摘 要:随着计算机网络的发展,各种病毒和木马程序开始泛滥,ARP攻击已经严重影响到计算机网络通信,甚至会让用户的机密信息被盗取。首先介绍了ARP的原理,然后详细阐述了ARP的攻击方法,最后提出了应对ARP攻击的防范策略。
关键词:ARP;攻击;防御
中图分类号:TP393.08 文献标识码:A 文章编号:1672-7800(2012)002-0119-02
作者简介:黎兆武(1979-),男,广东佛山人,佛山华材职业技术学校教师,研究方向为计算机教学。
1 ARP工作原理
以太网协议规定,局域网中一台主机要和另外一台主机进行直接通信,必须要知道目标主机的MAC地址,即物理地址。TCP/IP协议分为4层,从上到下分别是应用层、传输层、网络层、数据链路层,其中网络层和传输层只关心目标主机的IP地址,因此,以太网使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含有目标主机的IP地址。为了得到目标主机的MAC地址,就必须有一种方法,能够根据目标主机的IP地址得到MAC地址,这就是ARP协议所需要做的事情。ARP,即地址解析协议(Address Resolution Protocol),它是在TCP/IP网络环境下,在两台通信的主机之间,将目标主机的32位IP地址转换成48位的MAC地址。
每台主机在安装了TCP/IP协议之后,会在主机里面建立一个ARP缓存表,在这个缓存表里面的IP地址与MAC地址是一一对应的。我们以一个实例来进行说明。假设在一个局域网中,主机A(IP地址为192.168.1.7)向主机B(IP地址为192.168.1.10)发送数据,在发送数据的时候,主机A会在自己的缓存表中寻找是否有主机B的IP地址,如果主机A在缓存表中找到了主机B的IP地址,那么,就可以直接得到该IP地址对应的MAC地址,因此,直接把MAC地址写入帧里面发送即可。如果主机A在缓存表中找不到主机B的IP地址,那么主机A会在网络上发送一个广播,查询主机B的MAC地址,同时在这个帧里面也包含有主机A自身的IP地址和MAC地址以及主机B的IP地址。网络中所有主机都会收到这个ARP广播,然后这些主机就会检查数据包中的目标主机IP地址与自己的IP地址是否一致,如果不一致,则不会响应主机A的ARP询问,如果一致,则将主机A的IP地址以及MAC地址添加到自己的缓存表中,如果缓存表中已经有了主机A的IP地址等信息,则会更新原来的信息,再将自身的IP地址和MAC地址发送给主机A,告诉主机A,自己就是它要找的主机B。主机A收到这个数据包之后,就会根据数据包的信息对缓存表进行更新,把主机B的IP地址和MAC地址添加到缓存表中,并且根据缓存表的信息向主机B发送数据。如果主机A在发ARP广播之后一直没有收到响应,则表示ARP查询失败。ARP缓存表采用了老化机制,在某一个时间之内,这个时间一般是15到20分钟,如果缓存表中某一行没有被使用的话,就会被删除,这样就可以大大减小ARP缓存表的长度,很大程度上加快查询速度。
2 ARP攻击
所谓ARP攻击,就是攻击者通过伪造IP地址和MAC地址来实现ARP欺骗,在网络中产生大量的ARP通信量来使网络阻塞,只要不断地发出伪造的ARP报文,就会造成目标主机中的ARP缓存中的有效IP-ARP条目被错误的IP-ARP条目替换,进而导致网络中断或中间人攻击。
ARP攻击主要存在于局域网中,当ARP木马植入局域网中的一台计算机之后,这台计算机就会用“ARP欺骗”的手段来截获该局域网中其他计算机的通信信息,从而造成该局域网内其他计算机的通信故障。当局域网遭受ARP攻击之后,有几个常见的表现:第一,不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框;第二,局域网中某个网段的计算机大部分不能正常上网,出现网络中断的症状;第三,局域网中网络运行不稳定,无法ping通网关,或数据包丢失很严重;第四,将网络断开之后,一段时间之后,重新连接,或者用arp-d命令删除ARP缓存表之后,就可以短暂的上网。
当初开发ARP的时候,并没有考虑到安全方面的因素,因此,它也不存在任何的验证机制,这也导致了现在的ARP报文很容易被伪造。另外一个方面,发送ARP请求的设备只要接收到ARP应答报文,就将结果放入ARP缓存表中,而不能判断收到的这个应答是不是正确的源所发送的,这就给了攻击者发难的机会。攻击者就是利用这些缺陷,伪造ARP应答报文,这些应答报文中的IP与MAC的对应关系是错误的,因此用这些到错误的IP-MAC来更新其他设备的ARRP缓存表,会导致其他设备之间的通信故障。
我们通过举例来说明ARP攻击,我们知道,计算机往外发送数据都需要经过网关,我们假设某一台计算机为主机C,其IP地址是172.107.1.7,网关出口路由器的地址是172.107.1.1。当主机C要往外部发送数据的时候,首先它会广播ARP的请求报文去查询网关的MAC地址,因为是广播,所以攻击者也会收到这个请求报文。攻击者收到这个请求报文之后,会向主机C以一定的速率连续发送伪造的ARP应答报文。当主机C收到伪造的ARP应答报文之后,它会将这些错误的信息加入到本地的ARP缓存中。攻击者会在它发送的应答报文中声称自己就是网关,即声称IP地址为172.107.1.1的MAC地址为30-87-30-8d-bd-c0,而这个MAC地址实际上是攻击者的地址,而非真正网关的MAC地址,或者攻击者会声称IP地址为172.107.1.1的MAC地址是不存在的。这样,该局域网中所有计算机发往网关的数据都会发送给攻击者,这样,攻击者就可以得到这些计算机发往外部的数据,从而达到欺骗的目的,也造成了局域网中计算机不能访问外部资源。
另外一种ARP攻击叫ARP中间人攻击,这种攻击比上一种更加严重。ARP中间人攻击中,攻击者首先会伪造网关地址,使得局域网计算机中所有的计算机发给网关的数据全部发给攻击者,在收到这些数据之后,攻击者会将这些数据发往网关,通过网关发送到外部网络,外部网络会返回一个数据通过网关给攻击者,攻击者再将这些返回的数据发送计算机。攻击者就这样成为了计算机与外部网络的中转站,可以窃取到计算机与外部网络交互的所有信息,而计算机却全不知情。
3 ARP攻击的防御策略
3.1 双绑定方法
这种方法是在路由器和主机端,将路由器的IP地址和MAC地址与接入路由器的每台主机的IP地址和MAC地址绑定起来,这样,所有不符合IP-MAC绑定信息的报文会全部丢弃,这样,内网主机就无法冒充网关或者其他主机来欺骗内网内的其他用户。这个方法是从ARP攻击的原理方面来进行防御,这是目前应用最普遍的一个方法。但是这个方法也存在一些缺陷:第一,现在ARP升级的病毒里面存着一个ARP-d命令,这个命令是清除ARP缓存的,因此能够导致静态绑定完全失效;第二,进行这种绑定工作费时费力,如果是用户较多的局域网,是很难进行实际操作的;第三,这种绑定能够让路由器和主机不接收不符合要求的ARP信息,但是ARP攻击数据还是会由攻击者不断发出,同样也会影响内网的传输效率。
3.2 ARP个人防火墙
现在很多杀毒软件中都有ARP个人防火墙,它是在主机端对网关进行绑定,然后通过系统内核层对伪造的ARP数据包进行拦截,同时也会主动告诉网关本主机正确的MAC地址,这样,数据就会正常的流动,即主机和网管之间流动,而不会经过中转站(攻击者),从而保证了数据的安全和网络的通顺。ARP防火墙安装简单、功能齐全而且使用起来十分方便,由软件自动进行管理。但是,ARP防火墙也存在着一些不足:第一,它只是安装在主机端,只是防止个人的数据不会被盗取,并不能保证整个网络的安全;第二,如果发生了ARP欺骗,有人伪造网关,一旦ARP防火墙绑定的网关是这个伪造的网关的话,那就会造成极大的风险。
3.3 VLAN与交换机端口绑定
这种方法是划分VLAN和交换机端口绑定,来防范ARP攻击。这种方法的具体做法是先将VLAN进行细分,这样就可以减小广播域的范围,因而ARP只能在小范围内起作用,不会造成大面积的影响。然后,使用交换机中IP-MAC绑定的功能,绑定完之后,关闭这个功能,这样就可以把对应的IP-MAC与端口进行绑定,从而有效地阻止了ARP攻击对自身地址的篡改,解除了数据被截获的风险。这种方法能够有效地阻止ARP攻击,而且不会影响网络通顺和传输效率。VLAN和交换机端口绑定也存在一些问题:第一,没有保护网关,一旦网关被攻击,不管如何细分VLAN,也同样会造成网络的瘫痪;第二,灵活性不强,把每一台主机都固定在一个交换机端口上,不利于终端的移动;第三,对交换机功能要求较高,必须采用高档的交换机,造价过高。
参考文献:
[1] 王小玲,周刚.一种扩展的ARP协议设计[J].四川理工学院学报(自然科学版),2011(2).
[2] 潘晓君.基于缓存超时的ARP欺骗攻击协议的研究[J].计算机技术与发展,2009(10).
[3] 姚小兵.ARP协议简析及ARP病毒攻击的防御[J].信息网络安全,2009(9).
[4] 何显文.基于ARP协议的网络欺骗与防范[J].通化师范学院学报,2011(6).
(责任编辑:周晓辉)
