ARP欺騙攻擊技術(shù)及其防范方法

1、ARP欺騙攻擊技術(shù)及其防范方法 什么是ARP協(xié)議 要想了解ARP欺騙攻擊的原理，首先就要了解什么是ARP協(xié)議。ARP是地址轉(zhuǎn)換協(xié)議的英文縮寫，它是一個鏈路層協(xié)議，工作在OSI模型的第二層，在本層和硬件接口間進行聯(lián)系，同時為上層（網(wǎng)絡(luò)層）提供服務。 我們知道，二層的以太網(wǎng)交換設(shè)備并不能識別32位的IP地址，它們是以48位以太網(wǎng)地址（就是我們常說的MAC地址）傳輸以太網(wǎng)數(shù)據(jù)包的。因此IP地址與MAC地址之間就必須存在一種對應關(guān)系，而ARP協(xié)議就是用來確定這種對應關(guān)系的協(xié)議。 ARP工作時，首先請求主機發(fā)送出一個含有所希望到達的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，然后目標IP的所有者會以一個含有IP和MAC

2、地址對的數(shù)據(jù)包應答請求主機。這樣請求主機就能獲得要到達的IP地址對應的MAC地址，同時請求主機會將這個地址對放入自己的ARP表緩存起來，以節(jié)約不必要的ARP通信。ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行沒有使用（Windows系統(tǒng)這個時間為2分鐘，而Cisco路由器的這個時間為5分鐘），就會被刪除。通過下面的例子我們可以很清楚地看出ARP的工作機制。 假定有如下五個IP地址的主機或者網(wǎng)絡(luò)設(shè)備，它們分別是： 通過上面的例子我們知道，在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對應的關(guān)系依靠ARP表，每臺主機（包括網(wǎng)關(guān)）都有一個ARP緩存表。在正常情況下這個緩存表能

3、夠有效保證數(shù)據(jù)傳輸?shù)囊粚σ恍裕裰鳈CB之類的是無法截獲A與D之間的通信信息的。 但是主機在實現(xiàn)ARP緩存表的機制中存在一個不完善的地方，當主機收到一個ARP的應答包后，它并不會去驗證自己是否發(fā)送過這個ARP請求，而是直接將應答包里的MAC地址與IP對應的關(guān)系替換掉原有的ARP緩存表里的相應信息。這就導致主機B截取主機A與主機D之間的數(shù)據(jù)通信成為可能。 因此簡單點說，ARP欺騙的目的就是為了實現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達到這個目的。如何發(fā)現(xiàn)及清除 局域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會欺騙局域網(wǎng)內(nèi)所有主機和網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主

4、機。其他用戶原來直接通過網(wǎng)關(guān)上網(wǎng)，現(xiàn)在卻轉(zhuǎn)由通過被控主機轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機性能和程序性能的影響，這種轉(zhuǎn)發(fā)并不會非常流暢，因此就會導致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發(fā)送ARP應答包，會造成網(wǎng)絡(luò)擁塞。 一旦懷疑有ARP攻擊我們就可以使用抓包工具來抓包，如果發(fā)現(xiàn)網(wǎng)內(nèi)存在大量ARP應答包，并且將所有的IP地址都指向同一個MAC地址，那么就說明存在ARP欺騙攻擊，并且這個MAC地址就是用來進行ARP欺騙攻擊的主機MAC地址，我們可以查出它對應的真實IP地址，從而采取相應的控制措施。另外，我們也可以到路由器或者網(wǎng)關(guān)交換機上查看IP地址與MAC地址的對應表，如果發(fā)現(xiàn)某一個MAC對應了大量的IP地址，那么也說明存在ARP欺騙攻擊，同時通過這個MAC地址查出用來ARP欺騙攻擊的主機在交換機上所對應的物理端口，從而進行控制。如何防范？ 我們可以采取以下措施防范ARP欺騙。 （1）在客戶端使用arp命令綁定網(wǎng)關(guān)的真實MAC地址命令如下： arp (先清除錯誤的ARP表) （2）在交換機上做端口與MAC地址的靜態(tài)綁定。 （3）在路由器上做IP地址與MAC地址的靜態(tài)綁定。 （4）使用“ARP SERVER”按一定的時間間隔廣播網(wǎng)段內(nèi)所有主機的正確IP-MAC映射表。 （5）最主要是要提高用戶的安全意識，養(yǎng)成良好的