基于监听抓包技术的互联网ARP攻防战

【摘要】本文通过对互联网内常见的ARP攻击进行分析解读，并提出解决方案，从数据包监听的角度进行阐述，针对实际情况进行故障排除，力求达到解决类似故障的效果。

【关键词】互联网；ARP；攻击；病毒；解决方案

互联网络技术与信息业务发展在今天发生了根本性的改变。各类工作对信息的日益依赖给网络的保密性和安全性提出了更高的要求。各类工作对信息的依赖程度与日俱增，一旦重要的网络信息系统陷入瘫痪，对各类工作可以说是一种毁灭性的打击。近些年来，不少研究人员对于信息加密以及访问控制认证、IP安全等计算机系统安全、计算机网络通信安全方面做了很多研究，并取得了显著的研究成果。但网络的脆弱性和复杂性增加了威胁和攻击的可能性，而且作为许多用户都急需解决的网络监控问题却很少被网络安全和管理技术的研究成果包含在内。

一、ARP攻击简要原理

关于ARP的相关知识互联网上不胜枚举，但是大多理论性比较强，缺乏生动的描述和解释，故一些基础较差的网管员至今无法完全理解ARP的具体含义，不理解就无法对此问题进行深入的研究，更别提解决了，因此有必要对其基础理论知识做一个描述。

（1）ARP工作原理

首先，传输网络数据的原理就是将该IP所对应的MAC找出来，然后将数据传输至这个MAC所对应的网卡之中。因此MAC对于网络传输来说具有决定性质的意义。

网络中的电脑接收ARP讯息后，会查验包中IP流向方向是否和己方IP一致。如果不同的话采取忽略策略；倘若一致的话，电脑主机第一步把送出的MAC和IP配置到己方ARP表中，倘若ARP表中早已保存该IP的数据，便将其覆盖，随即给送出者发送系列ARP反馈数据包，明确自己就是其说对应的MAC；发送方收到ARP回应后，把目的IP包括MAC添加进来，然后根据这些信息进行通讯。倘若发送方未收到任何讯息，则本次联通失败。

（2）ARP欺骗攻击原理

了解了上述ARP的工作原理之后，只要举一个例子就可以解决ARP欺骗和攻击的原理了。首先，我们要创造一个虚拟的网络环境：

网关：1.1.1.1MAC：00：11：22：33：44：55

攻击主机A：1.1.1.2MAC：00：11：22：33：44：66

受害主机B：1.1.1.3MAC：00：11：22：33：44：77

攻击主机A不停的发送ARP应答包给网关，告诉网关他是主机B，这样网关就相信攻击主机，并且在网关的ARP缓存表里就有主机B对应的MAC，这时主机A的MAC就转到了假主机B的头上，网关真正发给主机B的流量就转发给主机A；另外主机A同时不停的向主机B发送ARP讯息，主机B相信主机A为网关，这样主机B真正发送给网关的数据流量就会转发到主机A；等于说主机A和网关之间的通讯就经过了主机A，主机A作为了一个中间人在彼此之间进行转发，这就是ARP欺骗攻击的原理，不难看出，最后受害的就是网关和主机B了，而ARP攻防战的精髓也在此，只要找出主机A的具置，那就可以对症下药，彻底解决问题，值得一提的是，有时候主机A不止一台，那样的话就比较棘手，必须一点一点的核对，但是其基本原理还是相同的，只要慢慢排查，总能查到发送欺骗数据包的主机。

二、ARP攻击战

我们了解了相关原理之后就可以对其进行针对性的排查和解决了，以下笔者从简单到复杂，罗列出绝大部分适用于我们日常互联网维护的方法和措施，供大家研究和参考，有一点值得提醒，请务必在平时做好每台计算机MAC和实际计算机摆放位置或者使用人的对应表，这样会给我们排查带来极大的便利。

（一）基于操作系统命令行模式的监听查找

对于受到ARP攻击的计算机，笔者首推系统（以XP专业版为例）内自带命令行模式，其使用方便，快速有效，不需要第三方软件的支持。具体实施办法：可先进入DOS模式，在系统的开始运行内输入“CMD”后进行DOS界面，输入“ARP-D”即可删除本机内已存在的ARP缓存列表，随机等待片刻后，输入“ARP-A”，会显示出如表2的内容：

我们可以明显的看到，第一行即本机的IP，在其中有两条MAC地址中有两条重复，很显然，MAC为00-e0-4c-c2-7e-50的计算机在进行ARP欺骗攻击，只需要找出这个MAC对应的计算机进行排查即可，看其是否感染病毒或者木马程序。

（二）基于抓包的分析查询

在实战中此类情况产生的可能性较小，但是一旦产生其处理难度相当之大，即使具备丰富经验的网络工程师也可能无能为力，笔者就遇到过名为“ARP攻击变形者”的病毒产生的攻击，其会自动改变本身的MAC以及仿造大量的其他计算机的MAC，造成每次查询出来的数据包都不一样，造成判断上的难点。现在简单介绍具体方法如下：

如果交换机为网管型交换机可以直接创造一个镜像端口，然后单独连接一台确认无异常情况的计算机安装抓包软件进行抓包分析，如无网管型交换机，可在网关处采取一机双网卡的模式进行“搭桥”，在其中使用对一块网卡进行抓包的方法来分析判断。抓包分析的软件有很多，主要的原理就是找出发送大量数据包的相同IP，可能出现的情况就是攻击者并不像传统的ARP攻击那样欺骗网关，让网关“引领”其他的计算机产生指向错误，而是直接欺骗整个除网关外的网段内的所有计算机，让它们都以为本身是网关，从而吸引其通过本身进行数据传递，造成断网，在做到精确的数据分析后，找出有问题的机器进行单独处理。

三、ARP防御战

相对于ARP攻击的查找和排除而言，防御ARP攻击则简单的多，毕竟ARP的原理还不是非常复杂，但是真正要在日常各类工作中做好防御工作也是需要耐心的，具体方法有：

（一）完善IP和MAC的捆绑配置，在交换机，包括客户端都要捆绑，通过这些可以让互联网彻底远离ARP攻击。（二）互联网内的计算机都必须及时更新补丁。（三）网络畅通时及时备份好互联网的IP和MAC对照表，日后处理类似ARP攻击时就会有的放矢。（四）配置硬件检测设备，如防火墙等，或者定期查看交换机状态，时刻监视互联网的ARP广播包，查看其MAC是否正确。（五）正确安装软件防火墙和杀毒软件，及时升级病毒库，定期杀毒。

参考文献

[1]简单六步有效防范ARP地址欺骗病毒.计算机与网络，2009

[2]如何确保家庭无线网络安全.计算机与网络，2009

[3]杨彦素等.Arp协议欺骗原理分析与防范措施详解.计算机光盘软件与应用，2011

[5]周晓皎等.建设创新型城市与构建高等职业教育的新模式 中国管理信息化，2012

[6]王淳等.基于ARP病毒的原理及采取的应对措施.中国科技博览，2011

[7]贾彦萍等.浅析医院局域网ARP病毒及其清除方法.内蒙古科技与经济，2010

[8]刘霞等.浅析ARP协议工作原理.出国与就业，2011