ARP欺騙類病毒該如何防御

李春 郭景宏

摘 要： 在計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)日漸發(fā)展的當(dāng)今時(shí)代，在數(shù)據(jù)處理生產(chǎn)運(yùn)營中普遍使用網(wǎng)絡(luò)技術(shù)。保護(hù)網(wǎng)絡(luò)環(huán)境安全，對(duì)于企業(yè)的發(fā)展具有深遠(yuǎn)影響。特別是對(duì)ARP欺騙類病毒高度重視，避免由于ARP欺騙類病毒的影響而造成企業(yè)受損。通過對(duì)如何防御ARP欺騙類病毒進(jìn)行研究分析，希望能夠?yàn)橄嚓P(guān)人員提供一定的理論借鑒。

關(guān)鍵詞：ARP 欺騙類病毒 防御

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2016）06-0006-01

前言：ARP全稱為Address Resolution Protocol，地址解析協(xié)議。ARP病毒并不是某一種病毒的名稱，而是對(duì)利用ARP協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。ARP欺騙主要指的是，利用ARP協(xié)議中存在的漏洞，將偽造過的虛假ARP報(bào)文發(fā)送到目標(biāo)主機(jī)設(shè)備，進(jìn)而實(shí)現(xiàn)截取目標(biāo)主機(jī)數(shù)據(jù)、或者監(jiān)聽主機(jī)數(shù)據(jù)的攻擊方式。ARP欺騙具有一定的隨機(jī)性、以及隱蔽性等特點(diǎn)，ARP欺騙工具廣泛的存在于網(wǎng)絡(luò)環(huán)境中，進(jìn)而致使ARP欺騙更加普遍。現(xiàn)階段，很多木馬病毒利用ARP欺騙，廣泛傳播于網(wǎng)絡(luò)中，嚴(yán)重影響網(wǎng)絡(luò)的安全運(yùn)行。特別是在企業(yè)內(nèi)部局域網(wǎng)絡(luò)中，ARP欺騙更是屢次出現(xiàn)，如果某臺(tái)計(jì)算機(jī)感染ARP欺騙類病毒程序，將會(huì)發(fā)送偽造過的ARP相應(yīng)報(bào)文，嚴(yán)重影響網(wǎng)絡(luò)環(huán)境的穩(wěn)定。

一、ARP的主要攻擊類型

攻擊類型主要包括以下兩種：冒充主機(jī)欺騙網(wǎng)關(guān)和冒充網(wǎng)關(guān)欺騙主機(jī)[1]。

1.冒充主機(jī)欺騙網(wǎng)關(guān)

可以將源MAC地址設(shè)置為MAC_C，將源IP地址設(shè)置為IP_A，攻擊主機(jī)C發(fā)出一個(gè)報(bào)文。從而所有向主機(jī)A發(fā)送的報(bào)文，都會(huì)由攻擊主機(jī)C所接收，而且中斷了網(wǎng)絡(luò)同真實(shí)主機(jī)A的直接通信關(guān)系。如果攻擊主機(jī)C持續(xù)地根據(jù)自身的MAC地址，與其他主機(jī)IP地址作為源地址進(jìn)行ARP包的發(fā)送，那么除了攻擊主機(jī)C，網(wǎng)關(guān)將無法直接通信網(wǎng)段內(nèi)的所有主機(jī) [2]。在此種背景下，交換機(jī)無法記錄任何的報(bào)警日志，主要是交換機(jī)認(rèn)為多個(gè)IP地址對(duì)應(yīng)一個(gè)MAC地址正?？尚?，對(duì)其他利用IP對(duì)應(yīng)的MAC交付報(bào)文不會(huì)造成任何影響。如果將網(wǎng)關(guān)ARP緩存中的MAC地址進(jìn)行更改，使之換成原本就不存在的地址，則網(wǎng)關(guān)所發(fā)送出來的網(wǎng)絡(luò)數(shù)據(jù)幀將會(huì)全部丟失，致使上層急于處理此種異常情況，而無法對(duì)外來請(qǐng)求進(jìn)行解決，最終使得網(wǎng)關(guān)不提供任何服務(wù)。

2.冒充網(wǎng)關(guān)欺騙主機(jī)

首先，在主動(dòng)攻擊中，主機(jī)A接收到來自攻擊者C的ARP應(yīng)答數(shù)據(jù)包，然后使主機(jī)A和網(wǎng)關(guān)B的IP地址明確所對(duì)應(yīng)的MAC地址，也就是CC-CC-CC-CC-CC-CC，致使主機(jī)A對(duì)自身的ARP列表進(jìn)行修復(fù)，然后將網(wǎng)關(guān)B的IP地址進(jìn)行修改，將原有的MAC地址修改成攻擊者C的MAC地址；其次，攻擊者C在向主機(jī)A發(fā)送ARP數(shù)據(jù)包的同時(shí)，也向網(wǎng)關(guān)B發(fā)送ARP應(yīng)答數(shù)據(jù)包，也告知網(wǎng)關(guān)B主機(jī)A的IP地址所對(duì)應(yīng)的MAC地址，也就是CC-CC-CC-CC-CC-CC，致使網(wǎng)關(guān)B將自身的ARP列表進(jìn)行修改，然后將A的IP地址進(jìn)行修改，將原有的MAC地址修改成攻擊者C的MAC地址；最終致使主機(jī)A與網(wǎng)關(guān)B之間的通信，變成主機(jī)A與攻擊者C之間的通信，以及攻擊者C與網(wǎng)關(guān)B之間的通信，主機(jī)A和B之間無法直接通信[3]。

在被動(dòng)攻擊中，主機(jī)A或者網(wǎng)關(guān)B發(fā)送出ARP請(qǐng)求數(shù)據(jù)包時(shí)，攻擊者C在一段時(shí)間之后，發(fā)送應(yīng)答數(shù)據(jù)包，保證自身的應(yīng)答包能夠在正確的應(yīng)答包之后達(dá)到，避免出現(xiàn)自己修改的相應(yīng)主機(jī)的ARP列表，被正確的應(yīng)答包再次修改。因此，主機(jī)A向網(wǎng)關(guān)B所發(fā)送的報(bào)文，都會(huì)向攻擊主機(jī)C發(fā)送，進(jìn)而導(dǎo)致主機(jī)A出現(xiàn)斷網(wǎng)的情況。如果攻擊主機(jī)C先是收到來自主機(jī)A的報(bào)文，然后在向網(wǎng)關(guān)B轉(zhuǎn)發(fā)，則主機(jī)A可以利用攻擊主機(jī)C繼續(xù)上網(wǎng)，但是，主機(jī)A的網(wǎng)絡(luò)質(zhì)量，將會(huì)由攻擊主機(jī)C來控制，一般具有時(shí)斷時(shí)續(xù)的表現(xiàn)。

二、ARP欺騙類病毒入侵后的表象

當(dāng)局域網(wǎng)中的某臺(tái)電腦找到ARP欺騙類病毒控制的時(shí)候，其他用戶若通過原來的路由器連接上網(wǎng)，將變成通過病毒主機(jī)連接網(wǎng)絡(luò)，而切換過程用戶將出現(xiàn)一次斷線現(xiàn)象。當(dāng)切換到病毒主機(jī)上網(wǎng)后，若用戶登錄某個(gè)服務(wù)器，病毒主機(jī)則會(huì)偽裝成經(jīng)常斷線，誘使用戶頻繁登錄，從而利于病毒主機(jī)盜取賬戶信息。當(dāng)ARP欺騙類病毒運(yùn)行時(shí)，會(huì)產(chǎn)生很多數(shù)據(jù)包，大量數(shù)據(jù)包造成局域網(wǎng)擁堵，使用戶感覺網(wǎng)速變慢，而當(dāng)病毒停止時(shí)，用戶將恢復(fù)到原有路由器上網(wǎng)，但切換過程用戶會(huì)再次斷線。這種ARP欺騙類病毒在入侵后不僅影響他人上網(wǎng)，還會(huì)對(duì)病毒主機(jī)與子網(wǎng)機(jī)器的安全造成影響，很可能竊取用戶賬戶信息，同時(shí)這種病毒發(fā)送ARP報(bào)文十分隱秘，在占用系統(tǒng)資源較少時(shí)，很難被用戶察覺。

三、解決ARP協(xié)議攻擊的兩個(gè)措施和攻擊類型的對(duì)應(yīng)關(guān)系

1.解決ARP欺騙攻擊的措施

加強(qiáng)保護(hù)接入層網(wǎng)絡(luò)設(shè)備ARP表項(xiàng)，是防御ARP欺騙類病毒攻擊的重要所在。具體原理是指將具有智能性質(zhì)的ARP表項(xiàng)綁定機(jī)制啟動(dòng)，同時(shí)在ARP報(bào)文的接收階段，實(shí)現(xiàn)對(duì)ARP綁定表的動(dòng)態(tài)檢測(cè)，從而對(duì)其合法性進(jìn)行有效判斷[4]。可以通過以下網(wǎng)絡(luò)設(shè)備的設(shè)置進(jìn)行詳細(xì)了解；在局域網(wǎng)接入交換機(jī)中，將DHCP嗅探開啟之后，立刻對(duì)MAC、IP進(jìn)行校驗(yàn)，以此實(shí)現(xiàn)對(duì)ARP欺騙、以及DHCP欺騙等攻擊行為的有效控制。

具體配置步驟如下所示：（1）全局模式下：ip dhcp snooping //開啟DHCP嗅探；（2）普通接入端口下：ip verify source port-security //開啟端口安全功能；（3）普通接入端口下：arp-check //進(jìn)行IP-MAC的對(duì)應(yīng)校驗(yàn)，將dhcp snooping獲取的關(guān)系作為相關(guān)參考，避免arp地址欺騙行為的出現(xiàn)；（4）上聯(lián)端口下：ip dhcp snooping trust //開啟snooping信任端口，dhcp offer的報(bào)文只有借助上聯(lián)端口實(shí)現(xiàn)通過，進(jìn)而防止出現(xiàn)私設(shè)DHCP服務(wù)器的情況。

2.解決MAC地址攻擊的措施

通過控制網(wǎng)絡(luò)設(shè)備ARP報(bào)文處理閾值，能夠有效解決ARP的掃描攻擊行為。通常情況下，對(duì)于ARP報(bào)文的控制，可以由以下兩種方式實(shí)現(xiàn)，分別為基于IP的ARP掃描以及基于端口的ARP掃描?；贗P的ARP掃描是指，在一段時(shí)間中，對(duì)網(wǎng)段中某IP收到ARP報(bào)文的數(shù)量進(jìn)行計(jì)算，如果計(jì)算結(jié)果高于提前設(shè)置的閾值，那么可以將此IP定義為問題主機(jī)IP，對(duì)源自此IP的所有流量進(jìn)行禁止，但是與此IP相連的端口不進(jìn)行關(guān)閉操作?；诙丝诘腁RP掃描是指，在一段時(shí)間內(nèi)，對(duì)某端口所接收到的ARP報(bào)文數(shù)量進(jìn)行計(jì)算，如果計(jì)算數(shù)量高于提前設(shè)置的閾值，那么可以將此端口定義為問題主機(jī)所在的端口，同時(shí)關(guān)閉此關(guān)口[5]。上述兩種MAC地址的功能，能夠同時(shí)開啟。如果IP或者端口禁止，利用自動(dòng)恢復(fù)功能，能夠?qū)崿F(xiàn)其狀態(tài)的自動(dòng)恢復(fù)?？梢詮囊韵戮W(wǎng)絡(luò)設(shè)備的配置詳細(xì)了解：（1）全局模式下：anti-arpscan enable //開啟arp掃描功能；（2）全局模式下：anti-arpscan port-based threshold 62//基于端口的ARP掃描，可以將掃描速率閾值設(shè)定為62個(gè)/s；（3）全局模式下：anti-arpscan ip-based threshold 18 //基于IP地址的ARP掃描，可以將掃描速率閾值設(shè)置為18個(gè)/s；（4）全局模型下：anti-arpscan recocery time 280 //可以將掃描恢復(fù)時(shí)間設(shè)置為280s；（5）上聯(lián)端口下：anti-arpscan trust supertrust-port // 可以將ARP掃描的信任端口設(shè)置為交換機(jī)的上聯(lián)端口。

綜上所述，利用相關(guān)技術(shù)措施，能夠?qū)⒒贏RP協(xié)議的攻擊行為有效控制，同時(shí)能夠促使ARP協(xié)議在網(wǎng)絡(luò)中順利工作。

總結(jié)：通過以上論述可以了解到，由于ARP的不堅(jiān)定性質(zhì)，導(dǎo)致其容易被網(wǎng)絡(luò)中不法分子所攻擊，并且成為被利用的對(duì)象。特別是最近幾年，ARP欺騙方式更加猖狂，嚴(yán)重影響到個(gè)人和企業(yè)的計(jì)算機(jī)系統(tǒng)安全，為用戶帶來較大損失。因此，網(wǎng)絡(luò)用戶必須對(duì)此給予足夠重視，只有全面了解ARP欺騙類病毒，才能制定出相應(yīng)的應(yīng)對(duì)措施和解決措施，以此保護(hù)信息數(shù)據(jù)的安全。

參考文獻(xiàn)

[1]張睿.ARP欺騙防御在政企客戶網(wǎng)絡(luò)中的應(yīng)用[J].科技與企業(yè)，2014（24）：146-147.

[2]朱秀娟，葉娜，羅淯新.局域網(wǎng)ARP欺騙的工作原理與防范策略[J].電子技術(shù)與軟件工程，2014（23）：21-21.

[3]趙飛.基于ARP欺騙的局域網(wǎng)防御界面研究[J].綏化學(xué)院學(xué)報(bào)，2014，34（6）：150-153.

[4]池新杰.淺析ARP攻擊防御策略[J].電腦與電信，2015（Z1）：58-59.

[5]王曉妮.基于WinPcap的校園網(wǎng)ARP攻擊檢測(cè)防御系統(tǒng)研究與設(shè)計(jì)[J].辦公自動(dòng)化：綜合版，2014（11）：46-47.

作者簡(jiǎn)介：李春，（1968.10-），男，河北秦皇島人，本科，內(nèi)蒙古軍區(qū)，工程師。

郭景宏，（1960.7-），男，河北保定人，本科，內(nèi)蒙古軍區(qū)，高級(jí)工程師。研究方向：無線通信發(fā)展，網(wǎng)絡(luò)病毒防御。