网络安全与局域网ＡＲＰ地址欺骗攻击范文

【摘要】ARP协议存在很多漏洞，ARP地址欺骗将会给局域网的安全带来很多威胁。利用命令行法、工具软件法或sniffer抓包嗅探法可定位ARP地址欺骗攻击者。使用静态的IP-MAC地址解析、ARP服务器或第三层交换技术等方法可防御ARP地址欺骗的攻击。

【关键词】ARP协议ARP地址欺骗

ARP，全称AddressResolutionProtocol，它是“地址解析协议的缩写。MAC地址是固化在网卡上串行EEPROM中的物理地址，是由48比特长(6字节)，16进制的数字组成，0~23位是由厂家自己分配，24~47位叫做组织唯一标志符，是识别LAN(局域网)节点的标识。

一、ARP地址欺骗攻击者的定位

利用ARP协议的漏洞，攻击者对整个局域网的安全造成威胁，那么，怎样才能快速检测并定位出局域网中的哪些机器在进行ARP地址欺骗攻击呢?面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实，我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其他电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，再根据网络正常时候的IP一MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出攻击者了。

下面再介绍几种不同的检测ARP地址欺骗攻击的方法。

1.命令行法

在CMD命令提示窗口中利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候，攻击者会向全网不停地发送ARP欺骗广播，这时局域网中的其他电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成攻击者本身的MAC地址，此时，我们只要在其受影响的电脑中使用“ARP-a”命令查询一下当前网关的MAC地址，就可知道攻击者的MAC地址。我们输入“ARP-a''''，命令后的返回信息如下：

InternetAddress00-50-56-e6-49-56PhysicalAddressType192.168.0.dynamic。

由于当前电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是攻击者的MAC地址。这时，再根据网络正常时，全网的IP-MAC地址对照表，查找攻击者的IP地址就可以了[4]。由此可见，在网络正常的时候，保存一个全网电脑的IP-MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。

2.工具软件法

现在网上有很多ARP病毒定位工具，其中做得较好的是AntiARPSniffer(现在已更名为ARP防火墙)。利用此类软件，我们可以轻松地找到ARP攻击者的MAC地址。然后，我们再根据欺骗机的MAC地址，对比查找全网的IP-MAC地址对照表，即可快速定位出攻击者。

3.Sniffer抓包嗅探法

当局域网中有ARP地址欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好地检测出网络的异常举动，利用Ethereal之类的抓包工具找出大量发送ARP广播包的机器，这基本上就可以当作攻击者进行处理。

以上3种方法有时需要结合使用，互相印证，这样可以快速、准确地将ARP地址欺骗攻击者找出来。找到攻击者后，即可利用杀毒软件或手动将攻击程序删除。

二、ARP地址欺骗攻击的防御及其解决办法

1.使用静态的IP-MAC地址解析

针对ARP地址欺骗攻击的网络特性，我们可以使用静态的IP-MAC地址解析，主机的IP-MAC地址映射表由手工维护，输人后不再动态更新。即便网络中有ARP攻击者在发送欺骗的ARP数据包，其他电脑也不会修改自身的ARP缓存表，数据包始终发送给正确的接收者。这种防御方法中常用的是“双向绑定法”。双向绑定法，顾名思义，就是要在两端绑定IP-MAC地址，其中一端是在路由器(或交换机)中，把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。另一端是局域网中的每个客户机，在客户端设置网关的静态ARP信息，这叫PC机IP-MAC绑定。除此之外，很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品，如：华为的FIXAR18-6X系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫，该路由器提供MAC和IP地址绑定功能，可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文，如果其MAC地址不是指定关系对中的地址，路由器将予以丢弃，这是避免IP地址假冒攻击的一种方式。

2.使用ARP服务器

通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播，但必须确保这台ARP服务器不被黑客攻击。

3.使用其他交换方式

现在，基于IP地址变换进行路由的第三层交换机逐渐被采用，第三层交换技术用的是IP路由交换协议。以往的MAC地址和ARP协议已经不起作用，因而ARP欺骗攻击在这种交换环境下不起作用。该方法的缺点是这种交换机价格普遍比较昂贵。

出现ARP地址欺骗攻击的解决办法如下：

第一步：记住网关的正确IP地址和MAC地址，为以后的IP-MAC绑定做准备，也方便以后查找病毒主机。网关MAC的获取，一是可以向单位的网管人员询问;二是在机器正常上网时进行查询，记下网关IP地址和MAC地址，方法如下：打开“命令提示符”窗口，在提示符后键入：ipconfig/al(l用此命令先查询网关的IP地址)，然后再键入：arp-a(用来显示ARP高速缓存中所有项目)，如果并未列出网关IP地址与MAC地址的对应项，那就先ping一下网关IP地址，再显示ARP高速缓存内容就能看到网关的IP-MAC对应项了。第二步：发现网关MAC地址有冲突后，可先用arp-d命令先清除ARP高速缓存的内容，然后再用arp-a命令查看网关IP-MAC项目是否正确。如果病毒不断攻击网关，那就要静态绑定网关的IP-MAC。例如：网关IP地址为10.1.4.254，MAC地址为00-08-20-8b-68-0a，先用arp-d命令清除ARP高速缓存的内容，再在命令提示符后键入：arp-s10.1.4.25400-08-20-8b-68-0a，这样网关IP地址和MAC地址就被静态绑定了。如果用户安装了瑞星防火墙，也可以通过防火墙提供的“设置-详细设置-ARP静态规则”中进行静态绑定，或是在文章最开始的防火墙提示中选择正确的MAC地址后点击“添加到ARP静态表中”。第三步：如果病毒不断攻击网关致使网关的IP-MAC的静态绑定都无法操作，那就应该先找到病毒主机，使其断网杀毒，才能保证网段内其它机器正常上网操作。

三、结束语

由于ARP协议制定时间比较早，当时对这些协议的缺陷考虑不周，使得ARP攻击的破坏性比较大，但其也有局限性，比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议，因为在IPv6协议定义了邻机发现协议(NDP)，把ARP纳人NDP并运行于因特网控制报文协议(ICMP)上，使ARP更具有一般性，包括更多的内容。

参考文献：

[1]专家解读APR病毒.http;///.

[2]马军，王岩.ARP协议攻击及其解决方案.信息安全，2006，22(5-3)：70-77.