淺析arp攻擊及防范

1、<p>　　淺析ARP攻擊及防范</p><p>　　[摘 要]局域網(wǎng)遭遇ARP攻擊，輕則通信緩慢，重則網(wǎng)絡(luò)癱瘓，甚至機(jī)密信息泄漏。在越來(lái)越重視網(wǎng)絡(luò)安全的今天，認(rèn)識(shí)防范ARP攻擊會(huì)使網(wǎng)絡(luò)暢通安全。本文從ARP協(xié)議入手介紹ARP攻擊、后果、ARP攻擊判斷，并做出相應(yīng)防范。 </p><p>　　[關(guān)鍵詞]ARP攻擊；防范技術(shù)；網(wǎng)絡(luò)安全 </p><p>　　

2、中圖分類號(hào)：S68 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）08-0284-01 </p><p><b>　　一、ARP協(xié)議 </b></p><p>　　ARP全稱AddressResolutionProtocol?；赥CP/IP協(xié)議的局域網(wǎng)，假設(shè)使用了IPV4協(xié)議，網(wǎng)絡(luò)連接時(shí)要通過(guò)48位MAC地址來(lái)確定目的接口，而非IP數(shù)據(jù)報(bào)中的32位目的IP

3、地址。主要原因是設(shè)備的MAC地址唯一。那如何解決32位目的IP地址到48位MAC地址的變換呢這就要依靠地址解析協(xié)議ARP了。ARP協(xié)議功能就是為IP地址到對(duì)應(yīng)MAC地址之間提供動(dòng)態(tài)映射。該實(shí)現(xiàn)過(guò)程可簡(jiǎn)單描述為局域網(wǎng)內(nèi)某主機(jī)先以廣播方式發(fā)送ARP請(qǐng)求報(bào)文，等待目的主機(jī)收到此報(bào)文，會(huì)以單播方式發(fā)送ARP應(yīng)答，發(fā)起請(qǐng)求的主機(jī)收到應(yīng)答后確定目的MAC地址，兩臺(tái)主機(jī)通信。 </p><p>　　二、ARP攻擊及后果 <

4、;/p><p>　　局域網(wǎng)中攻擊者通過(guò)偽造IP地址實(shí)現(xiàn)ARP攻擊，過(guò)程中產(chǎn)生大量ARP通信量使網(wǎng)絡(luò)阻塞，甚至秘密泄露，嚴(yán)重威脅網(wǎng)絡(luò)安全。ARP攻擊過(guò)程可簡(jiǎn)單描述如下： </p><p>　　第一種情況，假設(shè)局域網(wǎng)中有三臺(tái)主機(jī)，要與交互通信。先以廣播方式發(fā)出ARP請(qǐng)求，收到后將IP地址偽裝成的IP地址，MAC地址為的真實(shí)MAC地址，將此虛假報(bào)文發(fā)給，會(huì)把誤認(rèn)為，將要給的報(bào)文發(fā)到上。作為攻擊者不會(huì)

5、就此滿足，他會(huì)持續(xù)不斷給發(fā)虛假報(bào)文，造成的ARP高速緩存表存儲(chǔ)錯(cuò)誤IP-MAC對(duì)應(yīng)條目，同時(shí)還會(huì)將IP地址偽裝成的IP地址，MAC地址為的真實(shí)MAC地址，將此虛假報(bào)文發(fā)給，會(huì)將誤認(rèn)為，將本應(yīng)給的報(bào)文發(fā)到上。同樣，的ARP高速緩存表中IP-MAC對(duì)應(yīng)條目也是錯(cuò)誤的。如此，通信斷開，和通信過(guò)程中，便截獲了雙方的私密信息。 </p><p>　　第二種情況，假設(shè)局域網(wǎng)中有三臺(tái)主機(jī)，均未發(fā)送ARP請(qǐng)求，作為攻擊者，要竊取

6、的信息，他將IP地址偽裝成的IP地址，MAC地址為的真實(shí)MAC地址，持續(xù)向外發(fā)送ARP請(qǐng)求廣播，通信后，會(huì)不斷處理的虛假報(bào)文，不斷丟棄請(qǐng)求報(bào)文，無(wú)法通信。 </p><p>　　由以上兩種情況可知，局域網(wǎng)中一臺(tái)主機(jī)發(fā)動(dòng)ARP攻擊，都會(huì)造成網(wǎng)絡(luò)中斷、泄密的嚴(yán)重后果。若局域網(wǎng)中服務(wù)器受到ARP攻擊，服務(wù)器就會(huì)無(wú)暇提供服務(wù)，使網(wǎng)絡(luò)崩潰。重啟服務(wù)器或交換機(jī)以后，問(wèn)題解決，但是過(guò)一段時(shí)間又會(huì)出現(xiàn)同樣的問(wèn)題。遭受攻擊時(shí)泄露的

7、私密信息也會(huì)嚴(yán)重影響到受害者的權(quán)益。 </p><p>　　三、 如何判斷ARP攻擊源 </p><p>　　當(dāng)遭受到ARP攻擊時(shí)，受害主機(jī)的ARP高速緩存表會(huì)記錄錯(cuò)誤的IP-MAC對(duì)應(yīng)條目信息， 使用“arp -a”命令可以查到 IP-MAC對(duì)應(yīng)條目，將此結(jié)果與網(wǎng)絡(luò)正常時(shí)的緩存表比對(duì)，若相同的IP地址對(duì)應(yīng)的MAC地址不相同，那就表示遭受了ARP攻擊，而且與網(wǎng)絡(luò)正常時(shí)IP-MAC對(duì)應(yīng)條目信

8、息不一樣的MAC地址就是ARP攻擊者的MAC地址了。設(shè)備的MAC地址唯一，通過(guò)MAC地址可以準(zhǔn)確找到攻擊源頭。 </p><p>　　另外，發(fā)動(dòng)ARP攻擊的主機(jī)網(wǎng)卡一般會(huì)處于混雜模式。網(wǎng)卡的混雜模式是指一臺(tái)機(jī)器能夠接收所有經(jīng)過(guò)他的數(shù)據(jù)流，而不論目的地址是否是他?？捎肁RPkiller此類掃描工具對(duì)局域網(wǎng)中主機(jī)進(jìn)行掃描，查看哪臺(tái)主機(jī)的網(wǎng)卡是混雜模式來(lái)判斷“真兇”。 </p><p>　　四、

9、ARP攻擊防范 </p><p>　　第一種方法，綁定IP地址和MAC地址。 </p><p>　　在用戶本人的計(jì)算機(jī)上，以網(wǎng)關(guān)為例，利用“arp -s”命令，對(duì)IP地址和MAC地址進(jìn)行綁定，將其做成批處理文件，計(jì)算機(jī)啟動(dòng)時(shí)都會(huì)執(zhí)行該文件，如此ARP高速緩存表中綁定的IP-MAC對(duì)應(yīng)條目不再受到ARP攻擊時(shí)的影響，主機(jī)在與網(wǎng)關(guān)通信交互時(shí)，主機(jī)先查詢本機(jī)ARP高速緩存表中對(duì)應(yīng)的IP-MAC條

10、目，然后對(duì)正確的MAC地址進(jìn)行發(fā)報(bào)。 </p><p>　　該方法比較適用于個(gè)人計(jì)算機(jī)操作，但在大型局域網(wǎng)中慎用，不僅是因?yàn)榇笮途W(wǎng)絡(luò)中需要綁定的IP-MAC對(duì)應(yīng)條目復(fù)雜且綁定操作繁瑣，更是運(yùn)行中太多的綁定條目會(huì)影響執(zhí)行速度，降低效率。 </p><p>　　第二種方法，利用“arp ?Cd”清除命令。“arp -d”命令的作用是清除本機(jī)ARP高速緩存中所有IP和MAC地址的對(duì)應(yīng)條目。利用清

11、除命令可編寫批處理文件，例如： </p><p><b>　?。篶 </b></p><p><b>　　Arp -d </b></p><p>　　Ping 1.1.1.1 -n 1 -w 100 </p><p><b>　　Goto c </b></p>&

12、lt;p>　　將文件保存為“c.bat”，雙擊后在用戶的計(jì)算機(jī)上執(zhí)行，該程序會(huì)在打開的DOS窗口中循環(huán)執(zhí)行。循環(huán)的周期為0.1s，只要不關(guān)閉該窗口即可每過(guò)0.1s清除一次ARP高速緩存表，解決ARP攻擊造成的IP-MAC條目存儲(chǔ)錯(cuò)誤的問(wèn)題。以上數(shù)值可以修改為自己希望的數(shù)值，但注意100的單位是ms，若感覺(jué)ARP清除方法的速度太慢或太快，可以對(duì)應(yīng)s換算改變上面的100為想要的數(shù)值。 </p><p>　　該方

13、法比較適用于個(gè)人計(jì)算機(jī)解決ARP攻擊問(wèn)題，大型局域網(wǎng)中慎用，原因是頻繁的清除ARP高速緩存表，會(huì)讓個(gè)人計(jì)算機(jī)頻繁的發(fā)送ARP廣播包，導(dǎo)致局域網(wǎng)額外負(fù)擔(dān)。 </p><p>　　第三種方法，安裝ARP防火墻。ARP防火墻有多種，例如：奇虎360防火墻、金山防火墻、彩影防火墻等。在個(gè)人計(jì)算機(jī)安裝ARP防火墻后，不必再經(jīng)過(guò)第三者來(lái)發(fā)送免費(fèi)ARP廣播，防火墻還會(huì)在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包并主動(dòng)通告網(wǎng)關(guān)本機(jī)正確的MA

14、C地址，從而保證數(shù)據(jù)通信不受第三者控制，使得數(shù)據(jù)通信安全順暢。 </p><p>　　第四種方法，使用ARP服務(wù)器。局域網(wǎng)中，指定一臺(tái)計(jì)算機(jī)做為專門的ARP服務(wù)器，服務(wù)器上記錄存儲(chǔ)著局域網(wǎng)內(nèi)所有正確可信的IP與MAC地址對(duì)應(yīng)條目。主機(jī)只接受來(lái)自服務(wù)器的ARP配置。當(dāng)有ARP請(qǐng)求時(shí)該服務(wù)器先查閱自己緩存記錄并以被查詢主機(jī)的名義響應(yīng)ARP局域網(wǎng)內(nèi)部的請(qǐng)求，從而防止了ARP攻擊。 </p><p&g

15、t;　　該方法適合于大型局域網(wǎng)，雖然能很好解決ARP攻擊問(wèn)題，但是ARP服務(wù)器安全尤為重要，只有保證了ARP服務(wù)器的安全才能保證大型局域網(wǎng)內(nèi)所有主機(jī)的安全。 </p><p><b>　　五、結(jié)語(yǔ) </b></p><p>　　在日益看重網(wǎng)絡(luò)安全的今天，網(wǎng)絡(luò)中的ARP攻擊依然存在著，雖然對(duì)ARP攻擊的各種防御方法已經(jīng)起到作用，但是仍無(wú)法徹底根除ARP攻擊對(duì)局域網(wǎng)的傷害

16、。對(duì)于用戶本身而言應(yīng)該多了解此類網(wǎng)絡(luò)安全問(wèn)題的解決方法，防范自己的私密信息泄露被他人利用。對(duì)于公司企業(yè)而言，若遭受到ARP攻擊的損害，會(huì)導(dǎo)致企業(yè)內(nèi)部機(jī)密信息外泄，使攻擊者能夠掌握公司的重大決定從而造成公司內(nèi)部不可估量的損失。了解ARP攻擊，采取正確的ARP攻擊防御手段是增強(qiáng)網(wǎng)絡(luò)安全，網(wǎng)絡(luò)通信順暢，保障網(wǎng)絡(luò)環(huán)境良好運(yùn)行的一門必修課。 </p><p><b>　　參考文獻(xiàn) </b></p

17、><p>　　[1]單國(guó)杰.基于ARP欺騙攻擊的防御策略研究[D].山東師范大學(xué)，2011. </p><p>　　[2]張莉.高校機(jī)房ARP欺騙攻擊的防范[J].山西財(cái)經(jīng)大學(xué)學(xué)報(bào)，2011，（S2）：147. </p><p>　　[3]徐華中，閆樹.基于ARP的攻擊分析及對(duì)策研究[J].中國(guó)水運(yùn)（理論版），2007，（3）：97～99. </p>&l