摘 要:介绍了ARP地址解析协议的含义和工作原理,分析了ARP协议所存在的安全漏洞,给出了网段内和跨网段ARP欺骗的实现过程。最后,结合网络管理的实际工作,重点介绍了ARP欺骗攻击的安全防范策略。
关键词:ARP协议;ARP病毒;ARP欺骗;MAC地址;IP地址
中图分类号:TP393.1文献标识码:A文章编号:16723198(2009)21025901
1 ARP协议简介及工作原理
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,该协议将网络层的IP地址转换为数据链路层地址。TCP IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址,同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址,并实现双方通信。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
2 ARP病毒的实现过程
ARP病毒是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。感染了ARP病毒的计算机试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为有时候无法正常上网,有时候又好了,包括访问网上邻居也是如此。拷贝文件无法完成,出现错误;局域网内的ARP包爆增。使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况,也会出现注销或重新启动计算机又可恢复上网的情况。这种木马危害也很大。各公司网、校园网和网吧等局域网都出现了不同程度的灾情。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网无法上网,严重的可能带来整个网络的瘫痪,对网络管理带来潜在的危害。此外,也有以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的。而且它发的是ARP报文,具有一定的隐秘性,给用户造成了很大的不便和巨大的经济损失。
ARP欺骗的原理如下:
假设这样一个网络,一个Hub接了4台机器,每台都安装有TCP/IP协议,那么电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示:
正常情况下 C:/arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 CC-CC-CC-CC-CC-CC dynamic
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD MAC地址,没有和B相关的证据。
此时A机器的ARP缓存更新了:
C:\>arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.10.3 DD-DD-DD-DD-DD-DD dynamic
这就出现问题了。局域网的网络流通不是根据IP地址进行的,而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成了D的MAC地址。现在A开始Ping 192.168.10.3,网卡递交的MAC地址是DD-DD-DD-DD-DD-DD,结果是网络不通,A根本不能Ping通C。
局域网中一台机器,如果反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包,严重的堵塞了网络。
所以我们一发现问题就应马上处理。不过从刚才的描述病毒好像完美地利用了以太网的缺陷,掩盖了自己的罪行。但事实上,以上方法也留下了蛛丝马迹。尽管ARP数据包没有留下HostB的地址,但是,承载这个ARP包的
ethernet帧却包含了HostB的源地址。而且,正常情况下ethernet数据帧中,帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对,这样的ARP包才算是正确的。如果不正确,肯定是假冒的包。但如果匹配的话,也不一定代表正确,说不定伪造者也考虑到了这一步,而伪造出符合格式要求,但内容假冒的ARP数据包。不过这样也没关系,只要网关这里拥有本网段所有MAC地址的网卡数据库,如果和Mac数据库中数据不匹配也是假冒的ARP数据包。
3 防范措施
(1)不要把你的网络安全信任关系建立在IP基础上或MAC基础上(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
(2)使用可防御ARP攻击的三层交换机,绑定端口MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
(3)查找病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。
(4)对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
(5)关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括、等管理共享。完全单机的用户也可直接关闭Server服务。
(6)经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
(7)给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)。
(8)管理员定期轮询,检查主机上的ARP缓存。
4 结语
网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者带来了严峻的考验。ARP欺骗是一种典型的欺骗攻击类型,它利用了ARP协议存在的安全隐患,并使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理,探讨了ARP协议从IP地址到MAC地址解析过程中的安全性,给出了网段内和跨网段ARP病毒的实现过程,提出了几种常规可行的解决方案。如果多种方案配合使用,就可以最大限度的杜绝ARP病毒攻击的出现。总之,对于ARP病毒的网络攻击,不仅需要用户自身做好防范工作之外,更需要网络管理员应该时刻保持高度警惕,并不断跟踪防范欺骗类攻击的最新技术,做到防患于未然。
参考文献
[1]邓清华,陈松乔.ARP 欺骗攻击及其防范[J].微机发展,2004,(8).
[2]孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术,2005,(5).
[3]张道军,吴银芳,袁海峰.校园网络中ARP病毒的综合治理[J].网络安全技术与应用,2007,(09).
[4]唐秀存,王国欣.基于ARP欺骗内网渗透和防范[J].计算机与信息技术,2007,(04).
