局域网内ＡＲＰ欺骗的分析与防范技术

杜连利

[摘要]ARP欺骗是局域网中最普遍、最具危害性的病毒,从ARP协议的原理、ARP协议所存在的漏洞及安全隐患出发,分析ARP欺骗的原理和攻击时的现象,并提出有效的解决办法和防范策略。

[关键词]ARP IP地址 MAC地址 局域网

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810058-01

一、引言

随着网络技术在各个领域的广泛应用,在提高工作效率、实现数据共享及信息交换等方面提供了极大的便利。然而,由于网络协议设计上的缺陷,给网络病毒以可乘之机。ARP病毒的出现,使网络的使用效率急剧下降,甚至对用户的信息安全构成威胁,因此,病毒的防范显得尤为重要。

二、ARP欺骗的分析

(一)ARP协议工作原理。ARP是Address Resolution Protocol的缩写,是TCP/IP协议族中的一个协议,称为地址解析协议,具体来说就是将网络层地址解析为数据连接层的MAC地址。

IP数据包在以太网中传送,但以太网设备并不能识别32位的IP地址,只能识别48位的MAC地址,ARP的解析过程就是将目的主机的IP地址转换成MAC地址。每一台主机都设有一个ARP缓存表用于存放IP地址与MAC地址的对应关系,这个缓存表会定期的被刷新,在一段时间内表中某一行未被使用,就会被删除,这样可以减少ARP缓存表的长度从而加快查询速度。

当主机A欲向本网络的主机B发送数据包时,就先在其ARP缓存表中查找有无主机B的IP地址。如果有,就查出其对应的MAC地址,然后将该MAC帧发往此硬件地址对应的主机;如果不存在,主机A就要向网络发送ARP广播,网络上的所有主机都能收到这个ARP请求,主机B收到广播发现信息中的IP与自己的相同,便向主机A发送ARP响应,告知自己的MAC地址。这样在得到了主机B的MAC地址后,主机A就可以向主机B发送数据了。

值得注意的是,对于某一台主机而言,即使收到的ARP响应并不是由自己的请求而得到的,也不会对其进行“身份验证”,而是直接将其加入到自己的ARP地址缓存表中。这是由于在设计ARP协议时是建立在主机间相互信任的基础上,目的是减少过多的产生ARP广播。后来被人们称为不坚定的ARP协议,意为容易被欺骗的ARP协议。

(二)ARP欺骗的实现。ARP欺骗就是利用了ARP协议的信任机制,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。

假设局域网中A与B是正常通讯的主机,C是实施ARP欺骗的主机,主机C首先向主机A发送假的ARP应答报文,主机A在接收到后,修改自己的ARP地址缓存表,使得主机B的IP地址与主机C的MAC地址相对应。同样,主机C也向主机B发送假的ARP应答报文,使得主机B的ARP地址缓存表修改为主机A的IP地址与主机C的MAC地址相对应。这时,如果A向B发送信息,根据A中的ARP地址缓存表中的IP→MAC的映射关系,信息实际上是先被发送到了主机C,于是,主机A和主机B的通信过程,就被主机C所监听,而主机A和B对此毫无察觉。

另外一种欺骗是用同样的方法冒充网关欺骗网内的主机,使主机的信息不能正常的到达网关,表现为网络掉线。

更为严重的行为是冒充网关欺骗主机的同时又冒充主机来欺骗网关。

三、ARP欺骗带来的危害

1.网络异常,使用局域网时会突然掉线,过一段时间后又会恢复正常。用户频繁断网,严重时甚至可能带来整个网络的瘫痪。

2.数据窃取,具体表现为个人隐私泄漏,如MSN聊天记录、邮件等。账号被盗用,如QQ账号、银行账号等,这是木马的惯用伎俩,给用户造成了很大的不便或经济损失。

3.数据篡改,具体表现为访问的网页被添加了恶意内容,俗称“挂马”。

4.非法控制,具体表现为网络速度、网络访问行为受第三者非法控制。

四、解决方法与防范策略

(一)利用命令行的方式来检测并绑定IP与MAC的映射。ARP病毒攻击的首要目标是网关,因此,保留一份正确的网关的IP-MAC数据很重要。当局域网中发生ARP欺骗的时候,实施ARP欺骗的电脑会不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,我们只要打开一个命令提示符窗口,输入“arp-a”来显示ARP缓存表的内容,显示为:

192.168.1.1 00-21-27-87-b8-1adynamic

如果显示的内容与正确的数据不符,则说明ARP缓存表中网关的MAC已被篡改。先删除现有的IP-MAC对应表:arp-d192.168.1.1,在缓存列表中增加一个正确的、静态的IP→MAC的数据,如arp-s192.168.1.100-21-5c-55-6a-ed,既绑定了网关IP与MAC的对应关系。

如果网管有一个局域网内所有主机的IP-MAC映射表,则可以根据MAC地址找到实施ARP欺骗的主机,利用ARP专杀工具杀毒。

(二)在交换机端口上应用IP-MAC绑定。在交换机端口上实施MAC地址与端口绑定和IP地址与端口的绑定相结合,从而达到在端口上应用IP与MAC地址绑定的功能。一旦绑定之后,交换机的ARP表就固定了,任何ARP欺骗都无法修改交换机的ARP表,同时也就保证了路由的准确性。

(三)在交换机上设置虚拟局域网(VLAN)。由于广播信息不能跨越虚拟局域网,因此通过划分VLAN的方法,减小了ARP广播的范围,从而有效的减小了ARP欺骗带来的影响。

(四)安装ARP防火墙软件。随着ARP欺骗的不断升级,国内多款ARP防火墙软件应运而生,如奇虎360ARP防火墙、金山ARP防火墙、瑞星防火墙等,能有效的抑制ARP欺骗的发生。

五、结束语

网络给人们带来了无限的便利,但随之而来的安全问题让当初的设计者们始料未及。ARP的欺骗正是利用了ARP协议设计上的缺陷,给网络安全、信息安全、甚至财产安全带来极大隐患。但只要我们能从原理出发,找到问题的“症结”所在,利用行之有效的解决方法和防范措施,就能减小或消灭ARP病毒带来的危害,从而确保网络的畅通和数据的安全。

参考文献:

[1]郑成兴,网络入侵防范的理论与实践,机械工业出版社,2006.9.1.

[2]徐宇杰,TCP/IP协议深入分析,清华大学出版社,2009.

[3](美)康弗瑞著,王迎春、谢琳译,网络安全体系结构,人民邮电出版社,2005.

[4]杨延双、张建标、王全民,TCP/IP协议分析及应用,机械工业出版社,2007.

[5](美)帕克、(美)斯鲍泰克,TCP/IP技术大全,机械工业出版社,2001.

[6]http://www.51cto.com.