关于ARP协议攻击的研究

【前言】关于ARP协议攻击的研究由文秘帮小编整理而成，但愿对你的学习工作带来帮助。(Guangdong Lingnan Vocational-Technical College,Guangzhou 510663,China) Abstract:Firstly,this paper gives an introduction to the functions,packet format and working theory of the ARP and analyses the security vulnerabilities that exist in the ARP.W...

摘要：首先介绍了arp协议的内容及其ARP协议的安全问题。然后分析ARP协议攻击手段。最后，分析ARP攻击的防范。

关键词：ARP协议；ARP攻击

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)22-642-02

Research on ARP Attack

ZHANG Jing

(Guangdong Lingnan Vocational-Technical College,Guangzhou 510663,China)

Abstract:Firstly,this paper gives an introduction to the functions,packet format and working theory of the ARP and analyses the security vulnerabilities that exist in the ARP.We emphatically discuss the implements and disserves of several network attacks that based upon the security vulnerabilities of ARP.Lastly, we present some countermeasures against these attacks.

Key words:ARP protocol;ARP attack

1 引言

在OSI七层网络模型中。由于ARP协议（Address Resolution Protocol）地址解析协议是一个较底层协议，因此一般受到关注的程度都不够。但是实际上这个协议却是现在大多数网络通信的基础，并且随着网络技术的飞速发展。大量的团体、机构、单位都建立了自己的网络。因而其安全性研究越来越受到重视。

2 ARP协议

ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层(网络层)提供服务。二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址(即MAC地址)传输以太网数据包的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机[1]这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除。

3 ARP协议的安全问题

ARP协议的安全问题是指由于ARP协议在设计和实现上存在缺陷，从而导致系统的不安全性。其主要缺陷有以下两点：

1)一台主机的IP地址映像在另一台主机的ARP高速缓存中后，它就会被当作是可信任的计算机。而该主机并没有提供检验IP地址到MAC地址对应表真实性的机制，使得大多数主机保存了通过ARP协议得到的映射，却不考虑它的真实性、有效性，也不维护一致性，所以ARP协议可能把几个IP地址映射到同一物理地址上，这是ARP协议的一个安全隐患。

2)任何ARP响应都是合法的，ARP应答无需认证。由于ARP协议是无状态的，它并未规定主机在未受到查询时就不能发送ARP应答包，任何主机即使在没有请求的时候也可以做出应答，而且许多系统会接受未请求的ARP响应，并用其信息篡改其缓存。这是ARP协议的另一个安全隐患。

4 ARP协议攻击手段

1)IP地址冲突

发送上表所示的ARP报文，即可在攻击目标上发生IP地址冲突错误，Windows系列操作系统上表现为弹出警告对话框，Unix/Linux操作系统上表现为系统以mail方式警告根用户并且两种操作系统都会发生网络暂时中断。如果持续发送这种形式的报文，则可以实现对攻击目标的Dos（Deny of Service，拒绝服务攻击）具体如表1所示。

2)篡改ARP缓冲

发送表2所示的ARP报文,就可以更改攻击目标本地的ARP缓冲，将其缓冲中IP地址与MAC地址的映射更改成为我们需要的，具体如表2所示。

表1 IP地址冲突方式下的ARP报文 表2 篡改ARP缓冲方式下的ARP报文

■

3)交换网络下的嗅觉

假设一个网络环境，三台主机分别连接到交换机的三个不同端口上。主机分别为：主机A（IP:192.168.1.1 MAC:AA-AA-AA-AA-AA-AA）、主机B（IP:192.168.1.2 MAC:BB-BB-BB-BB-BB-BB）、主机C（IP：192.168.1.3 MAC:CC-CC-CC-CC-CC-CC）。在这种基于交换拓扑的网络中$正常情况下，A与B通信对于C是不可见的；但是，如果利用ARP Spoofing（ARP欺骗）技术，则可以实现交换网络下的嗅探。我们利用篡改ARP缓冲技术，将A本地ARP缓冲中B的MAC地址篡改为C的MAC地址，同时也将B本地ARP缓冲中A的MAC地址篡改为C的MAC地址，再在主机C上启动IP Forward（IP转发）功能，于是A与B之间的通信通道由A到B变成A到C再到B,C作为中介，转发了A与B通信产生的所有数据包，于是在C上利用常规的嗅探技术就可以完成交换网络下对A与B通信数据的嗅探.由于ARP缓冲存在刷新的问题，因此，如果需要持续地进行嗅探，就需要不断地对A和B发送篡改数据包，以此保证篡改后的信息不会由于本地ARP缓冲超时刷新而重置。

4)截获连接

利用提到的ARP Spoofing（ARP欺骗）技术，无论是在交换网络还是非交换网络中，$我们都可以成为两台正在发生通信的主机的中介，同时我们可以不进行数据转发操作，伪装成为一个主机，与另外一个主机发生数据通信，以此就实现了通信连接的截获。这种技术的危害性很大，攻击者可将一些有害数据发送到另一个主机，例如在已经建立的telnet通道上中传送诸如cat/etc/shadow类的危害性极高的指令。虽然被我们伪装主机的一方会出现超时错误$但是当注意到这一点时，可能为时已晚。

5)广泛的DoS

持续对本子网内所有的ARP请求进行响应，应答一个不存在的MAC地址，导致

基于该ARP应答的后继通信连接全部失败或者收发数据超时。

持续对本子网内所有的ARP Request进行响应，应答的MAC地址全部填写为本子网网关的MAC地址，由于网关自身是具有IP转发功能的。因此导致本子网内部的任何数据通信都需要通过网关进行一次转发"加重网关负荷"会造成网关超负荷而崩溃或者等待队列过长，进而子网内部主机之间、子网内部与外部主机之间的通信连接全部失败或者收发数据超时。

如果某一子网内存在很多具有IP转发功能的主机（如该子网内存在很多路由器或者提供NAT服务的服务器）利用篡改ARP缓冲的技术就可以实现多种形式的讯息洪泛（Message Flood）例如某子网存在具有IP转发功能的主机A、B和C将主机A本地ARP缓冲中默认网关对应的MAC地址篡改为C的MAC地址再将B本地ARP缓冲中默认网关对应的MAC地址篡改为C的MAC地址。这样A与网关的数据通道就变成了A到B到C到网关，如果A的数据流量很大，则B、C也会有较高的负荷，并且在本子网内将会产生较之原来3倍的数据流量（主机越多，产生的流量随之成倍增加）从而形成信息洪泛，整个子网的性能急剧降低。

5 防范措施

ARP攻击是利用网络协议固有的缺陷，因此防御比较困难，如果对协议作很大的修改会破坏它与网络上基于TCP/IP系统的兼容性，而消除这个协议的动态性则会增加局域网的维护成本。因此，采取以下措施可以提高网络的安全性。

1)运行软件来监控网络中可疑的ARP流量。使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。

2)通过动态ARP检查来防止。动态ARP检查DAI(Dynamic ARP Inspection)在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系。

3)使用安全拓扑结构。将网络分为不同的网络段，一个网段仅由能互相信任的计算机组成，各网段之间通过路由器相互连接。广播的数据包不能跨越路由器，

将集线器、普通二层交换机更换成为可管理的智能交换机"通过合理的设置采用端口IP绑定技术、Port Vlan虚拟局域网技术将网络进行更细的划分。

4)提高安全意识，养成良好的安全习惯。包括：对病毒源头的机器进行处理，杀毒或重新装系统；安装杀毒软件并经常更新病毒库，对机器进行病毒扫描；及时安装系统补丁程序；为系统设置强密码；安装并使用网络防火墙软件；关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享；不随便打开或运行陌生、可疑文件和程序。

6 结论

ARP协议的安全缺陷来源于协议自身设计上的不足ARP协议被设计成为一种可信任协议（Trusted Protocol）缺乏合法性验证手段。上述的各种防范措施也存在各自的局限性"不可能对所有的攻击都起到抑制作用"要想从根本上解决这一问题"最好的方法是重新设计一种安全的地址解析协议。ARP是整个IP网络的基础之一"。IPV6也即将到来"其安全性问题不容忽视"也必将成为一个网络研究的热点。

参考文献：

[1] Richard Stenven W,著.范建华.译.TCP/IP详解[M].北京:机械工业出版社,2004.4.

[2] 谢希仁.计算机网络(第4版)[M].北京:电子工业出版社.2003,183-185.

[3] 郭建波,李志明,刘宁宁.跨网段获取远程主机MAC地址的方法与java实现[J].微计算机信息,2005,11-3:171-172.

[4] Kenneth D.Reed,TCP/IP基础[M].北京:电子工业出版社,2002.