淺析arp攻擊及防范

1、<p>　　淺析ARP攻擊及防范</p><p>　　[摘 要]局域網(wǎng)遭遇ARP攻擊，輕則通信緩慢，重則網(wǎng)絡(luò)癱瘓，甚至機密信息泄漏。在越來越重視網(wǎng)絡(luò)安全的今天，認識防范ARP攻擊會使網(wǎng)絡(luò)暢通安全。本文從ARP協(xié)議入手介紹ARP攻擊、后果、ARP攻擊判斷，并做出相應(yīng)防范。 </p><p>　　[關(guān)鍵詞]ARP攻擊；防范技術(shù)；網(wǎng)絡(luò)安全 </p><p>　　

2、中圖分類號：S68 文獻標識碼：A 文章編號：1009-914X（2016）08-0284-01 </p><p><b>　　一、ARP協(xié)議 </b></p><p>　　ARP全稱AddressResolutionProtocol?；赥CP/IP協(xié)議的局域網(wǎng)，假設(shè)使用了IPV4協(xié)議，網(wǎng)絡(luò)連接時要通過48位MAC地址來確定目的接口，而非IP數(shù)據(jù)報中的32位目的IP

3、地址。主要原因是設(shè)備的MAC地址唯一。那如何解決32位目的IP地址到48位MAC地址的變換呢這就要依靠地址解析協(xié)議ARP了。ARP協(xié)議功能就是為IP地址到對應(yīng)MAC地址之間提供動態(tài)映射。該實現(xiàn)過程可簡單描述為局域網(wǎng)內(nèi)某主機先以廣播方式發(fā)送ARP請求報文，等待目的主機收到此報文，會以單播方式發(fā)送ARP應(yīng)答，發(fā)起請求的主機收到應(yīng)答后確定目的MAC地址，兩臺主機通信。 </p><p>　　二、ARP攻擊及后果 <

4、;/p><p>　　局域網(wǎng)中攻擊者通過偽造IP地址實現(xiàn)ARP攻擊，過程中產(chǎn)生大量ARP通信量使網(wǎng)絡(luò)阻塞，甚至秘密泄露，嚴重威脅網(wǎng)絡(luò)安全。ARP攻擊過程可簡單描述如下： </p><p>　　第一種情況，假設(shè)局域網(wǎng)中有三臺主機，要與交互通信。先以廣播方式發(fā)出ARP請求，收到后將IP地址偽裝成的IP地址，MAC地址為的真實MAC地址，將此虛假報文發(fā)給，會把誤認為，將要給的報文發(fā)到上。作為攻擊者不會

5、就此滿足，他會持續(xù)不斷給發(fā)虛假報文，造成的ARP高速緩存表存儲錯誤IP-MAC對應(yīng)條目，同時還會將IP地址偽裝成的IP地址，MAC地址為的真實MAC地址，將此虛假報文發(fā)給，會將誤認為，將本應(yīng)給的報文發(fā)到上。同樣，的ARP高速緩存表中IP-MAC對應(yīng)條目也是錯誤的。如此，通信斷開，和通信過程中，便截獲了雙方的私密信息。 </p><p>　　第二種情況，假設(shè)局域網(wǎng)中有三臺主機，均未發(fā)送ARP請求，作為攻擊者，要竊取

6、的信息，他將IP地址偽裝成的IP地址，MAC地址為的真實MAC地址，持續(xù)向外發(fā)送ARP請求廣播，通信后，會不斷處理的虛假報文，不斷丟棄請求報文，無法通信。 </p><p>　　由以上兩種情況可知，局域網(wǎng)中一臺主機發(fā)動ARP攻擊，都會造成網(wǎng)絡(luò)中斷、泄密的嚴重后果。若局域網(wǎng)中服務(wù)器受到ARP攻擊，服務(wù)器就會無暇提供服務(wù)，使網(wǎng)絡(luò)崩潰。重啟服務(wù)器或交換機以后，問題解決，但是過一段時間又會出現(xiàn)同樣的問題。遭受攻擊時泄露的

7、私密信息也會嚴重影響到受害者的權(quán)益。 </p><p>　　三、 如何判斷ARP攻擊源 </p><p>　　當遭受到ARP攻擊時，受害主機的ARP高速緩存表會記錄錯誤的IP-MAC對應(yīng)條目信息， 使用“arp -a”命令可以查到 IP-MAC對應(yīng)條目，將此結(jié)果與網(wǎng)絡(luò)正常時的緩存表比對，若相同的IP地址對應(yīng)的MAC地址不相同，那就表示遭受了ARP攻擊，而且與網(wǎng)絡(luò)正常時IP-MAC對應(yīng)條目信

8、息不一樣的MAC地址就是ARP攻擊者的MAC地址了。設(shè)備的MAC地址唯一，通過MAC地址可以準確找到攻擊源頭。 </p><p>　　另外，發(fā)動ARP攻擊的主機網(wǎng)卡一般會處于混雜模式。網(wǎng)卡的混雜模式是指一臺機器能夠接收所有經(jīng)過他的數(shù)據(jù)流，而不論目的地址是否是他?？捎肁RPkiller此類掃描工具對局域網(wǎng)中主機進行掃描，查看哪臺主機的網(wǎng)卡是混雜模式來判斷“真兇”。 </p><p>　　四、

9、ARP攻擊防范 </p><p>　　第一種方法，綁定IP地址和MAC地址。 </p><p>　　在用戶本人的計算機上，以網(wǎng)關(guān)為例，利用“arp -s”命令，對IP地址和MAC地址進行綁定，將其做成批處理文件，計算機啟動時都會執(zhí)行該文件，如此ARP高速緩存表中綁定的IP-MAC對應(yīng)條目不再受到ARP攻擊時的影響，主機在與網(wǎng)關(guān)通信交互時，主機先查詢本機ARP高速緩存表中對應(yīng)的IP-MAC條

10、目，然后對正確的MAC地址進行發(fā)報。 </p><p>　　該方法比較適用于個人計算機操作，但在大型局域網(wǎng)中慎用，不僅是因為大型網(wǎng)絡(luò)中需要綁定的IP-MAC對應(yīng)條目復雜且綁定操作繁瑣，更是運行中太多的綁定條目會影響執(zhí)行速度，降低效率。 </p><p>　　第二種方法，利用“arp ?Cd”清除命令?！癮rp -d”命令的作用是清除本機ARP高速緩存中所有IP和MAC地址的對應(yīng)條目。利用清

11、除命令可編寫批處理文件，例如： </p><p><b>　　：c </b></p><p><b>　　Arp -d </b></p><p>　　Ping 1.1.1.1 -n 1 -w 100 </p><p><b>　　Goto c </b></p>&

12、lt;p>　　將文件保存為“c.bat”，雙擊后在用戶的計算機上執(zhí)行，該程序會在打開的DOS窗口中循環(huán)執(zhí)行。循環(huán)的周期為0.1s，只要不關(guān)閉該窗口即可每過0.1s清除一次ARP高速緩存表，解決ARP攻擊造成的IP-MAC條目存儲錯誤的問題。以上數(shù)值可以修改為自己希望的數(shù)值，但注意100的單位是ms，若感覺ARP清除方法的速度太慢或太快，可以對應(yīng)s換算改變上面的100為想要的數(shù)值。 </p><p>　　該方

13、法比較適用于個人計算機解決ARP攻擊問題，大型局域網(wǎng)中慎用，原因是頻繁的清除ARP高速緩存表，會讓個人計算機頻繁的發(fā)送ARP廣播包，導致局域網(wǎng)額外負擔。 </p><p>　　第三種方法，安裝ARP防火墻。ARP防火墻有多種，例如：奇虎360防火墻、金山防火墻、彩影防火墻等。在個人計算機安裝ARP防火墻后，不必再經(jīng)過第三者來發(fā)送免費ARP廣播，防火墻還會在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包并主動通告網(wǎng)關(guān)本機正確的MA

14、C地址，從而保證數(shù)據(jù)通信不受第三者控制，使得數(shù)據(jù)通信安全順暢。 </p><p>　　第四種方法，使用ARP服務(wù)器。局域網(wǎng)中，指定一臺計算機做為專門的ARP服務(wù)器，服務(wù)器上記錄存儲著局域網(wǎng)內(nèi)所有正確可信的IP與MAC地址對應(yīng)條目。主機只接受來自服務(wù)器的ARP配置。當有ARP請求時該服務(wù)器先查閱自己緩存記錄并以被查詢主機的名義響應(yīng)ARP局域網(wǎng)內(nèi)部的請求，從而防止了ARP攻擊。 </p><p&g

15、t;　　該方法適合于大型局域網(wǎng)，雖然能很好解決ARP攻擊問題，但是ARP服務(wù)器安全尤為重要，只有保證了ARP服務(wù)器的安全才能保證大型局域網(wǎng)內(nèi)所有主機的安全。 </p><p><b>　　五、結(jié)語 </b></p><p>　　在日益看重網(wǎng)絡(luò)安全的今天，網(wǎng)絡(luò)中的ARP攻擊依然存在著，雖然對ARP攻擊的各種防御方法已經(jīng)起到作用，但是仍無法徹底根除ARP攻擊對局域網(wǎng)的傷害

16、。對于用戶本身而言應(yīng)該多了解此類網(wǎng)絡(luò)安全問題的解決方法，防范自己的私密信息泄露被他人利用。對于公司企業(yè)而言，若遭受到ARP攻擊的損害，會導致企業(yè)內(nèi)部機密信息外泄，使攻擊者能夠掌握公司的重大決定從而造成公司內(nèi)部不可估量的損失。了解ARP攻擊，采取正確的ARP攻擊防御手段是增強網(wǎng)絡(luò)安全，網(wǎng)絡(luò)通信順暢，保障網(wǎng)絡(luò)環(huán)境良好運行的一門必修課。 </p><p><b>　　參考文獻 </b></p

17、><p>　　[1]單國杰.基于ARP欺騙攻擊的防御策略研究[D].山東師范大學，2011. </p><p>　　[2]張莉.高校機房ARP欺騙攻擊的防范[J].山西財經(jīng)大學學報，2011，（S2）：147. </p><p>　　[3]徐華中，閆樹.基于ARP的攻擊分析及對策研究[J].中國水運（理論版），2007，（3）：97～99. </p>&l