ARP攻击的定位与防范

摘要：本文首先对ARP协议进行了介绍，分析了产生ARP攻击的原因，描述了网络遭受到ARP攻击之后的表现，最后给出了主动防御和被动防御两种安全解决方案。

关键词：ARP；局域网；攻击

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 06-0000-01

Positioning and Prevention of ARP Attack

He Jiadong1,Yang Ming2,Liu Xin2

(1.8630 Troops Network Center,Tianjin300250,China;2.Military Medical College Network Information Center,Tianjin300162,China)

Abstract:This paper first introduces the ARP protocol,analyzes the reasons for producing ARP attacks,describing the network's performance suffered after the ARP attack.Finally,the active defense and passive defense two security solutions given.

Keywords:ARP;LAN;Attack

一、概述

在网络世界中，MAC地址的获取过程是一个动态的解析的过程。在这个过程之中通过ARP地址解析协议将IP地址与网卡MAC地址进行映射。ARP攻击就是利用ARP地址解析过程的漏洞对局域网用户进行攻击，使受害者获得错误的IP-MAC映射关系，导致受害者与错误的主机进行通讯。利用ARP攻击，攻击者可以实现欺骗攻击、交换环境嗅探、MAC地址表溢出以及拒绝服务攻击。因此，ARP攻击对局域网存在着巨大的威胁。

二、ARP攻击

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，负责将某个IP地址解析成对应的MAC地址。

ARP是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层地址解析为数据连接层的MAC地址。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框；2.计算机不能正常上网，出现网络中断的症状。

三、ARP攻击的定位

一旦网络中遭受到ARP攻击，由于ARP协议天生的缺陷，必需尽快找到攻击源头，将其从网络中隔离开，才能彻底阻止其对网络继续入侵。

从攻击原理上进行分析，一方面所有的ARP攻击源都会有其特征――网卡会处于混杂模式，因此，我们可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能正在进行ARP攻击。

从另一方面来说，在局域网发生ARP攻击时，可以通过查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域网中部署Sniffer等网络嗅探工具，定位ARP攻击源的MAC。

四、ARP攻击的防范

（一）被动防御措施

1.客户端安装杀毒软件并保持病毒库随时更新，解决终端用户不小心感染ARP病毒，从而对局域网造成危害的问题。

2.客户端安装ARP防火墙软件，防止被ARP攻击。一般ARP防火墙通过向网络中定期广播自己的MAC地址来“主动”告知其他终端不要被“欺骗”，同时在自己的客户端上绑定网关的MAC地址，防止自己被“欺骗”。

3.舍弃ARP协议，采用其他寻址协议，例如PPPOE。采用该方式则会产生一系列的兼容性问题。

总之，采用被动的防御措施，只能“治标”，不能“治本”，而且会给网络带来额外的负担。并不是我们介绍的重点。

（二）主动防御措施

1.dhcp snooping。DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。另外，建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。

这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。

2.ARP inspection。DAI是以dhcp-snooping的绑定表为基础来检查mac地址和ip地址的合法性。需要注意的是，对于前面dhcp-snooping的绑定表中关于端口部分，是不做检测的；同时对于已存在于绑定表中的mac和ip对于关系的主机，不管是dhcp获得，还是静态指定，只要符合这个表就可以了。如果表中没有就阻塞相应流量。

在开始应用Dynamic ARP Inspection时，交换机会记录大量的数据包，当端口通过的数据包过多时，交换机会认为遭受DoS攻击，从而将端口自动errdisable，造成通信中断。为了解决这个问题，我们需要加入命令errdisable recovery cause arp-inspection

在cisco网络环境下，boot request在经过了启用DHCP SNOOPING特性的设备上时，会在DHCP数据包中插入option 82的选项（具体见RFC3046）这个时候，boot request中数据包中的gateway ip address：为全0，所以一旦dhcp relay 设备检测到这样的数据包，就会丢弃。

[作者简介]

何家栋（1983-），男，天津人，8630部队网络中心工程师；杨铭（1982-），男，天津人，武警医学院网络信息中心讲师；刘欣（1984-），女，天津人，供职于武警医学院网络信息中心，初级职称。