基于ARP的攻击分析及防范策略

摘 要：随着互联网的广泛应用，内部网络的安全问题逐渐成为人们关注的焦点。在频繁发生的攻击行为中，利用ARP协议的漏洞进行攻击是主要的手段之一。本文探讨了基于ARP的攻击分析及防范策略。

关键词：ARP 防范 攻击

一、ARP的工作原理

ARP(地址解析协议Address Resolution Protocol)解决了从IP地址到硬件地址的映射问题。比如，源主机欲向本网内的其它主机发送数据包时，先在源主机的ARP高速缓存中查看有无目的主机的硬件地址，如存在，就将目的主机的硬件地址写入MAC帧并发送；如不存在，源主机自动在网内广播一个ARP请求报文来获得目的主机的硬件地址，网内的所有主机都收到此ARP请求，只有目的主机才会发回一个ARP响应报文，并写入自己的硬件地址，当源主机收到目的主机的ARP响应后，就在其ARP高速缓存中写入目的主机的IP地址到硬件地址的映射。

传统的共享式以太网是由集线器进行网络互连，而集线器属于物理层设备，采用广播技术将一个端口接收到的报文广播到本网内的所有机器上，目的主机会接收此报文，而非目的主机则丢弃该报文。但是，如果将网卡设为混杂模式，则非目的主机也可以接收此报文。

交换式以太网络是采用属于数据链路层设备的二层交换机进行网络互连，通过读取数据包中的目的MAC地址并查找相应的端口进行转发，如果找不到相应的端口，则把数据包广播到所有端口上，当目的机器回应时交换机就可以学习目的MAC地址与哪个端口对应，这就是交换机的“学习”功能，再次转发数据时就有了依据。

基于二层交换机的特点，即使将网卡设为混杂模式，也只能捕获目的MAC地址为本机地址的数据包，共享式以太网中的监听失效。但是，由于ARP协议的无连接、无认证，局域网中的任何主机可随时发送ARP请求包，也可以接收ARP应答包，并且无条件地根据应答包内的内容刷新本机的ARP缓存，所以ARP欺骗也可应用于交换式以太网络中。

二、ARP的攻击方式

1. 简单的欺骗攻击

这是比较常见的攻击，它是通过发送伪造的ARP包来欺骗目标主机或路由器，让对方认为这是一台合法的主机，于是便完成了欺骗。这种欺骗多发生在同一个网段内。

2. 对交换机(路由器)的MAC地址欺骗攻击

交换机上同样维护着一个动态的MAC地址表，表内记录的是MAC地址与交换机端口相对应的情况。如果有人发送伪造的ARP包来欺骗交换机，则交换机收到这个包后，会更新MAC地址表，将对应的MAC地址指向这个端口，从而达到欺骗的目的。

还有一种情况是对交换机进行MAC地址Flooding攻击。这是一种比较危险的攻击，方法是通过发送大量的假MAC地址的数据包，使交换机的ARP表溢出(交换机的MAC地址表大小有限，当这个表的所有空间都用完了后就会溢出)，从而使整个网络不能正常通信。

3. 基于ARP的DoS攻击

DoS又称拒绝服务攻击，当大量的连接请求被发送到一台主机时，由于主机的处理能力有限，不能为正常用户提供服务，便出现拒绝服务。这个过程如果使用ARP来隐藏自己，在被攻击主机的日志上就不会出现真实的IP地址，攻击的同时也不会影响到本机。

三、ARP欺骗的防范策略

1. 设置静态ARP缓存。

使用静态的IP->MAC的解析新ARP协议攻击的最根本原理是改变IP与MAC地址的对应关系。可以采取静态MAC地址表法的方法进行防范。主机的IP->MAC地址对应表手工维护，输入之后不再动态更新，显然可以避免ARP协议攻击，大多数的三层交换机都支持这种方法。但是，这种方法也具有一定的缺陷，在移动或经常变化的网络环境中，这种手工维护MAC表的方式不适用，而且它对网络硬件也有较高的要求。另外，采用此方式设置静态ARP缓存，管理员需要定期轮询，检查主机上的ARP缓存。

2. 交换机端口设置。

（1）端口保护（类似于端口隔离）：ARP欺骗技术需要交换机的两个端口直接通讯，端口保护设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN资源。同一个交换机的两个端口之间不能进行直接通讯，需要通过转发才能相互通讯。

（2）数据过滤：如果需要对报更进一步的控制，用户可以采用ACL（访问控制列表）。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤，根据预设条件，对报出允许转发或阻塞的决定。华为和Cisco的交换机均支持IP ACL和MAC ACL，每种ACL分别支持标准格式和扩展格式。标准格式的ACL根据源地址和上层协议类型进行过滤，扩展格式的ACL根据源地址、目的地址以及上层协议类型进行过滤，异词检查伪装MAC地址的帧。

3. 网络路由分割。

目前，网络上已经使用高层交换的方式，基于IP地址变换进行路由的第三层(第四层)交换机逐渐被采用，第三层交换技术用的是IP路由交换协议。以往的链路层的MAC地址和ARP协议已经不起作用，因而ARP欺骗攻击在这种交换环境下不起作用。

4. 修改MAC地址，欺骗ARP欺骗技术。

就是假冒MAC地址，最稳妥的一个办法就是修改机器的MAC地址，只要把MAC地址改为别的，就可以欺骗过ARP欺骗，从而达到突破封锁的目的。

5. 使用ARP服务器。

通过该服务器查找ARP转换表来响应其他机器的ARP广播。但必须确保这台ARP服务器不被黑客攻击。

6. 定期捕获ARP请求。

管理员定期在响应的IP包中捕获ARP请求，检查ARP响应的真实性。

7. 采用加密手段防范。

ARP欺骗过程中，即使是使用Sniffer类的抓包软件抓取到了数据，但由于数据包都是以密文传输的，所以不会造成严重影响。

参考文献：

［1］郑先伟.解析ARP 欺骗攻击［J］.中国教育网络，2006.

［2］赵均，陈克非.ARP协议安全漏洞分析及其防御方法［J］.信息安全与通信保密，2006.

［3］那罡.疯狂的ARP痛苦的路由器［J］.中国计算机用户，2006.

［4］陈海军，龙艳军.基于互联网的WEB欺骗分析及其防范方案［J］.中国科技信息，2006.

［5］马军，王岩.ARP协议攻击及其解决方案［J］.微计算机信息，2006.