ARP協(xié)議欺騙攻擊與防范策略研究

郭潔

摘要：該文通過(guò)對(duì)公共上網(wǎng)領(lǐng)域ARP攻擊現(xiàn)象的分析，結(jié)合目前研究得出ARP的攻擊原理，對(duì)諸如偵聽、拒絕服務(wù)、掛載病毒等常用攻擊手法進(jìn)行深入剖析。通過(guò)對(duì)ARP數(shù)據(jù)幀格式進(jìn)行展開分析，找出ARP協(xié)議漏洞的危害性，查明惡意攻擊人員利用該漏洞進(jìn)行ARP欺騙攻擊的主要手段。最后，文章從ARP攻擊的手段和常用防御措施進(jìn)行分類研究，重點(diǎn)對(duì)MAC地址的集中管理、ARP數(shù)據(jù)包探測(cè)以及操作系統(tǒng)自身的防護(hù)安全加固角度進(jìn)行嚴(yán)格細(xì)致的論述，并且對(duì)公眾上網(wǎng)計(jì)算機(jī)環(huán)境中存在的、一些潛在的、可能被利用ARP協(xié)議攻擊的漏洞進(jìn)行了相關(guān)的分析，同時(shí)對(duì)整體安全防御構(gòu)架進(jìn)行了針對(duì)性的探索。

關(guān)鍵詞：ARP協(xié)議；ARP攻擊；防護(hù)措施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）13-0041-03

1 緒論

隨著網(wǎng)絡(luò)安全意識(shí)的缺乏和相關(guān)管理措施的不到位，一些企業(yè)或者學(xué)校公共機(jī)房出現(xiàn)大量的ARP攻擊。這種ARP攻擊有時(shí)候會(huì)迅速蔓延，在擁有大批量的上網(wǎng)計(jì)算機(jī)的公共上網(wǎng)環(huán)境中，同一網(wǎng)段中往往擁有不同的使用人群，網(wǎng)絡(luò)安全責(zé)任點(diǎn)比較分散，上網(wǎng)人員流動(dòng)性相對(duì)比較大，在網(wǎng)絡(luò)安全管理方面存在著很大的漏洞，從而為ARP攻擊提供了滋生的空間和條件。

目前為止，針對(duì)ARP協(xié)議漏洞攻擊，很多研究者已經(jīng)進(jìn)行了大量的攻擊測(cè)試實(shí)驗(yàn)，同時(shí)給出了具有針對(duì)ARP協(xié)議欺騙行為的惡意攻擊防治方法，這些防范措施和病毒防御方法大多是根據(jù)ARP協(xié)議的原理，通過(guò)在某種程度上保護(hù)ARP高速緩存避免惡意侵?jǐn)_的方式來(lái)成功避免ARP惡意攻擊，對(duì)一些簡(jiǎn)單的攻擊模式還是十分有效的，但是由于這些方法沒(méi)有從根本上解決ARP惡意攻擊的欺騙問(wèn)題，從而導(dǎo)致了更加高級(jí)或者變種的ARP欺騙問(wèn)題仍然發(fā)生，追究其原因是由于ARP協(xié)議本身存在的，允許在不可信網(wǎng)絡(luò)中運(yùn)行的規(guī)則漏洞。本文將從ARP協(xié)議原理本身的特點(diǎn)出發(fā)考慮，從多方面分析ARP協(xié)議自身存在的各種不安全因素，并針對(duì)目前已經(jīng)存在的ARP攻擊問(wèn)題，給出具有針對(duì)性的ARP攻擊解決方案，為解決ARP病毒的繁衍和變異提供一定的理論支撐。

2 ARP攻擊原理

ARP欺騙攻擊采用的常用手段主要是通過(guò)成功地偽造對(duì)應(yīng)的IP地址和MAC地址映射實(shí)現(xiàn)，通過(guò)該手段可以在一定程度上造成目標(biāo)主機(jī)的ARP高速緩存信息發(fā)生不可預(yù)期的錯(cuò)誤，從而使整個(gè)局域網(wǎng)的信息數(shù)據(jù)通信發(fā)生故障，從而達(dá)到惡意實(shí)施網(wǎng)絡(luò)欺騙的卑劣行為。“ARP”協(xié)議攻擊和欺騙技術(shù)不僅僅被用作了局域網(wǎng)通信故障方面，而是正在日漸的被越來(lái)越多的黑客和惡意人員用在了或者輔助用在了其他電腦病毒中，逐漸地衍生或者變異成為新的局域網(wǎng)攻擊病毒和網(wǎng)絡(luò)安全的新威脅和新殺手。有些具有“ARP欺騙”性質(zhì)和特征的惡意木馬程序成功地入侵到某個(gè)單位的局域網(wǎng)后，它會(huì)通過(guò)發(fā)送一些數(shù)據(jù)包的方式，試圖通過(guò)采用“ARP欺騙”手段順利地截獲該病毒所在局域網(wǎng)內(nèi)的其他計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)資料和通信信息，導(dǎo)致該局域網(wǎng)數(shù)據(jù)通信不穩(wěn)定，頻繁地出現(xiàn)“掉線”現(xiàn)象。同時(shí)，受到攻擊的局域網(wǎng)內(nèi)的其他計(jì)算機(jī)也會(huì)受到不同程度的影響，大面積的出現(xiàn)本機(jī)IP地址與局域網(wǎng)內(nèi)的其他機(jī)器沖突、斷網(wǎng)現(xiàn)象層出不窮，應(yīng)用軟件莫名其妙地出現(xiàn)報(bào)錯(cuò)故障等現(xiàn)象。除此之外，在某些觸發(fā)條件下，它會(huì)自動(dòng)地對(duì)局域網(wǎng)中截獲的其他數(shù)據(jù)包進(jìn)行惡意分析和暴力破解，別有用心地過(guò)濾出用戶客戶端網(wǎng)頁(yè)瀏覽請(qǐng)求和服務(wù)器端的應(yīng)答數(shù)據(jù)包，并在截獲的數(shù)據(jù)包中非法地插入具有一定破壞性的惡意代碼，一旦局域網(wǎng)中的個(gè)別計(jì)算機(jī)系統(tǒng)或者瀏覽器存在一定的安全漏洞，那么該臺(tái)計(jì)算機(jī)就會(huì)在用戶毫不知情的情況下，自動(dòng)下載并且隱蔽地運(yùn)行黑客的惡意木馬或者具有攻擊威脅的程序。由此可見(jiàn)，融入了“ARP欺騙”的惡意木馬和插件程序?qū)τ?jì)算機(jī)和使用用戶的危害性是相當(dāng)大的，ARP協(xié)議英文單詞組合意思是“Address Resolution Protocol”（即我們通常所說(shuō)的地址解析協(xié)議）的單詞首字母縮寫，該協(xié)議應(yīng)用在數(shù)據(jù)鏈路層。

由圖1所示的域名解析原理可以得出，網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī)都具有一個(gè)對(duì)應(yīng)的ARP緩存表，該表記錄了地址之間的映射關(guān)系。網(wǎng)絡(luò)計(jì)算機(jī)在進(jìn)行數(shù)據(jù)傳輸之前需要在緩存表中進(jìn)行地址映射查詢，為了提高查詢速度，ARP緩存表采用了地址映射記錄替換機(jī)制，對(duì)于不經(jīng)常使用的地址映射進(jìn)行刪除操作，這種機(jī)制在一定程度上加快了查詢速度。ARP查詢過(guò)程如圖2所示。

從圖2 ARP地址映射查詢流程可知，ARP協(xié)議客觀存在一個(gè)自身屬性固有的缺陷，即每臺(tái)計(jì)算機(jī)主機(jī)的ARP地址映射表的更新過(guò)程比較簡(jiǎn)單，可以對(duì)信任的局域網(wǎng)廣播域內(nèi)所有的計(jì)算機(jī)請(qǐng)求進(jìn)行回應(yīng)，換言之，在ARP協(xié)議中，局域網(wǎng)內(nèi)接收請(qǐng)求回應(yīng)數(shù)據(jù)幀的計(jì)算機(jī)主機(jī)無(wú)法采用有效的手段來(lái)驗(yàn)證回應(yīng)數(shù)據(jù)包的真?zhèn)?。基于以上情況，在ARP協(xié)議中，很多黑客或者惡意人員根據(jù)這一漏洞進(jìn)行了大量的以太網(wǎng)ARP欺騙攻擊。

3 ARP欺騙攻擊與防范

3.1 ARP防護(hù)整體布局思路

從ARP攻擊的主要原理分析，防范ARP欺騙攻擊不是一蹴而就的，需要采取大量的防范措施，這種攻擊的主要特色在于其攻擊的主要目的不僅僅是針對(duì)服務(wù)器或交換機(jī)硬件本身，而且偽裝的ARP攻擊源十分的隱蔽，很難被識(shí)別和發(fā)現(xiàn)。因此，即便有時(shí)候已經(jīng)發(fā)現(xiàn)遭遇了ARP攻擊，但是卻遲遲找不到攻擊源，也就是說(shuō)要想在很短的時(shí)間內(nèi)發(fā)現(xiàn)攻擊源，并且對(duì)其進(jìn)行快速定位是一件非常艱難的事情。這就在某種意義上來(lái)說(shuō)將ARP攻擊當(dāng)成是普通攻擊或病毒那樣對(duì)其進(jìn)行防御是行不通的，僅憑借單一地從服務(wù)器系統(tǒng)或者從網(wǎng)絡(luò)網(wǎng)關(guān)上進(jìn)行相關(guān)措施的防范顯然是不夠的，而且ARP攻擊防御的效果也不是良好。

在圖3中描述了ARP綜合防護(hù)體系中各種手段的組成。具體方法有：

1）根據(jù)ARP攻擊原理和協(xié)議漏洞缺陷，有針對(duì)性地在主機(jī)中設(shè)置靜態(tài)的MAC to IP對(duì)應(yīng)表，同時(shí)有效地建立IP+MAC組合的安全保障機(jī)制。

2）科學(xué)合理地運(yùn)用MAC地址管理服務(wù)器，根據(jù)局域網(wǎng)數(shù)據(jù)傳輸請(qǐng)求動(dòng)態(tài)地查找ARP地址映射轉(zhuǎn)換表。

3）可以根據(jù)具體網(wǎng)絡(luò)結(jié)構(gòu)和服務(wù)特點(diǎn)適當(dāng)?shù)剡x取和使用代理IP，從而完成數(shù)據(jù)的通信傳輸。

4）適當(dāng)?shù)厥褂梅阑饓夹g(shù)，對(duì)于危險(xiǎn)或者非信任域進(jìn)行必要的隔離操作，對(duì)內(nèi)網(wǎng)計(jì)算機(jī)的ARP數(shù)據(jù)包傳輸進(jìn)行全程監(jiān)督。

5）管理員需要根據(jù)企業(yè)網(wǎng)絡(luò)運(yùn)行狀態(tài)，定期使用rarp請(qǐng)求進(jìn)行ARP響應(yīng)的真實(shí)性檢查，同時(shí)還需要對(duì)主機(jī)的ARP緩存進(jìn)行輪詢檢查。

6）靈活運(yùn)用ARP攻擊探測(cè)等第三方工具軟件，在局域網(wǎng)內(nèi)部進(jìn)行不定期的巡回排查，及時(shí)探測(cè)并且發(fā)現(xiàn)不正常的、非法的ARP廣播數(shù)據(jù)幀。

3.2 MAC地址集中管理

IP地址與MAC地址綁定是目前采用比較普遍的，也是比較有效的ARP攻擊防御方法。但是，在一些比較大型公眾上網(wǎng)環(huán)境中，如果對(duì)局域網(wǎng)中的計(jì)算機(jī)采用靜態(tài)IP地址和MAC地址的綁定就會(huì)給網(wǎng)絡(luò)管理帶來(lái)煩瑣的操作。因此，通常情況下大型網(wǎng)絡(luò)環(huán)境采用MAC地址中央管理的方式進(jìn)行ARP攻擊防范。

如圖4所示，其中MAC地址管理服務(wù)器C負(fù)責(zé)維護(hù)和更新整個(gè)局域網(wǎng)內(nèi)所有主機(jī)的ARP地址映射表，掌握局域網(wǎng)內(nèi)每臺(tái)主機(jī)的MAC與其對(duì)應(yīng)的IP地址之間的映射關(guān)系。管理服務(wù)器C能夠定時(shí)對(duì)整個(gè)局域網(wǎng)中的各個(gè)主機(jī)進(jìn)行掃描，并且可以及時(shí)獲取到主機(jī)對(duì)應(yīng)的MAC地址。當(dāng)管理服務(wù)器C對(duì)主機(jī)A和主機(jī)B同時(shí)進(jìn)行MAC掃描時(shí)，如果發(fā)現(xiàn)主機(jī)A的MAC地址信息與管理服務(wù)器C維護(hù)更新的ARP表中的記錄信息不符，則即可確定主機(jī)A為ARP攻擊源。

這種基于局域網(wǎng)內(nèi)各個(gè)主機(jī)MAC地址實(shí)時(shí)掃描和集中管理的機(jī)制，不但可以快捷、高效地管理和維護(hù)包含海地址映射量信息的ARP表，而且還準(zhǔn)確地探測(cè)到各個(gè)VLan中潛在的、非正常的MAC地址信映射息。由于在通常情況下，計(jì)算機(jī)的病毒預(yù)防和治理技術(shù)一般要落后于各種新病毒或者惡意代碼的攻擊，具有一定的滯后性。因此，就會(huì)在某種程度上造成計(jì)算機(jī)病毒或攻擊代碼在一定范圍內(nèi)大量的存在和蔓延；另一方面是管理，由于不同單位或者部門的重視程度和網(wǎng)絡(luò)管理人員的計(jì)算機(jī)專業(yè)技術(shù)水平參差不齊，使網(wǎng)絡(luò)安全防范體系弱化或者根本就是紙上談兵。在現(xiàn)實(shí)生活中，由于網(wǎng)絡(luò)管理不善和管理人員專業(yè)水準(zhǔn)低下所造成的網(wǎng)絡(luò)安全問(wèn)題層出不窮，給各個(gè)企業(yè)和部門帶來(lái)了極大的無(wú)形損失。有時(shí)候系統(tǒng)漏洞沒(méi)有及時(shí)被發(fā)現(xiàn)，相關(guān)的修復(fù)措施相對(duì)比較滯后，這些由于管理疏忽所導(dǎo)致的安全防護(hù)措施的不到位，給惡意人員和攻擊者提供了極大的攻擊機(jī)會(huì)。

4 總結(jié)

本文通過(guò)對(duì)ARP協(xié)議原理的深入研究和ARP攻擊常用的手段進(jìn)行全方位的剖析，從ARP協(xié)議自身存在的缺陷方面總結(jié)出ARP攻擊欺騙的著力點(diǎn)和根源，以ARP協(xié)議自身存在的、不可避免的缺陷為抓手，進(jìn)行ARP攻擊防御措施的探索，分析各種類型的基于ARP欺騙的不同攻擊手段和惡意攻擊行為，提煉出防范ARP攻擊的幾種方法，尤其在ARP病毒繁衍和變種方面具有一定的效果。

參考文獻(xiàn)：

[1] 何秀麗.大數(shù)據(jù)環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及防范策略研討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（05）.

[2] 李驍.新時(shí)期背景下對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其防范策略的探析[J].中國(guó)管理信息化，2017（23）.

[3] 黃帆.計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵與防御技術(shù)分析[J].電子世界，2016（11）.

[4] 喬向龍.試析計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的入侵和防御技術(shù)[J].中國(guó)新通信，2017（02）.