局域网ARP欺骗和攻击主要特点及解决方式

摘要 对局域网频繁发生的ARP欺骗的问题进行论证,分析常见的几种ARP欺骗和攻击方式,讨论通过IP-MAC双向绑定等方式,从客户端、网关等多个方面提出防御和解决ARP攻击的多种方法,以达到维护局域网络安全的目的。

关键词 ARP欺骗;IP-MAC双向绑定;网络安全

中图分类号TP39文献标识码A文章编号 1674-6708(2010)25-0205-02

1 ARP协议的定义及功能

ARP协议(Address Resolution Protocol),或称地址解析协议。ARP协议用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。ARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址或称MAC地址)来确定接口的,而不是根据32位的IP地址。内核(如驱动)必须知道目的端的硬件地址才能发送数据。MAC地址(硬件地址或称以太网地址)即网卡物理地址都是固化在网卡中的,而IP地址所要转化的物理地址就是网卡的物理地址。

在网络传输中数据包的单位我们称之为 “帧”(Frame),“帧”数据是由两部分组成的:帧头和帧数据。帧头包括接收方主机物理地址的定位以及其它网络信息。在以太网中,两台主机间假如要进行通信,就必须事先知道对方的MAC地址。ARP协议的基本功能就在于此,它将目标设备的IP地址,通过ARP映射表转换成为MAC地址。每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表,表中的IP地址与MAC地址是一一对应的,如下表所示:

2 ARP欺骗和攻击方式

ARP缓存表进行更新一个最大的缺点从来不验证收到的的真伪,也就是说从来不会去验证自己是否曾经发送过这个ARP请求,一般收到ARP应答包后只是简单的将应答包里的MAC地址与IP映射关系替换掉原有的ARP缓存表里的相应信息,这个漏洞就为第三方进行ARP欺骗和攻击提供了可乘之机。一般的ARP攻击有以下几种:

1)拒绝服务攻击

拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。如果攻击者向目标主机发送ARP应答包,将其ARP缓存映射表中的MAC地址全部改为根本就不存在的地址,那么目标主机向这个地址发送所有的数据都将丢失,这就使得上层协议忙于处理这种异常反应而无法响应其他外来请求,这就达到了攻击者所要达到拒绝服务的目的。

2)基于ARP的“中间人攻击”

中间人攻击是一种“间接”的入侵攻击方式。这种攻击是利用一定手段在两台或多台主机之间人为地加入一台透明主机,这台主机就称为“中间人”。例如A、C两台客户机通过交换机或者路由器进行通信,一般来说数据包只通过交换机或者路由器在A、C之间通信,A、C电脑中的ARP映射表中MAC地址都是对方的MAC地址,但如果黑客电脑B想要截获A、C之间通信,分别向A、C发送伪造的ARP应答包,将A、C电脑中的ARP映射关系都指向电脑B,那样A、C间的通信就通过B进行了,B就如愿以偿截获所有A、C间的通信数据了。由于网络的特殊性,“中间人”对于原通信双方是透明的,使得很难被发现,也就使得这种攻 击更加具有隐蔽性。

如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击,那么攻击者就可以截取Internet与这个目标主机的之间的全部通信。

3 ARP 欺骗解决方案

3.1 DHCP结合IP-MAC双向绑定

要想彻底避免ARP欺骗的发生,我们需要让每台计算机的MAC地址与IP地址唯一且对应。虽然我们可以手动设置每台电脑 IP地址,但只是个治标不治本的方法。对于那些通过ARP欺骗进行非法攻击的用户来说,他只需要事先将自己的IP地址手动更改掉就可以了,这样检查起来困难就更大了。鉴于这种情况,这就需要进行 IP 与 MAC 的双向绑定,也就是说,不仅要在网关的交换机处静态绑定用户的 MAC地址和IP地址,在客户端也需要静态绑定网关MAC地址和IP地址以及同一网段的IP地址和MAC地址,使之不再动态学习。当然这其实是一个理想的解决方案,现实当中操作起来难度不小,无形当中极大地加重网络管理的负担。这对于小型的局域网是非常有效的方法,但是像大学的校园网本身用户就相当多,还有很多是学生自带电脑,如果一一进行双向绑定,这个工作量可想而知了。基于此项原因,这就需要提出一种更加全面立体的防御对策。

3.2两种主要的防御方案

3.2.1使用路由器进行设置

为了防止外部网络对局域网进行ARP攻击,可以进行基本的路由器ARP表绑定设置。在确定当前网络正常运行的前提下,然后再进ARP绑定设置。具体设置如下:首先要启用ARP绑定功能,其次要绑定ARP表。一般的路由器都可以选择“ARP 映射表”。当确认这个表是正确的,随后进行绑定操作,为了在路由器重启后使这些绑定条目仍然有效,可以选择“全部导入”把这些条目存入静态ARP表,对于这个静态 ARP 映射表,可以进行修改、删除、取消绑定等操作。当然也可以在这里通过手工输入MAC地址、IP地址的方式来添加静态ARP映射条目。在确认进行绑定之前要仔细核对ARP缓存表是否正确的。对于客户端电脑尽量使用手工进行电脑的IP地址设置,因为假如是采用DHCP动态获取IP地址,可能会出现下次上网自动获取到的地址与当前绑定的地址不一致从而致使某些电脑不能正常上网。当更换电脑网卡时也需要更新静态ARP映射表。否则由于更换了网卡的主机的MAC地址与ARP表中的不一致,也会导致无法上网,还有就是假如一台新电脑要上局域网,必须先和网管联系在网关添加静态ARP映射表。

3.2.2客户端主机进行ARP绑定设置

至于个人电脑的绑定设置,可以通过一些软件如AntiARP-DNS,或者或者利用命令提示符下输命令绑定ARP缓存表,此外,Windows Vista也提供了这样的功能。本文主要介绍用编写批处理命令进行开机自动绑定网关ARP缓存表:

1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aaHiPER管理界面—端口配置—局域网端口MAC地址)。

2)编写一个批处理文件rarp.bat内容如下:

@echo off

arp-d

arp-s192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows—开始—程序—启动”中。

其它解决方法还可以是:

1)划分虚拟局域网

欺骗攻击无法跨网段工作,将网络进行越细致地分段,无漏洞渗透成功的可能性就越小。将受信任主机设置在同一社区VLAN中,将绝密性主机设置在隔离VLAN中,可以有效地防止无漏洞渗透的渗入。

2)安装ARP防火墙软件

综上所述,ARP协议自身的缺陷给网络尤其是局域网络的安全带来很大的隐患,我们要高度重视。我们虽然可能无法完完全全杜绝ARP攻击,但是,只要掌握了它的基本原理,通过不断学习,从多方面下手,也是能够解决ARP欺骗带来的问题,还网络一个正常秩序。

参考文献

[1]ARP Address Resolution Protocol,2006.

[2]任侠.吕述望.ARP协议欺骗原理分析与抵御方法.期刊论文.-计算机工程,2003(9).

[3]王群.网络安全[M].北京:人民邮电出版社,2007.

[4]谭敏,杨卫平.ARP病毒攻击与防范[J].网络安全技术与应用,2008(4).