，也方便以后查找病毒主機(jī)。網(wǎng)關(guān)MAC的獲取，一是可以向單位的網(wǎng)管人員詢問;二是在機(jī)器正常上網(wǎng)時(shí)進(jìn)行查詢，記下網(wǎng)關(guān)IP地址和MAC地址，方法如下：打開“命令提示符”窗口，在提示符后鍵入：ipconfig/al(l用此命令先查詢網(wǎng)關(guān)的IP地址)，然后再鍵入：arp-a(用來顯示ARP高速緩存中所有項(xiàng)目)，如果并未列出網(wǎng)關(guān)IP地址與MAC地址的對(duì)應(yīng)項(xiàng)，那就先ping一下網(wǎng)關(guān)IP地址，再顯示ARP高速緩存內(nèi)容就能看到網(wǎng)關(guān)的IP-MAC對(duì)應(yīng)項(xiàng)了。第二步：發(fā)現(xiàn)網(wǎng)關(guān)MAC地址有沖突后，可先用arp-d命令先清除ARP高速緩存的內(nèi)容，然后再用arp-a命令查看網(wǎng)關(guān)IP-MAC項(xiàng)目是否正確。如果病毒不斷攻擊網(wǎng)關(guān)，那就要靜態(tài)綁定網(wǎng)關(guān)的IP-MAC。例如：網(wǎng)關(guān)IP地址為10.1.4.254，MAC地址為00-08-20-8b-68-0a，先用arp-d命令清除ARP高速緩存的內(nèi)容，再在命令提示符后鍵入：arp-s10.1.4.254 00-08-20-8b-68-0a，這樣網(wǎng)關(guān)IP地址和MAC地址就被靜態(tài)綁定了。如果用戶安裝了瑞星防火墻，也可以通過防火墻提供的“設(shè)置-詳細(xì)設(shè)置-ARP靜態(tài)規(guī)則”中進(jìn)行靜態(tài)綁定，或是在文章最開始的防火墻提示中選擇正確的MAC地址后點(diǎn)擊“添加到ARP靜態(tài)表中”。第三步：如果病毒不斷攻擊網(wǎng)關(guān)致使網(wǎng)關(guān)的IP-MAC的靜態(tài)綁定都無法操作，那就應(yīng)該先找到病毒主機(jī)，使其斷網(wǎng)殺毒，才能保證網(wǎng)段內(nèi)其它機(jī)器正常上網(wǎng)操作。

三、結(jié)束語

由于ARP協(xié)議制定時(shí)間比較早，當(dāng)時(shí)對(duì)這些協(xié)議的缺陷考慮不周，使得ARP攻擊的破壞性比較大，但其也有局限性，比如ARP攻擊只局限在本地網(wǎng)絡(luò)環(huán)境中。最根本的解決措施就是使用IPv6協(xié)議，因?yàn)樵贗Pv6協(xié)議定義了鄰機(jī)發(fā)現(xiàn)協(xié)議(NDP)，把ARP納人NDP并運(yùn)行于因特網(wǎng)控制報(bào)文協(xié)議(ICMP)上，使ARP更具有一般性，包括更多的內(nèi)容。

參考文獻(xiàn)：

[1]專家解讀APR病毒.http ; //security. ccidnet. com/.

[2]馬軍，王巖.ARP協(xié)議攻擊及其解決方案.信息安全，2006，22(5-3)：70-77.

(作者單位：遼寧省安全科學(xué)研究院）