局域网环境下直接和间接ARP风暴攻击的探讨

李少峰 周天宏

（1.郧阳师范高等专科学校 湖北 442000；2.武汉商学院 湖北 430079）

0 引言

分布式拒绝服务（DDoS）攻击是配置多个DOS代理，一起发送攻击流量到一个受害者的计算机。[1]DDoS攻击是一种故意的行为，它是消耗计算机系统的带宽、系统资源和处理时间，从而降低计算机的服务质量和可用性。因此，用户无法充分访问一个或多个Web服务。由于DDoS攻击像洪水一般的数据包攻击，那么计算机资源枯竭的程度取决于流量类型，攻击流量的体积及计算机的处理能力。根据（CERT / CC）中心的调研报告，分布式拒绝服务（DDoS）增加了针对Windows终端用户和服务器攻击。Windows终端用户相比专业人员和网络管理员通常缺少安全意识、防范意识。而且，大量Windows用户的互联网服务提供商相对容易确定，因此攻击者或入侵者利用Windows最终用户的服务器和计算机系统，选择网络攻击目标。

1 ARP攻击的类型

在局域网中，一些计算机受到拒绝服务（DoS）攻击后也会发送大量的ARP请求，占用其他计算机的资源。拒绝服务攻击在快速扫描时，可以造成蠕虫等红色代码形成ARP风暴，网络中受到DDOS攻击的计算机和服务器会出现大量的ARP风暴。受到ARP风暴攻击的计算机，可能会收到大量来自同一局域网中其他计算机攻击的ARP请求，这会占用受ARP风暴攻击的网络带宽和处理信息的能力。蠕虫红色代码的快速扫描活动可能导致拒绝服务服务器攻击，蠕虫红色代码只要有一个补丁没有完成，就可以很容易地扩展到这个系统。对于在网络上感染蠕虫的计算机，其IP地址会一遍又一遍遭到攻击，这会导致网络中大量的流量流失，影响服务器的性能。我们探讨ARP攻击，发现 ARP请求不断的向受害者的计算机发起攻击的同时，在同一个局域网段的受害者计算机也会形成ARP流量攻击其他计算机。

2 处理ARP数据包请求

2.1 ARP数据包请求

在局域网中的网关或主机，使用ARP请求广播消息的IP地址必需和硬件绑定，ARP报文中包含的IP地址，主机的硬件地址需要解析。所有的网络上的计算机接受ARP报文只需要通过发送一个回复，包涵计算机所需要的硬件地址。

2.2 ARP数据包格式

ARP是实用于各种网络技术，ARP数据包的格式取决于正在使用的网络类型。用于以太网的ARP数据包的格式如图1所示。使用8字节的ARP报文格式，解决IP协议的以太网硬件地址。ARP报文格式包含发送端和接收端的硬件地址和IP地址如图1。制作一个ARP请求时，发送方将目标IP地址，硬件地址设置为空（这是由目标计算机填充）。

表1 ARP数据包格式

在ARP请求广播的报文中，发送方提供自己更新的硬件和IP地址，以及发送方未来通信的ARP缓存表。[2]在以太网中，ARP数据包的格式是2字节的硬件类型，网络类型。2字节的协议类型字段指定 IP 地址等高层协议的使用。在任意网络中使用ARP协议的情况下，每一个字节指定了硬件地址和协议地址的长度。2字节的操作字段指定了四种可能性，即1为ARP请求，2表示ARP应答，3 RARP请求和4为RARP应答。[3]

3 两种不同类型ARP

局域网上的计算机将从网络接收两种不同类型的 ARP请求包。ARP请求包的第一类可称为直接ARP请求流量，其中ARP请求数据包的IP地址与本地计算机的IP地址相匹配。第二类 ARP请求流量是通过局域网上计算机的接收称为间接ARP请求流量，在ARP请求数据包的IP地址不匹配本地计算机的IP地址。换句话说，一台计算机的IP地址在局域网可能会收到两种类型的ARP攻击即：

（1）直接ARP流量- 这是包括带有IP地址的ARP请求报文的流量={χ|χ=pi}

（2）间接ARP流量- 这是包括带有IP地址的ARP请求报文的流量={χ|χ≠pi}

ARP攻击计算机一般是直接ARP流量攻击，同一局域网段内，没有遭到直接 ARP流量攻击的其他计算机将遭到间接ARP流量攻击。直接ARP攻击发送者和目标计算机数据包的IP和硬件地址，只是针对发送方计算机。间接ARP攻击一旦确定ARP请求数据包不是本地计算机，间接ARP消息被简单地丢弃。在局域网中非受害者的电脑接收间接的ARP请求帧，相比受害者计算机接收直接ARP请求帧涉及多个处理，一个ARP请求帧所需的处理是相当简单。一个间接的ARP请求消息被接收相对处理较少，受害者的计算机或服务器会有大量的信息给相对较少的计算机进行处理。ARP攻击的直接ARP请求帧、间接ARP请求帧耗尽计算机处理器性能，取决于计算机处理器的速度和带宽。

4 检测和预防

局域网中ARP风暴可以迅速消耗所有计算机的计算资源，从而影响处理能力。因此，在整个局域网网段内要检测ARP风暴并立即预防。为了发现ARP攻击，重要的是要监控每个局域网段上的ARP流量。例如ARP 表，在每个局域网段上可以用来监控ARP流量。还可以使用SNMP监视器在路由器和交换机的ARP映射表变化，提高发生ARP攻击报警。

防止ARP风暴的方法之一是涉及第2层交换机上开始建立控制的ARP广播风暴的源头。这可以通过允许在每个端口上的广播或多流量端口来实现。此外，这些多流量的每个端口应该被限制带宽，利用ARP广播在交换机端口设置消耗，防止ARP广播通过在交换机上端口消耗带宽。为了支持多层次的预防，路由器也可用于控制网段ARP风暴传播给他人的局域网。网络管理员可以配置路由器（使用控制政策）以IM限制ARP请求速率，然后再进行相关的局域网网段的限制。当该ARP请求流量超过设定ARP请求流量，则该ARP请求报文通过路由器丢弃。路由器的硬件必须足够快，以检查和丢弃超过规定流量的ARP请求报文，否则很可能导致路由器崩溃或处理速度放缓，更重要的后果是本身成为一个瓶颈导致最终的拒绝服务（DOS）。

5 结论

分布式拒绝服务（DDoS）攻击，由于ARP风暴可以发现许多计算机局域网系统被蠕虫感染。如红色代码或DDoS代理。在本文中，ARP攻击可以分为两类，直接ARP流量和间接ARP流量攻击，这两种攻击对受害者和非受害者的电脑系统在受影响的情况下网络处理进行了对比。在一个给定的局域网内，ARP攻击不仅耗尽了受害者的计算机资源，同时也耗尽了其他非受害者计算机资源。那么，有效设计和使用交换机和路由器的流量，提高和预防ARP攻击。

[1]李鹏，追踪反射器DDoS攻击[D].吉林大学 2005年.

[2]曾光裕，基于ARP协议的网络监听技术研究[J].《计算机工程与技术》 2009年.

[3]黄向党，数据包的捕获与分析[J].《福建电脑》 2012年.