導(dǎo)語：局域網(wǎng)絡(luò)ARP攻擊防范策略一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要文章介紹了ARP地址解析協(xié)議的含義和工作原理，分析了ARP協(xié)議所存在的安全漏洞，給出了網(wǎng)段內(nèi)和跨網(wǎng)段ARP欺騙的實(shí)現(xiàn)過程。最后，結(jié)合網(wǎng)絡(luò)管理的實(shí)際工作，重點(diǎn)介紹了IP地址和MAC地址綁定、交換機(jī)端口和MAC地址綁定、VLAN隔離等技術(shù)等幾種能夠有效防御ARP欺騙攻擊的安全防范策略，并通過實(shí)驗(yàn)驗(yàn)證了該安全策略的有效性。

關(guān)健詞ARP協(xié)議ARP欺騙MAC地址IP地址網(wǎng)絡(luò)安全

1ARP協(xié)議簡(jiǎn)介

ARP(AddressResolutionProtocol)即地址解析協(xié)議，該協(xié)議將網(wǎng)絡(luò)層的IP地址轉(zhuǎn)換為數(shù)據(jù)鏈路層地址。TCPIP協(xié)議中規(guī)定，IP地址為32位，由網(wǎng)絡(luò)號(hào)和網(wǎng)絡(luò)內(nèi)的主機(jī)號(hào)構(gòu)成，每一臺(tái)接入局域網(wǎng)或者Internet的主機(jī)都要配置一個(gè)IP地址。在以太網(wǎng)中，源主機(jī)和目的主機(jī)通信時(shí)，源主機(jī)不僅要知道目的主機(jī)的IP地址，還要知道目的主機(jī)的數(shù)據(jù)鏈路層地址，即網(wǎng)卡的MAC地址，同時(shí)規(guī)定MAC地址為48位。ARP協(xié)議所做的工作就是查詢目的主機(jī)的IP地址所對(duì)應(yīng)的MAC地址，并實(shí)現(xiàn)雙方通信。

2ARP協(xié)議的工作原理

源主機(jī)在傳輸數(shù)據(jù)前，首先要對(duì)初始數(shù)據(jù)進(jìn)行封裝，在該過程中會(huì)把目的主機(jī)的IP地址和MAC地址封裝進(jìn)去。在通信的最初階段，我們能夠知道目的主機(jī)的IP地址，而MAC地址卻是未知的。這時(shí)如果目的主機(jī)和源主機(jī)在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)會(huì)以第二層廣播的方式發(fā)送ARP請(qǐng)求報(bào)文。ARP請(qǐng)求報(bào)文中含有源主機(jī)的IP地址和MAC地址，以及目的主機(jī)的IP地址。當(dāng)該報(bào)文通過廣播方式到達(dá)目的主機(jī)時(shí)，目的主機(jī)會(huì)響應(yīng)該請(qǐng)求，并返回ARP響應(yīng)報(bào)文，從而源主機(jī)可以獲取目的主機(jī)的MAC地址，同樣目的主機(jī)也能夠獲得源主機(jī)的MAC地址。如果目的主機(jī)和源主機(jī)地址不在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)發(fā)出的IP數(shù)據(jù)包會(huì)送到交換機(jī)的默認(rèn)網(wǎng)關(guān)，而默認(rèn)網(wǎng)關(guān)的MAC地址同樣可以通過ARP協(xié)議獲取。經(jīng)過ARP協(xié)議解析IP地址之后，主機(jī)會(huì)在緩存中保存IP地址和MAC地址的映射條目，此后再進(jìn)行數(shù)據(jù)交換時(shí)只要從緩存中讀取映射條目即可。ARP協(xié)議工作原理詳見圖1和圖2。

3ARP欺騙攻擊的實(shí)現(xiàn)過程

3.1網(wǎng)段內(nèi)的ARP欺騙攻擊

ARP欺騙攻擊的核心就是向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答，并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP與MAC間的映射對(duì)，并以此更新目標(biāo)主機(jī)緩存。設(shè)在同一網(wǎng)段的三臺(tái)主機(jī)分別為A,B,C，詳見表1。

表1：同網(wǎng)段主機(jī)IP地址和MAC地址對(duì)應(yīng)表

用戶主機(jī)IP地址MAC地址

A10．10．100．100-E0-4C-11-11-11

B10．10．100．200-E0-4C-22-22-22

C10．10．100．300-E0-4C-33-33-33

假設(shè)A與B是信任關(guān)系，A欲向B發(fā)送數(shù)據(jù)包。攻擊方C通過前期準(zhǔn)備，可以發(fā)現(xiàn)B的漏洞，使B暫時(shí)無法工作，然后C發(fā)送包含自己MAC地址的ARP應(yīng)答給A。由于大多數(shù)的操作系統(tǒng)在接收到ARP應(yīng)答后會(huì)及時(shí)更新ARP緩存，而不考慮是否發(fā)出過真實(shí)的ARP請(qǐng)求，所以A接收到應(yīng)答后，就更新它的ARP緩存，建立新的IP和MAC地址映射對(duì)，即B的IP地址10．10．100．2對(duì)應(yīng)了C的MAC地址00-E0-4C-33-33-33。這樣，導(dǎo)致A就將發(fā)往B的數(shù)據(jù)包發(fā)向了C,但A和B卻對(duì)此全然不知，因此C就實(shí)現(xiàn)對(duì)A和B的監(jiān)聽。

3.2跨網(wǎng)段的ARP欺騙攻擊

跨網(wǎng)段的ARP欺騙比同一網(wǎng)段的ARP欺騙要復(fù)雜得多，它需要把ARP欺騙與ICMP重定向攻擊結(jié)合在一起。假設(shè)A和B在同一網(wǎng)段，C在另一網(wǎng)段，詳見表2。

表2：跨網(wǎng)段主機(jī)IP地址和MAC地址對(duì)應(yīng)表

用戶主機(jī)IP地址MAC地址

A10．10．100．100-E0-4C-11-11-11

B10．10．100．200-E0-4C-22-22-22

C10．10．200．300-E0-4C-33-33-33

首先攻擊方C修改IP包的生存時(shí)間，將其延長(zhǎng)，以便做充足的廣播。然后和上面提到的一樣，尋找主機(jī)B的漏洞，攻擊此漏洞，使主機(jī)B暫時(shí)無法工作。此后，攻擊方C發(fā)送IP地址為B的IP地址10．10．100．2，MAC地址為C的MAC地址00-E0-4C-33-33-33的ARP應(yīng)答給A。A接收到應(yīng)答后，更新其

ARP緩存。這樣，在主機(jī)A上B的IP地址就對(duì)應(yīng)C的MAC地址。但是，A在發(fā)數(shù)據(jù)包給B時(shí)，仍然會(huì)在局域網(wǎng)內(nèi)尋找10．10．100．2的MAC地址，不會(huì)把包發(fā)給路由器，這時(shí)就需要進(jìn)行ICMP重定向，告訴主機(jī)A到10．10．100．2的最短路徑不是局域網(wǎng)，而是路由，請(qǐng)主機(jī)重定向路由路徑，把所有到10．10．100．2的包發(fā)給路由器。主機(jī)A在接受到這個(gè)合理的ICMP重定向后，修改自己的路由路徑，把對(duì)10．10．100．2的數(shù)據(jù)包都發(fā)給路由器。這樣攻擊方C就能得到來自內(nèi)部網(wǎng)段的數(shù)據(jù)包。

4ARP欺騙攻擊安全防范策略

4.1用戶端綁定

在用戶端計(jì)算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP和MAC地址。

1）首先，要求用戶獲得交換機(jī)網(wǎng)關(guān)的IP地址和MAC地址，用戶在DOS提示符下執(zhí)行arp–a命令，具體如下：

C:\DocumentsandSettings\user>arp-a

Interface:10.10.100.1---0x2

InternetAddressPhysicalAddressType

10.10.100.25400-40-66-77-88-d7dynamic

其中10.10.100.254和00-30-6d-bc-9c-d7分別為網(wǎng)關(guān)的IP地址和MAC地址，因用戶所在的區(qū)域、樓體和交換機(jī)不同，其對(duì)應(yīng)網(wǎng)關(guān)的IP地址和MAC地址也不相同。

2）編寫一個(gè)批處理文件arp.bat，實(shí)現(xiàn)將交換機(jī)網(wǎng)關(guān)的MAC地址和網(wǎng)關(guān)的IP地址的綁定，內(nèi)容如下：

@echooff

arp-d

arp-s10.10.100.25400-40-66-77-88-d7

用戶應(yīng)該按照第一步中查找到的交換機(jī)網(wǎng)關(guān)的IP地址和MAC地址，填入arp–s后面即可，同時(shí)需要將這個(gè)批處理軟件拖到“windows--開始--程序--啟動(dòng)”中，以便用戶每次開機(jī)后計(jì)算機(jī)自動(dòng)加載并執(zhí)行該批處理文件，對(duì)用戶起到一個(gè)很好的保護(hù)作用。

4.2網(wǎng)管交換機(jī)端綁定

在核心交換機(jī)上綁定用戶主機(jī)的IP地址和網(wǎng)卡的MAC地址，同時(shí)在邊緣交換機(jī)上將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。

1）IP和MAC地址的綁定。在核心交換機(jī)上將所有局域網(wǎng)絡(luò)用戶的IP地址與其網(wǎng)卡MAC地址一一對(duì)應(yīng)進(jìn)行全部綁定。這樣可以極大程度上避免非法用戶使用arp欺騙或盜用合法用戶的IP地址進(jìn)行流量的盜取。具體實(shí)現(xiàn)方法如下（以AVAYA三層交換機(jī)為例）：

P580(Configure)#arp10.10.100.100:E0:4C:11:11:11

P580(Configure)#arp10.10.100.200:E0:4C:22:22:22

P580(Configure)#arp10.10.200.300:E0:4C:33:33:33

2）MAC地址與交換機(jī)端口的綁定。根據(jù)局域網(wǎng)絡(luò)用戶所在的區(qū)域、樓體和用戶房間所對(duì)應(yīng)的交換機(jī)端口號(hào)，將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定。此方案可以防止非法用戶隨意接入網(wǎng)絡(luò)端口上網(wǎng)。網(wǎng)絡(luò)用戶如果擅自改動(dòng)本機(jī)網(wǎng)卡的MAC地址，該機(jī)器的網(wǎng)絡(luò)訪問將因其MAC地址被交換機(jī)認(rèn)定為非法而無法實(shí)現(xiàn)上網(wǎng)，自然也就不會(huì)對(duì)局域網(wǎng)造成干擾了。具體操作如下（以AVAYA二層邊緣交換機(jī)為例）：

console>(enable)lockport1/1

console>(enable)addmac00:E0:4C:11:11:111

Address00:E0:4C:11:11:11wasaddedtothesecurelist!

console>(enable)lockport1/2

console>(enable)addmac00:E0:4C:22:22:222

Address00:E0:4C:22:22:22wasaddedtothesecurelist!

console>(enable)lockport1/3

console>(enable)addmac00:E0:4C:33:33:333

Address00:E0:4C:33:33:33wasaddedtothesecurelist!

console>(enable)showcam

VLANDestMAC/RouteDesDestinationPort

100:E0:4C:11:11:111/1

100:E0:4C:22:22:221/2

100:E0:4C:33:33:331/3

4.3采用VLAN技術(shù)隔離端口

局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)本單位網(wǎng)絡(luò)的拓卜結(jié)構(gòu)，具體規(guī)劃出若干個(gè)VLAN，當(dāng)管理員發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò)，或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)管理員可利用技術(shù)手段首先查找到該用戶所在的交換機(jī)端口，然后將該端口劃一個(gè)單獨(dú)的VLAN將該用戶與其它用戶進(jìn)行物理隔離，以避免對(duì)其它用戶的影響。當(dāng)然也可以利用將交換機(jī)端口Disable掉來屏蔽該用戶對(duì)網(wǎng)絡(luò)造成影響，從而達(dá)到安全防范的目的。

5結(jié)束語

網(wǎng)絡(luò)欺騙攻擊作為一種非常專業(yè)化的攻擊手段，給網(wǎng)絡(luò)安全管理者帶來了嚴(yán)峻的考驗(yàn)。ARP欺騙是一種典型的欺騙攻擊類型，它利用了ARP協(xié)議存在的安全隱患，并使用一些專門的攻擊工具，使得這種攻擊變得普及并有較高的成功率。文中通過分析ARP協(xié)議的工作原理，探討了ARP協(xié)議從IP地址到MAC地址解析過程中的安全性，給出了網(wǎng)段內(nèi)和跨網(wǎng)段ARP欺騙的實(shí)現(xiàn)過程，提出了幾種常規(guī)可行的解決方案，如在用戶計(jì)算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP地址和MAC地址、在交換機(jī)上綁定用戶主機(jī)的IP地址和網(wǎng)卡的MAC地址或綁定用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口、VLAN隔離等技術(shù)。如果多種方案配合使用，就可以最大限度的杜絕ARP欺騙攻擊的出現(xiàn)。總之，對(duì)于ARP欺騙的網(wǎng)絡(luò)攻擊，不僅需要用戶自身做好防范工作之外，更需要網(wǎng)絡(luò)管理員應(yīng)該時(shí)刻保持高度警惕，并不斷跟蹤防范欺騙類攻擊的最新技術(shù)，做到防范于未然。

參考文獻(xiàn)

[1]鄧清華,陳松喬.ARP欺騙攻擊及其防范[J].微機(jī)發(fā)展,2004,14(8):126-128.

[2]孟曉明.基于ARP的網(wǎng)絡(luò)欺騙的檢測(cè)與防范[J].信息技術(shù),2005,(5):41-44.

[3]徐功文,陳曙,時(shí)研會(huì).ARP協(xié)議攻擊原理及其防范措施[J].網(wǎng)絡(luò)與信息安全,2005,(1):4-6.

[4]張海燕.ARP漏洞及其防范技術(shù)[J].網(wǎng)絡(luò)安全,2005,(4):40-42.

[5]王佳,李志蜀.基于ARP協(xié)議的攻擊原理分析[J].微電子學(xué)與計(jì)算機(jī),2004,21(4):10-12.