ARP欺骗在局域网中的分析及防御

摘要:本文将介绍几种常见的ARP欺骗和攻击方式,并且从客户端、网关等多个方面提出关于如何防御ARP攻击的多种方法,以达到全面防御维护局域网络安全的目的。

关键词:地址解析协议 介质访问控制 网络安全

中图分类号: 文献标识码:A文章编号:1007-9416(2010)05-0000-00

随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,给政府机构、企事业单位带来了革命性的变革。但是,计算机网络在给人们带来便利的同时也面临着很大的威胁,这种威胁也会给社会带来巨大的损失。

1 ARP欺骗和攻击方式

ARP全称Address Resolution Protocol,地址解析协议,它工作在数据链路层,其作用是提供IP地址到MAC地址的转换。ARP欺骗和攻击方式有很多,以下为最常使用的方式来举例。ARP欺骗主要针对网吧及学校机房等公共上网场所进行攻击。

1.1 简单的欺骗攻击

这种欺骗方式是指:欺骗主机通过发送伪造的ARP包来欺骗网关和目标主机,让目标主机认为这是一个合法的主机。其中包括两种情况:局域网主机冒充网关进行欺骗欺骗过程如图1-1所示:当PC_A要与网关GW_C通讯时,首先要知道GW_C的MAC地址,如果局域网中另有一台主机PC_B冒充GW_C告诉PC_A:GW_C的MAC地址是MAC B,那么PC_A就受骗了;或者直接告诉PC_A:GW_C的MAC地址是PC_X,那么就会如同我们邮寄信件时写错了地址,信件或者是发错了地方,或者是根本就发送不出去。这样一来就会造成断线。

1.2 基于 ARP 的“中间人攻击”

MITM (Man-In-The-Middle)称为“中间人攻击”,是一种“间接”的入侵攻击方式。这种攻击是利用一定手段在两台或多台主机之间人为的加入一台透明主机,这台主机就称为“中间人”。“中间人”能够与原始主机建立连接、截获并篡改它们的通信数据。由于“中间人”对于原通信双方是透明的,使得“中间人”很难被发现,也就使得这种攻击更加具有隐蔽性。而其中“中间人”常用的一种手段就是通过ARP欺骗的方式来实现的。

1.3 MAC洪泛现象

MAC Flooding可以称之为MAC洪泛现象。其中flooding是一种快速散布网络连接设备更新信息到整个大型网络打每一个节点的一种方法。交换机中也存放着一个ARP缓存表。同主机中的ARP缓存表相同,它也起到记录网络设备MAC地址与IP地址的对应关系的功能。但是交换机中的ARP缓存表的大小是固定的,这就导致了ARP欺骗的另一种隐患:由于交换机可以主动学习客户端的MAC地址,并建立和维护这个ARP缓存表,当某人利用欺骗攻击连续大量的制造欺骗MAC地址,ARP缓存表就会被迅速填满,同时更新信息以洪泛方式发送到所有的接口,也就代表TRUNKING。所以说MAC Flooding是一种比较危险的攻击,严重会使整个网络不能正常通信。

1.4 基于ARP的DoS攻击

DoS(Denial of Service)中文为,拒绝服务攻击。DoS攻击的目的就是让被攻击主机拒绝用户的服务访问,破环系统的正常运行。最终使用户的部分Internet连接和网络系统失效。基于ARP的DoS攻击是新出现的一种攻击方式。它的基本原理是:攻击者利用ARP欺骗工具,不断向被攻击主机发送大量的连接请求,由于遭到ARP欺骗的主机不能够根据ARP缓存表找到对方主机,加之主机的处理能力有限,使得它不能为正常用户提供服务,便出现拒绝服务。在这个过程中,攻击者可以使用ARP欺骗方式来隐藏自己,这样在被攻击主机的日志上就不会出现攻击者真实的IP地址。

2 ARP欺骗的解决方案

2.1 解决方案

2.1.1解决方案一

建议用户采用双向绑定的方法解决并且防止ARP欺骗。

(1)在PC上绑定路由器的IP和MAC地址:

①首先,获得路由器的内网的MAC地址。②编写一个批处理文件rarp.bat内容如下:

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。如果是ReOS 6.0以后用户可以直接从 WEBUI--高级配置—IP/MAC绑定页面下载“导出ARP绑定脚本文件”即可替代上述批处理文件“rarp.bat”。将这个批处理软件拖到“windows--开始--程序--启动”中。

(2)在路由器上绑定用户主机的IP和MAC地址:在WEBUI--高级配置—IP/MAC绑定 中将局域网每台主机均作绑定。

2.1.2解决方案二

对于上面一种处理方式,是解决ARP攻击的最优方法。但是在用户的实际使用中可能会遇到以下问题:

某些Windows 2000的版本,在做了对路由器的ARP绑定之后,仍然会受到ARP欺骗的影响;解决方法:打开路由器LAN口ARP KEEPALIVE功能,这样路由器就会以10次/秒的速度向内网广播自己的ARP信息,如果ARP攻击软件发送的ARP欺骗包的速度比路由器发送的慢的话,那么主机就不会受到ARP攻击的影响。

2.1.3解决方案三

DHCP自动绑定与ARP广播相结合:

对于企业或酒店等内网主机IP/MAC不固定,自动获取ip地址占大比重的情况,路由器提供定时扫描并自动将DHCP分配的ip地址与当前的mac地址绑定,客户端DHCP租期到期未成功续租的将自动删除。

同时再加上路由器按照一定频率发送申明自己IP和MAC地址的广播包,告知内网每台主机正确的网关ARP信息。

(1)进入隐藏界面:http://192.168.16.1/TaskScheduler.asp,建立计划任务,保存后HiPER将定期扫描网络并自动绑定及解绑。(2)通过路由器网关发送一定频率的广播包,告知每台客户正确的网关地址。

3 结语

ARP协议自身的缺陷虽然给网络安全,尤其是局域网络的安全带来很大的隐患,但是只要掌握了它的基本原理,就可以从多方面下手,杜绝隐患。普通的一种方法也许不能够完全杜绝这种网络传输中所带来的隐患,只有在客户端、各个网关和服务器端同时建立起有效的立体防御机制,才能有保证网络安全。