基于ARP欺骗的网络攻防研究

摘要：ARP（Address　Resolution　Protocol，地址解析协议）是通过IP地址查询目标主机MAC地址建立网络连接的重要网络协议。一旦不法分子利用该协议的漏洞展开网络攻击，将给各类网络带来不可估量的损失。本文首先介绍了ARP的基本原理，而后根据其原理描述了几种攻击实现模式，最后给出了一些预防该类网络攻击的防护措施。

关键词：ARP IP地址 MAC地址 网络攻击 防护措施

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2012）11-0104-01

利用ARP欺骗的网络攻击是目前网络攻击的主流模式之一，由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，进而方便攻击者达到监听网络，窃取有价值的数据的目的，因此它的危害比一些病毒和蠕虫还要严重得多。因此，ARP欺骗成了不法分子盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动的主要手段之一。了解这类攻击并做好网络安全防御是信息时代网络爱好者和网络管理者必修的重要一课。

1、ARP欺骗类网络攻击的原理

局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP完成。

ARP的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。　当这台主机向局域网中另外的主机发送数据时，会根据ARP缓存表里的对应关系进行发送。

ARP的漏洞。假设一个只有三台电脑组成的局域网。其中A代表攻击方；S代表源主机；D代表目标主机。这三台电脑的IP地址分别为192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分别为MAC_A，MAC_S，MAC_D。S要与D建立连接的过程如下：主机S查询ARP缓存表，如有192.168.0.4-->MAC_D，则直接建立连接；如无，S发送广播数据包，请求IP地址为192.168.0.4的主机发回其MAC地址，D随后做出响应，待D的MAC地址发送给S后，彼此建立连接，S更新ARP缓存表，便于下次连接。漏洞描述：A不断做出响应，声称自己的IP地址是192.168.0.4，根据ARP，S与A也建立连接，A就可以嗅探S发来的数据包。更为严重的是，该网络中如果A作为网关，就可以监听整个网络中的数据包。

2、ARP欺骗类网络攻击的实现

条件1：有三台主机处在同一网段，其IP地址和MAC地址分别为：

A：　IP地址　192.168.0.1

MAC地址　AA-AA-AA-AA-AA-AA

B：　IP地址　192.168.0.2

MAC地址　BB-BB-BB-BB-BB-BB

C：　IP地址　192.168.0.3

MAC地址　CC-CC-CC-CC-CC-CC

一个位于主机B的攻击者想非法进入主机A盗取密级资料，但是主机A上安装有防火墙。

实现步骤：通过收集资料，调查分析，攻击者发现主机A的防火墙只对主机C有信任关系，即开放了23端口（telnet），攻击者根据发现的漏洞使主机C暂时停止工作；在这段时间里，攻击者把自己的IP地址改成192.168.0.3，而后用网络工具发一个源IP地址为192.168.0.3，源MAC地址为BB-BB-BB-BB-BB-BB的包给主机A，要求主机A更新自己的ARP缓存表；主机A更新了ARP缓存表中关于主机C的IP-->MAC对应关系；于是防火墙失效了，主机B的MAC地址变为合法的，此时攻击者可以telnet　主机A，攻击完成。

条件2：随着网络健壮性的提升，即使攻击者能嗅探网络数据包，但数据包是经过加密算法严格加密的，而且23端口关闭，攻击者无法Telnet。

攻击者决定配合木马实现新的攻击模式。结合条件1中A，B两台主机，具体实现步骤如下：B实现了对A的连接，并且B成为了该网络的网关；A主机请求访问网址，需要网关下载的网页，并回传给A；B修改了A的HTTP请求，把含有木马的恶意网页传给A（A存在系统漏洞）；A访问恶意链接后，中木马；B通过木马实现对A的控制。这种搭配木马的组合攻击模式逐渐成为当前ARP网络攻击的主流模式。

3、防护措施

由于问题出在网络连接是建立在ARP上的，而通过IP地址来查询目标主机的MAC地址，我们就可以通过绑定IP地址和MAC地址，不给攻击者以可乘之机，这也是当前路由器中常常设有IP地址绑定MAC地址功能选项的重要原因。

系统默认ARP缓存表的动态性是构成安全威胁的第二个原因。使用静态的ARP来绑定正确的MAC是一个有效的方法。比如，在命令行下输入arp　-a可以查看当前的ARP缓存表。以下是本机的ARP表：

C：＼Users＼Administrator>arp　-a

Interface：　206.32.195.56　on　Interface　0x1000002

Internet　Address　Physical　Address　Type

206.32.195.56　00-05-3b-4f-ce-08　dynamic

dynamic代表了ARP的动态性，如果我们把动态改为静态，问题便迎刃而解。于是执行"arp　–s　206.32.195.56　00-05-3b-4f-ce-08"后，我们再次查看ARP缓存表。

C：＼Users＼Administrator　>arp　-a

Interface：　206.32.195.56　on　Interface　0x1000002

Internet　Address　Physical　Address　Type

206.32.195.56　00-05-3b-4f-ce-08　static

此时"TYPE"项变成了"static"，静态类型。ARP缓存表成为静态后，杜绝了攻击者动态更改ARP缓存表的可能，网络的安全性得到进一步的提升。

4、结语

ARP欺骗在以IPv4协议为主的网络中是常见的隐患。尽管管理者可以通过深入研究，找到问题源头，但攻击所带来的经济损失是不可挽回的。我们除了加强文中提到的有效防护措施外，还要做好平时对网络的安全检查与配置，而且最好能够部署好主动的防护系统和杀毒软件，这样才能建立起更为安全健壮的网络。

参考文献

[1]谢希仁.计算机网络（第5版）[M].电子工业出版社，2009.

[2]李启南.基于FARIMA的ARP欺骗入侵检测[J].计算机工程，2011，37（2）.