基于Wireshark的ARP欺骗分析及发现技术

任皓

（解放军总医院计算机室，北京100853）

目前，网络已经得到了广泛的应用，为人民日常生活提供了诸多便利，比如视频聊天、购物、阅读新闻、资源共享等，但是网络自身也存在着不足。近年来，一些不法分子通过网络窃取公民和企业私密信息，给人们的日常生活和工作带来威胁。其中，ARP欺骗[1-3]是黑客窃取信息的一种有效手段，它可以截获网络中传输的数据包，从中分析出帐号、口令等敏感信息[4]，还可以进一步分析通信内容，便于对通信内容实施篡改和重放，即使信息加密，黑客也可以尝试密码破译[5-6]，所以ARP欺骗是实施网络攻击的重要手段。同时，它的隐蔽性极高，不会影响用户的正常通信，不易被用户察觉，所以要想发现网络中的ARP欺骗行为，需要采用网络分析技术，对网络中传输的数据包进行详细的监控和分析，锁定可疑主机，并结合多种网络检测方法，正确识别出ARP欺骗行为。

1 ARP欺骗原理及特点

ARP协议是Address Resolution Protocol地址解析协议的缩写，数据在局域网中以帧的方式进行传输，根据帧中目标主机的MAC（Medium Access Control）地址来寻址[7]。该协议具有高效的优点，但是缺乏验证机制，当主机接收到ARP数据包时，不会进行任何认证就刷新自己的ARP高速缓存[8-9]。利用这一点可以实现ARP欺骗，造成ARP缓存中毒[10]，将错误的IP地址和MAC地址的映射信息记录在自己的ARP高速缓存中。

ARP欺骗有两种实现方法。一种实现方法是利用ARP请求[11-12]。黑客主机可以发送ARP请求，在ARP请求的源IP地址和源MAC地址字段填充虚假的信息。图1是利用ARP请求实施ARP欺骗的一个示例。主机A的IP地址为209.0.0.5，MAC地址为00-00-C0-15-AD-18。为了实施ARP欺骗，它采用发送ARP请求的方法，源IP地址被填充为209.0.0.7，即主机Z的IP地址。当主机A广播欺骗性的ARP请求时，网络中的主机都会相应更新自己的ARP高速缓存，把IP地址209.0.0.7与MAC地址00-00-C0-15-AD-18联系在一起。此后这些主机需要向主机Z的IP地址发送数据包时，将依据ARP高速缓存中的错误信息向主机A发送数据包。由于ARP请求以广播的形式发送，一个包含欺骗性信息的ARP请求将刷新网络中所有主机的ARP高速缓存，影响面大。这是一种优势也是一种缺陷，缺陷主要在于欺骗行为过于明显，容易被发现。此外，在图1所示的示例中，当主机A发送ARP请求时，身份被伪造的主机Z将弹出IP地址冲突的对话框，因为它发现一台主机使用的IP地址与自己相同。身份被伪造的主机可以通告网络管理员进行排查，发现实施ARP欺骗的主机。

图1 利用ARP请求实施ARP欺骗

实施ARP欺骗的另外一种方法是利用ARP响应。一台主机发送ARP请求以后，如果有其他主机发送欺骗性的ARP响应，发送请求的主机不会进行甄别，会认为ARP响应的内容真实并刷新自己的ARP高速缓存。图2是利用ARP响应实施ARP欺骗的一个示例。主机A发送ARP请求，希望获得IP地址为209.0.0.6的主机的MAC地址。主机Z发出欺骗性的ARP响应，声称与209.0.0.6对应的MAC地址是自己的MAC地址08-00-2B-00-EE-0C。主机A在收到响应后会将主机Z提供的欺骗性信息记录下来。

图2 利用ARP响应实施ARP欺骗

利用ARP响应实施欺骗，主机不会检查自己是否发送过ARP请求，所有的ARP应答都会接收下来。这给黑客利用ARP响应实施欺骗提供了极大便利。采用ARP响应进行欺骗，针对性强，只有黑客希望欺骗的目的主机会刷新ARP高速缓存，其他主机不受干扰。此外，身份被伪造的主机上也不会有告警信息出现。因此，ARP欺骗是实施网络监听的有效手段。ARP病毒程序就是采用ARP欺骗实施中间人攻击来监听两台主机间的通信数据[13-14]。举例来看，在图3中，主机Z希望监听主机A与主机B之间的数据通信。为了达成此目的，主机Z向主机A发送欺骗性的ARP报文，使得在主机A的ARP高速缓存将主机B的IP地址209.0.0.6与主机Z的MAC地址08-00-2B-00-EE-0C绑定。同时，主机Z向主机B发送欺骗性的ARP报文，使得在主机B的ARP高速缓存将主机A的IP地址209.0.0.5与主机Z的MAC地址08-00-2B-00-EE-0C绑定。在这种情况下，当主机A需要向主机B发送数据帧时，目的MAC地址中将填入主机Z的MAC地址，即主机Z能够收到主机A发向主机B的数据。相应的，主机B向主机A发送数据帧时，真正的接收者也是主机Z。主机Z在主机A和主机B之间再进行数据的转发，即可以确保监听两台主机的所有通信数据，同时不会干扰主机A和主机B的相互通信。

2 ARP欺骗的实施

在一个局域网中，使用Cain工具[15]仿真利用ARP欺骗攻击来监听两台主机之间的通信。主机A和主机B使用飞秋进行通信，主机C使用Cain工具对主机A和B进行ARP欺骗攻击。其中，局域网的网段范围为10.65.19.1到10.65.19.254，主机A的IP地址为10.65.19.1，主机B的IP地址为10.65.19.96。

在主机C中安装好Cain工具后，对主机所在的局域网进行扫描和嗅探，嗅探一段时间后，可以在界面上看到局域网上主机的列表，列表中显示了主机的IP地址和所对应的MAC地址。如果嗅探到希望监听的两台主机，Cain就开始对主机A和B进行ARP欺骗攻击，并进行监听，界面中将显示监听到的主机A和B之间发送消息的数量，如图3所示。

图3 开始ARP欺骗攻击

3 利用Wireshark分析发现ARP欺骗

采用数据包分析技术，使用Wireshark软件[16]捕获数据包，对主机C实时监听，在主机C上启动Wireshark，捕获主机C分别发送给主机A和主机B的ARP请求，如图4所示。通过上述分析，可以知道Cain利用了ARP请求进行ARP欺骗攻击。Cain在攻击时，通过ARP请求询问“who has 10.65.19.1”，同时ARP请求中“Sender IP address”字段填入主机B的IP地址 10.65.19.96，而“Sender MAC address”字段填入的却是主机C的MAC地址。主机A在收到该ARP请求后，将根据这两个字段更新自己的ARP高速缓存，把主机B的IP地址与主机C的MAC地址联系在一起，此后主机A需要向主机B发送数据包时，将依据ARP高速缓存中的错误信息向主机C发送数据包；同理，主机C在通过ARP请求询问“who has 10.65.19.96”时，主机B也将更改自己的ARP高速缓存。

图4 捕获的ARP请求

当主机A和B之间使用飞秋通信时，原本是A发送给B的数据包，发送给了主机C，原本是B发送给A的数据包，也发送给了主机C，使用Cain可以发现Wireshark捕获了它们之间的通信数据包，如图5所示。而A、B之间使用飞秋能够正常通信，说明Cain在监听到数据包的同时，又将数据包重新发回给原来的接收方，不会影响双方的通信。通过分析可知，ARP欺骗行为十分隐蔽，被监听双方的通信不会受到影响，所以几乎无法感知，但是通过捕获的数据包，可以看出实施ARP欺骗的主机会在短时间内发送大量的ARP请求或者ARP响应数据帧，这种现象可以帮助网络管理员发现实施ARP欺骗的可疑主机。同时，结合以下检测方法，可以进一步准确地识别出实施ARP欺骗的主机：一是采用PING主机的方法。网络管理员向可疑主机发送定制的PING数据包，目的IP地址是可疑主机的IP地址，目的MAC地址是随机填入的数值。如果目的主机的网卡处于正常工作模式，这种数据包将会被丢弃，如果目的主机的网卡工作在混杂模式，它将接受数据包，主机对这个异常的PING数据包进行回应，那么该主机就是实施ARP欺骗的主机；二是发送垃圾数据包的方法。向网络中发送大量的MAC地址不存在的数据包，正常的主机会丢弃这些数据包，而网卡处于混杂模式的主机会接收这些数据包进行处理，这些数据包会占用监听主机大部分CPU资源，导致计算机性能下降。此时，网络管理员向可疑主机发送PING数据包，并比较发送垃圾数据包前后可疑主机的响应速度是否下降，如果响应速度变慢了，可以推断出该主机正在实施ARP欺骗。

图5 Wireshark捕获通信数据包

4 结 论

本文先对ARP欺骗的原理和特征进行了详细的介绍，再采用Cain软件对ARP欺骗过程进行仿真实验，实验表明ARP欺骗行为不影响被监听双方的通信，隐蔽性强；最后利用Wireshark软件捕获攻击过程中的数据包，通过对数据包分析可以推测出网络中实时ARP欺骗的可疑主机，再结合PING主机和发送垃圾数据包的检测方法进一步确认实施欺骗的主机。基于上述研究，下一步工作将进一步探讨ARP欺骗防御方法，加强局域网的安全防范。

[1]王松滨.ARP攻击与局域网安全[J].电子技术与软件工程，2016（23）:218-220.

[2]刘婷，孙陆鹏，孟庆伟.基于ARP欺骗的校园网络防御策略研究[J].电脑知识与技术，2016（22）:21-23.

[3]王睿.ARP欺骗原理及其防范研究[J].网络安全技术与应用，2013（6）:24-26.

[4]马丽君.基于校园网ARP欺骗分析及防御技术[J].数字技术与应用，2012（2）:216-218.

[5]杨峰.计算机网络中的黑客攻击技术及其防御技术研究[J].软件导刊，2013，12（8）:130-132.

[6]丁伟，谈程.一种基于密文分析的密码识别技术[J].通信技术，2016，49（10）:1382-1385.

[7]王松滨.ARP攻击与局域网安全[J].电子技术与软件工程，2016，37（23）:219-211.

[8]王绍龙，王剑，冯超.ARP欺骗攻击的取证和防御方法[J].网络安全技术与应用，2016（10）:27-28.

[9]张小平.基于ARP漏洞与ARP攻击防范的研究[J].电子技术与软件工程，2013（8）:249-251.

[10]吴礼发，洪征，李华波.网络攻防原理[M].北京：机械工业出版社，2012.

[11]许力航.关于计算机网络安全中ARP攻击的探讨[J].无线互联科技，2015（1）:16-17.

[12]黄学毛.论局域网中ARP攻击及防范措施[J].电脑知识与技术，2016，12（2）:30-32.

[13]刘衍斌，王岳斌，陈岗.基于ARP欺骗的中间人攻击的检测与防范[J].信息安全，2012，28（8）:136-138.

[14]靳燕.ARP攻击实验仿真及防范技术分析[J].操作系统、网络体系与服务器技术，2016（7）：29-32.

[15]石春宏.浅议ARP攻击及其防御[J].网络通讯及安全，2016，12（30）:26-28.

[16]赵建立，吴聪聪.Wireshark在《计算机网络》教学中的应用研究[J].现代计算机，2013（5）：29-32.