ARP欺骗的检测

ARP欺骗的检测（精选10篇）

ARP欺骗的检测 第1篇

目前, 由于ARP攻击而导致企业网络瘫痪的例子举不胜举, ARP攻击通过伪造IP地址和MAC地址实现ARP欺骗, 在网络中产生大量的ARP通信量使网络阻塞, 很多企业面对这些攻击束手无策, 因此ARP协议攻击检测方法的研究对网络安全具有重要的意义。

2 ARP原理

ARP协议是地址解析协议 (Address Resolution Protocol) 的英文缩写, 它是一个数据链路层协议, 工作在OSI七层模型的第二层, 它将网络层的IP地址映射到数据链路层的MAC地址, 以便将IP报文封装成以太帧发送, 达到通过IP地址访问以太网的目的。在局域网中, 一台主机要和另一台主机进行通信, 必须要知道目标主机的IP地址, 但是以太网中传输的数据包是以太包, 其寻址是依据其首部的物理地址 (MAC地址) 。因此仅仅知道某主机的逻辑地址 (IP地址) 并不能发送数据给目标主机。在网络数据链路层中传输的是“帧”, 帧里面就有目标主机的MAC地址, 是通过地址解析协议获得的。“地址解析”是指主机在发送帧前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目的设备的IP地址查询其MAC地址, 使两者之间建立了一种对应关系, 从而保证通信的顺利进行。对这种对应关系的查询基于ARP缓存表。在局域网的任何一台主机都在自己的ARP缓冲区中建立一个ARP缓存表, 该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。

3 ARP攻击的种类

3.1 基本的ARP欺骗

攻击主机D (MAC:dddd-dddd-dddd) 通过发送伪造的ARP包给局域网内的其他主机, 宣布自己的IP地址为172.16.1.1, 把自己伪造成网关设备A。其他主机学习到伪造的ARP包, 误把网关A的MAC地址解析为dddd-dddd-dddd, 则所有访问外网的数据包都送给攻击主机D, 如果D不予转发, 则外网通信也就中断了。同理, 攻击主机D还可以通过ARP欺骗伪造成二层网络内的其他主机。

3.2 交换环境的流量嗅探

在ARP欺骗的基础上, 攻击主机可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。主机B (IP:172.16.1.2, MAC:bbbb-bbbb-bbbb) 与主机C (IP:172.16.1.3, MAC:cccc-cccc-cccc) 互访。攻击主机D发送ARP欺骗包给B, 将自己伪装成C;同时又发送ARP欺骗包给C, 将自己伪装成B。这样B和C之间的互访都要通过D, 流量就被监听了。同理, 如果主机B要访问外网, 需要和网关A通信。D通过给A和B分别发不同的ARP欺骗包, 就可以监听主机B访问外网的流量。

3.3 ARP泛洪

攻击主机D发送多个ARP欺骗包, 把自己的IP伪装成172.16.1.2-254等, 从而占用大量的ARP表项。如果网络中存在多个攻击主机伪造大量的ARP表项, 则可能使交换机的ARP表项被耗尽溢出, 从而影响整个网络的正常通信。

3.4 基于ARP欺骗的Do S

Do S又称拒绝服务攻击, 当大量的连接请求被发送到一台主机时, 由于主机的处理能力有限, 不能为正常用户提供服务, 便出现拒绝服务。这个过程中如果使用ARP欺骗来隐藏自己, 则被攻击主机的日志上就不会出现真实的IP, 从而给寻找Do S攻击源带来很大的困难。

4 ARP欺骗攻击的检测

4.1 抓包分析

使用抓包软件 (如windump、snifferpro等) 在局域网内抓ARP的reply包, 以windump为例, 192.168.0.1是网关地址, 抓下来的包只分析包含有reply字符的, 格式如下:

如果最后的MAC地址不是网关的真实MAC地址的话, 那就说明有ARP欺骗存在, 而这个MAC地址就是那台进行ARP欺骗主机的MAC地址。这种方法简单易行, 无需特别权限设置, 所有用户都可以做, 误判率较小。但必须在局域网内部 (广播域内部) 听包才有效。

4.2 对IP-MAC的监控

在网络正常时, 使用NBTSCAN工具扫描全网段的IP地址和MAC地址, 保存一个全网的IP-MAC地址对照表备用。

4.2.1 登陆局域网的上联三层交换机, 并查看交换机的ARP缓存表。

如果在ARP表中存在一个MAC对应多个IP的情况, 就表明极可能存在ARP欺骗攻击, 而这个MAC就是欺骗主机的MAC。

4.2.2 在接入二层交换机上利用转发表找出病毒机器的MAC-PORT对应的网络端口, 对端口进行隔离或对该MAC的数据包进行过滤。

也可使用NBTSCAN或者NETROB0COP软件找出网段内与该MAC地址对应的IP, 对其进行查封或杀毒处理。该方法的优点是对ARP攻击源进行封堵。可防止中毒机器利用其它机器的漏洞进行病毒传播。可及时地将攻击源隔离出网络, 使病毒机器暂时不能上网也不会对整个网络造成危害。但该方法也存在一定的局限性.它的实现对网络交换设备有较强的依赖性。系统要求不断收集三层交换机上的IP-MAC信息和各接入层交换机的MAC-PORT信息表。用户端口一旦被查封, 一定要通过其它方式告知用户, 请用户及时处理病毒机器。机器恢复正常时应及时开通被查封的端口。

结束语

ARP本身并不能造成多大的危害, 一旦被结合利用, 其危险性就不可估量。由于ARP的漏洞所在, 对ARP攻击的防范也很被动, 我们只有提高防范意识, 密切监控网络运行情况, 及时对病毒进行查杀, 才能保障网络的安全畅通。

参考文献

[1]宋志.基于PVLAN技术的防ARP欺骗技术探讨[J].电脑知识与技术, 2005 (4) :377-378, 383.

[2]管荣荣, 罗红飞.图书馆局域网防ARP病毒攻击方法探讨[J].农业图书情报学刊, 2008, 20 (4) :26-29.

[3]孔祥翠, 郭爱章, 耿玉水.校园局域网防ARP病毒的研究和解决[J].计算机安全, 2008 (3) :95-96, 100.

[4]黄玉春, 王自南.浅谈局域网中的嗅探原理和ARP欺骗[J].大众科技, 2006 (8) :84

浅议arp欺骗攻击 第2篇

关键词:arp 欺骗 攻击

中图分类号:TP393.04文献标识码:A 文章编号:1006-8937(2009)03-0073-02

最近一段时间,很多校园局域网内的主机出现频繁断网的现象,引起这种现象的主要原因是局域网内部存在ARP 欺骗攻击。以下笔者就针对这种攻击的原理和防范方法进行了简单介绍。

1 ARP 协议的定义

要想了解ARP 欺骗攻击的原理,首先就要了解什么是ARP 协议,ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。

我们知道,二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。

ARP工作时,首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址,同时请求主机会将这个地址对放入自己的ARP表缓存起来,以节约不必要的ARP通信。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统这个时间为2分钟,而Cisco路由器的这个时间为5分钟),就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。

假定有如下五个IP地址的主机或者网络设备,它们分别是:

假如主机A要与主机B通信,它首先会检查自己的ARP缓存中是否有192.168.1.3 这个地址对应的MAC地址,如果没有

它就会向局域网的广播地址发送ARP 请求包,大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2,而广播地址会把这个请求包广播给局域网内的所有主机,但是只有192.168.1.3 这台主机才会响应这个请求包,它会回应192.168.1.2一个ARP包,大致的意思是192.168.1.3的MAC 地址是02-02-02-02-02-02。这样的话主机A 就得到了主机B 的MAC 地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了,直到通信停止后2分钟,这个对应关系才会从表中被删除。

再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信,它首先会发现这个主机D的IP 地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1 对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通信,然后再由网关C通过路由将数据包送到网关E,网关E 收到这个数据包后发现是送给主机D(10.1.1.2)的,它就会检查自己的ARP缓存,看看里面是否有10.1.1.2 对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址与主机D通信。

2 ARP欺骗的含义

通过上面的例子我们知道,在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性,像主机B之类的是无法截获A与D之间的通信信息的。

但是主机在实现ARP缓存表的机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A主机D之间的数据通信成为可能。

首先主机B向主机A发送一个ARP应答包说192.168.1.1 的MAC地址是02-02-02-02-02-02,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02,02,同时主机B向网关C 发送一个ARP 响应包说192.168.1.2 的MAC 是02-02-02-02-02-02,同样,网关C 也没有去验证这个包的真实性就把自己ARP 表中的192.168.1.2 的MAC地址(下转第95页)(上接第73页)替换成02-02-02-02-02-02。当主机A 想要与主机D 通信时,它直接把应该发送给网关192.168.1.1 的数据包发送到02-02-02-02-02-02 这个MAC 地址,也就是发给了主机B,主机B 在收到这个包后经过修改再转发给真正的网关C,当从主机D返回的数据包到达网关C后,网关也使用自己ARP表中的MAC,将发往192.168.1.2 这个IP 地址的数据发往02-02-02-02-02-02 这个MAC 地址也就是主机B,主机B 在收到这个包后再转发给主机A完成一次完整的数据通信,这样就成功地实现了一次A R P 欺骗攻击。

因此简单点说,ARP 欺骗的目的就是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP 欺骗攻击也是为了达到这个目的。

3 如何发现及清除

局域网内一旦有ARP 的攻击存在,会欺骗局域网内所有主机和网关,让所有上网的流量必须经过A R P 攻击者控制的主机。其他用户原来直接通过网关上网,现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP 欺骗需要不停地发送ARP 应答包,会造成网络拥塞。

一旦怀疑有ARP 攻击我们就可以使用抓包工具来抓包,如果发现网内存在大量ARP 应答包,并且将所有的IP 地址都指向同一个M A C 地址,那么就说明存在A R P欺骗攻击,并且这个MAC 地址就是用来进行A R P 欺骗攻击的主机M A C 地址,我们可以查出它对应的真实IP 地址,从而采取相应的控制措施。另外,我们也可以到路由器或者网关交换机上查看IP 地址与M A C地址的对应表,如果发现某一个MAC 对应了大量的IP 地址,那么也说明存在ARP 欺骗攻击,同时通过这个MAC 地址查出用来ARP 欺骗攻击的主机在交换机上所对应的物理端口,从而进行控制。

4 如何防范

我们可以采取以下措施防范ARP 欺骗。

第一,在客户端使用arp命令绑定网关的真实M A C 地址命令如下:

arp (先清除错误的ARP表)

arp 192.168.1.1 03-03-03-03-03-03 (静态指定网关的MAC 地址)

第二,在交换机上做端口与MAC 地址的静态绑定。

第三,在路由器上做IP 地址与MAC 地址的静态绑定。

第四,使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IPMA C 映射表。

校园网ARP欺骗检测与防范 第3篇

长期以来ARP欺骗一直是对网络安全的严重威胁。高校校园网主机规模庞大, 网络游戏玩家众多, 加之比较容易接受新事物的学生, 对各种软件的下载与应用 (其中很多软件未必安全) , 种种因素使得高校校园网普遍成为网络安全的“重灾区”。中国矿业大学校园网核心层为思科6500系列三层交换机, 分布层和接入层采用思科和瑞捷交换机, IP地址采取静态分配。本篇所讨论的ARP防治策略, 即是在此种网络环境下归纳的。

1 ARP欺骗鉴定方法

1.1 个人用户鉴定方法

(1) 检查本机的“ARP欺骗”木马病毒进程

进入“任务管理器”, 点选“进程”标签, 查看其中是否有一个名为“MIR0.dat”的进程。如果有, 则说明已经中毒。多数ARP欺骗木马进程都是这个, 但也有一些其他的。

(2) 检查网内感染“ARP欺骗”木马病毒的计算机

在“命令提示符”下输入并执行“ipconfig”命令, 记录网关IP地址, 即“Default Gateway”对应的值, 例如“192.168.18.1”。然后执行“arp-a”命令查看自己网关MAC地址, 如若变成和内网一机器MAC地址相同, 可据此断定内网有机器中了ARP网关欺骗型病毒。本操作前提是知道网关的正确MAC地址, 可在正常上网主机上, 使用“arp-a”命令查看网关M A C地址, 通过对比查看网关M A C地址是否被修改。

1.2 网管人员鉴定方法

(1) 查看CPU利用率

附:6月21日校园网核心设备Center6509_super720日志

网络运行状况良好时, 该设备利用率应为10%左右, 据此可知此时设备利用率偏高, 且网络ARP欺骗型病毒特征明显。

(2) 查看ARP表

用三层设备接入校园网的单位, 网管可以检查其三层设备上的ARP表。如果有多个IP对应同一个MAC, 则此MAC对应的计算机很可能中了木马病毒。可通过下连二层交换机的转发表查到此MAC对应的交换机端口, 从而定位有问题的计算机。

附:6月21日Center6509_super720日志, 还有多条记录, 限于篇幅, 本文所有举例都只抓取具有代表性的几条。

(3) 查看路由日志

通过分析路由器运行日志, 可以了解到一些诸如IP地址冲突, 一个MAC对应多个IP的信息。然后再通过其他命令具体分析。

以校园网核心设备为例:Center6509_super720#sh logging

(4) 抓包分析

可通过Sniffer等抓包工具抓取来自交换机端口的数据包进行分析, 以确定ARP欺骗病毒特征, 并定位攻击源主机。

如图1所示为2007年5月4日核心交换机某端口协议柱状图, 从图上可看出ARP欺骗病毒特征明显。

2 ARP欺骗防治策略

2.1 个人用户防治策略

(1) 清空ARP缓存

点击“开始”按钮->选择“运行”->输入“arp-d”->点击“确定”按钮, 然后重新尝试上网, 如能恢复正常, 则说明此次掉线可能是受ARP欺骗所致。

(2) 临时静态ARP缓存表

通过执行“arp-s 210.31.197.94 00-03-6b-7f-ed-02”, 临时绑定主机IP与MAC地址。

(3) 总是静态ARP缓存表

通过建立一批处理文件, 绑定IP和MAC。方法如下:

每次开机, 计算机都会执行一次静态ARP地址绑定, 从而较好地防范ARP欺骗。如果能在机器和路由器中都进行绑定, 效果会更好。

(4) 采用针对性较强的杀毒软件

趋势、诺顿、卡巴斯基、瑞星等杀毒软件均可查杀此类病毒。查杀病毒并非完全抵御ARP攻击, 但可避免主机成为ARP攻击源。

(5) 采用防ARP欺骗软件

ARP防火墙、风云防火墙等, 都是针对性较强的防ARP欺骗攻击软件, 可以起到防范甚至追踪ARP攻击源的作用。

(6) 目前已知以下程序带有此类ARP病毒, 应慎用

传奇2冰橙子1.44版、传奇2及时雨PK版、网吧传奇杀手、QQ第六感、P2P终结者、网络执法官等类似程序。

2.2 网络管理防治策略

(1) IP+MAC访问控制

使用可防御ARP攻击的三层交换机, 在端口绑定IP和MAC地址, 限制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止IP、MAC地址盗用, 杜绝ARP攻击。

(2) 网络追踪与限制

网络管理人员借助Sniffer监听软件, 并结合交换机或路由器自身命令, 可实现对ARP攻击源的追踪、定位与限制。下面以中国矿业大学图书馆ARP欺骗解决步骤来详细阐明, 图2为图书馆网络拓扑。

第1步, 发现问题

2007年5月10日上午10时, 校园网核心设备Center_6509交换机CPU利用率一直很高, 接近100%。

交换机采样如下:

CPU utilization for five seconds:99%/5%;one minute:99%;five minutes:95%

Center6509_super720#sh proc cpu history

查看历史记录, 发现近一个小时, CPU利用率一直接近100%, 这显然是不正常的。

第2步, 缩小范围

交换机2模块是与各单位进行连接的千兆接口, 承载大部分的流量。先逐个停掉2模块各端口测试, 最终确定是连图书馆方向的6号端口存在问题。停掉6号端口, 交换机CPU利用率立刻就降到正常水平, 打开6号端口, 再次升高。

第3步, 深入追查

图书馆方向是瑞捷4909交换机。登录该交换机, 采用第二步的方法, 确认是5模块的1号端口存在问题。分析如下:

Library (config) #inte fast Ethernet 5/1

Library (config-if) #sh

Center_6509核心交换机CPU利用率立刻恢复正常, ARP特征不再明显。

CPU利用率具体采样如下:

第4步, 抓包分析

至此可断定Fa5/1下连网段存在问题。具体哪些主机存在问题, 还需要进一步分析。

接下来采用Sniffer监听软件, 抓取数据包进行深入分析。在Library_4909上, 重开Fa5/1端口。将装有Sniffer的笔记本连接至Center_6509的Fa4/11端口, 抓取Gi2/6端口的数据包。在Center_6509上对源和目的监听端口的配置如下:

monitor session 1 source interface Gi2/6 rx

monitor session 1 destination interface Fa4/11

用专家系统抓包, 查看如图3所示协议矩阵, 发现“0040.ca65.e888”这个MAC地址ARP流量特别大, 这个就是最可能的攻击源。

第5步, 准确定位

回到Center_6509交换机上, 用命令查看这个MAC地址的状态。

0040.ca65.e888这个MAC地址, 同时对应若干个IP地址, 这是一种典型的ARP攻击现象。这可能是由两种原因导致的:该用户明知故犯, 实施了主动攻击;该用户中了ARP病毒, 实施了被动攻击。

可见, Fa5/1下连的0040.ca65.e888就是攻击源, 与上面的排查结果吻合。

第6步, 强制策略

在Library_4909交换机上做MAC地址过滤

mac-address-table static 0040.ca65.e888 vlan 67 interfac fast Ethernet 5/1

Center_6509交换机立刻接收不到有关这个MAC地址的数据包。

具体采样如下:

Center6509_super720#sh arp|include 0040.ca65.e888

Center6509_super720#

这个严重影响网络运行效率的问题, 至此得到解决。

(3) 子网内部定位攻击源

网络管理人员采用以上方法, 可以及时查到攻击源MAC地址。但是当子网内发生ARP欺骗行为时, 受影响主机在交换机上统一显示为攻击源MAC地址, 如何在出现问题的子网内部准确定位攻击源主机, 还是网络管理人员需要考虑的问题。“netscan”命令即是一个行之有效的方法。下面以设计院ARP攻击解决过程为例予以说明。

2007年9月10日上午, 设计院整个单位的网络运行缓慢, 甚至时断时续。通过在核心交换Center_6509上运行相应命令, 获知0020.ed17.659d与0020.eda7.0d79这两个MAC存在典型的ARP攻击行为。

在设计院某台主机上, 运行“nbtscan”命令, 查找子网主机的真实M A C地址。具体如下:

据此可轻易查到攻击源211.70.222.173与211.70.222.188对应的主机。在网络管理人员判断主机所有者时, Net BIOS Name也是一个参考因素。分别找到这两台主机查看, 发现均没有安装杀毒软件。将这两台主机断开网络连接, 整个网络恢复正常。对相关网络管理人员来说, 这是一个很直观的教训。为所有的联网主机安装杀毒软件, 是一个不可或缺的步骤。

nbtscan是一个扫描Windows网络Net BIOS信息的小工具, 一般系统不自带, 可以在网络上下载。

3 结语

个人用户要增强网络安全意识, 及时下载和更新操作系统补丁程序, 安装正版杀毒软件, 及时更新病毒库, 增强个人计算机防御计算机病毒的能力。不轻易下载、使用盗版或存在安全隐患的软件, 不随便打开来历不明的电子邮件, 尤其是邮件附件, 不随便共享文件和文件夹, 以免个人计算机受到木马病毒的入侵。同时, 网络管理人员还要养成经常监控网络流量的好习惯。院系机房以及学校网络管理部门, 要逐级建立比较全面的MAC地址库, 便于发现问题及时定位。

摘要：本文从用户和网络管理人员的角度入手, 从实战出发, 分别阐述了针对不同层次ARP欺骗的防治策略, 具有较强的针对性和可操作性。

关键词：ARP欺骗,局域网,MAC地址

参考文献

[1]思科网络技术学院教程.美.cisco system公司.cisco network-ing academy program著.

黑客攻防之ARP欺骗技术 第4篇

【关键词】ARP欺骗技术 网络安全

一、ARP及ARP欺骗原理

ARP（Address Resolution Protocol）即地址解析協议，是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议，在网络链路上传送数据帧时，最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的，具有全球唯一性，因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。

ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。

二、ARP协议的漏洞分析

ARP协议是一个高效的数据链路层协议.但是设计初衷是方便数据的传输.设计前提是网络绝对安全的情况.ARP协议是建立在局域网主机相互信任的基础之上.ARP具有广播性、无状态性、无认证性、无关性和动态性等一系列的安全缺陷。

（1）ARP协议寻找MAC地址是广播方式的。攻击者可以应答错误的MAC地址.同时攻击者也可以不问断地广播ARP请求包.造成网络的缓慢甚至网络阻塞；

（2）ARP协议是无状态和动态的。任意主机都可以在没有请求的情况下进行应答.且任何主机只要收到网络内正确的ARP应答包.不管它本身是否有ARP请求。都会无条件的动态更新缓存表；

（3）ARP协议是无认证的。ARP协议默认情况下是信任网络内的所有节点.只要是存在ARP缓存表里的IP/MAC映射以及接收到的ARP应答中的IP/MAC映射关系.ARP都认为是可信任的.并没有对IP/MAC映射的真实性，有效性进行检验.也没有维护映射的一致性。

三、ARP欺骗的分类

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

四、ARP欺骗相关工具

常用工具：ARPsniffer、局域网终结者、网络执法官

ARPsniffer工作原理：

在使用该工具时，它会将网络接口设置为混杂模式，该模式下工具可以监听到网络中传输的所有数据帧，而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断，交由操作系统处理，这样就实现了数据截获。

局域网终结者工作原理：

一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求，同时自已的MAC也是伪造的，那么被伪造IP的主机便会不停地收到IP冲突提示，致使该主机无法上网。这便构成了局域网终结者的攻击原理。

网络执法官工作原理：

网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。

五、ARP欺骗的危害

ARP欺骗带来的危害可以分为几大类，

1. 网络异常。具体表现为：掉线、IP冲突等。

2. 数据窃取。具体表现为：个人隐私泄漏（如MSN聊天记录、邮件等）、账号被盗用（如QQ账号、银行账号等）。

3. 数据篡改。具体表现为：访问的网页被添加了恶意内容，俗称“挂马”。

4. 非法控制。具体表现为：网络速度、网络访问行为（例如某些网页打不开、某些网络应用程序用不了）受第三者非法控制。

六、ARP欺骗的防护方案

1、. 划分VLAN 众所周知ARP报文是一种广播报文，也就是说它只能在一个广播域内传输。所以这就决定了ARP欺骗不能跨网段实施，通过VLAN技术隔离广播域，从一定的程度上减少ARP攻击的范围，使ARP欺骗局限于一个被感染的虚拟局域网内，不会影响整个局域网的运行。但是虚拟局域网技术是需要高端的网络设备才可以实现的，低端的网络设备是没有网络管理配置功能的，也就无法实现VLAN技术。

2. 信息加密 基于ARP欺骗原理，监听不易为通信双方察觉。如果通信双方对信息进行加密，即便信息被攻击者获取也因没有方法解密而无法获得有用信息，从而保证网络传输的安全性。但此方法是一种消极的防护策略。一旦受到ARP欺骗，该方法不能使网络通信保持正常状态。

ARP欺骗的防御策略 第5篇

1 什么是ARP协议及其工作原理

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标I P地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

首先, 每台主机都会在自己的A R P缓冲区中建立一个A R P列表, 以表示I P地址和M A C地址的对应关系。当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己ARP列表中是否存在该IP地址对应的M A C地址, 如果有, 就直接将数据包发送到这个M A C地址;如果没有, 就向本地网段发起一个A R P请求的广播包, 查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的I P地址、硬件地址、以及目的主机的I P地址。网络中所有的主机收到这个A R P请求后, 会检查数据包中的目的I P是否和自己的I P地址一致。如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和I P地址添加到自己的A R P列表中, 如果A R P表中已经存在该I P的信息, 则将其覆盖, 然后给源主机发送一个A R P响应数据包, 告诉对方自己是它需要查找的M A C地址;源主机收到这个A R P响应数据包后, 将得到的目的主机的I P地址和M A C地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。如果源主机一直没有收到A R P响应数据包, 表示A R P查询失败。

例如:

A的地址为:IP:192.168.10.1 MAC:AA-BB-CC-DD-EE-FF

B的地址为:IP:192.168.10.2 MAC:00-AA-BB-CC-DD-EE

根据上面的所讲的原理, 我们简单说明这个过程:A要和B通讯, A就需要知道B的以太网地址, 于是A发送一个A R P请求广播 (谁是1 9 2.1 6 8.1 0.2, 请告诉1 9 2.1 6 8.1 0.1) , 当B收到该广播, 就检查自己, 结果发现和自己的一致, 然后就向A发送一个ARP单播应答 (192.168.10.2在00-AA-BB-CC-DD-EE) 。

2 ARP欺骗过程

从A R P协议的工作原理中我们可以看出, A R P协议设计的前提是运行在彼此相互信任的网络环境下, 那么就很容易实现在以太网上的A R P欺骗。假如对源主机进行欺骗, 当源主机在其A R P缓存中无法找到目标主机的M A C地址, 就在局域网中发一个广播报文进行询问。此时, 假如把目标主机的M A C地址欺骗为一个非目标主机的M A C地址, 那么源主机发送到目标主机上的数据包就都发送到A R P欺骗主机上了。这种欺骗的最终结果就是导致源主机和目标主机之间不能正常进行通讯, 如果欺骗行为表现为对网关M A C地址的欺骗, 就会导致整个网段全部或部分主机断网。

3 ARP的防御策略

3.1 静态绑定

最常用的方法就是做I P和M A C静态绑定, 在网内把主机和网关都做I P和M A C绑定。欺骗是通过A R P的动态实时的规则欺骗内网机器, 所以我们把A R P全部设置为静态可以解决对内网P C的欺骗, 同时在网关也要进行IP和MAC的静态绑定, 这样双向绑定才比较保险。

方法:对每台主机进行I P和MAC地址静态绑定。

通过命令, arp-s可以实现“arp–s IP MAC地址”。

例如:“arp–s192.168.10.1 AA-BB-CC-DD-EE-FF”。

如果设置成功会在P C上面通过执行arp-a可以看到相关的提示:Internet Address Physical Address Type

192.168.10.1AA-BB-CC-DD-EE-FF static (静态)

一般不绑定, 在动态的情况下:

Internet AddressPhysical AddressType

192.168.10.1 AA-BB-CC-DD-EE-FF dynamic (动态)

说明:对于网络中有很多主机, 1 0 0台1 0 0 0台……, 如果我们这样每一台都去做静态绑定, 工作量是非常大的……, 这种静态绑定, 在电脑每次重起后, 都必须重新在绑定, 虽然也可以做一个批处理文件, 但是还是比较麻烦的!

3.2 使用ARP防护软件

目前关于A R P类的防护软件出的比较多了, 大家使用比较常用的A R P工具主要是360ARP防火墙, Antiarp等。它们除了本身来检测出A R P攻击外, 防护的工作原理是一定频率向网络广播正确的A R P信息。通过在系统内核层拦截A R P攻击数据包, 确保网关正确的M A C地址不被篡改, 可以保障数据流向正确, 不经过第三者, 从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制, 完美的解决局域网内A R P攻击问题。

3.3 具有A R P防护功能的路由器

这类路由器以前听说的很少, 对于这类路由器中提到的A R P防护功能, 其实它的原理就是定期的发送自己正确的A R P信息。但是路由器的这种功能对于真正意义上的攻击, 是不能解决的。

A R P的最常见的特征就是掉线, 一般情况下不需要处理一定时间内可以回复正常上网, 因为A R P欺骗是有老化时间的, 过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确A R P信息, 使受骗的主机回复正常。但是如果出现攻击性A R P欺骗 (其实就是时间很短的量很大的欺骗A R P, 1秒有个几百上千的) , 它是不断的发起A R P欺骗包来阻止内网机器上网, 即使路由器不断广播正确的包也会被他大量的错误信息给淹没。

可能你会有疑问:我们也可以发送比欺骗者更多更快正确的A R P信息啊?如果攻击者每秒发送1000个ARP欺骗包, 那我们就每秒发送1 5 0 0个正确的A R P信息!

面对上面的疑问, 我们仔细想想, 如果网络拓扑很大, 网络中接了很多网络设备和主机, 大量的设备都去处理这些广播信息, 那网络使用起来好不爽, 再说了会影响到我们工作和学习。A R P广播会造成网络资源的浪费和占用。如果该网络出了问题, 我们抓包分析, 数据包中也会出现很多这类A R P广播包, 对分析也会造成一定的影响。

4 结语

A R P协议的安全漏洞来源于协议自身设计上的不足。A R P协议被设计成一种可信任协议, 缺乏合法性验证手段而且A R P病毒在短时间内不易被查觉。然而各防范措施都有其局限性, 不能非常好地解决问题, 所以给网络用户数据保密带来了一定的安全隐患, 最好的解决办法当然是修改ARP的协议算法和机制, 把Ipv4中ARP协议的无状态性。无需认证性调整为请求后才应答, 同时验证I P/MAC的有效性和可靠性, 在Ipv6设计了邻机发现协议 (NDP1, 把ARP纳入NDP并运行于Intemet控制报文协议 (I C M P) , 使A R P更具有一般性, 包括更多的内容。基本解决了A R P的问题。

参考文献

[1]刘涛, 陈宝国.ARP漏洞分析及防范, 现代计算机[J].2008 (6) :137～138.

[2]黄迎久, 徐扬.基于以太网的ARP欺骗原理与防范措施[J].中国西部科技, 2008, 10:34～35.

ARP欺骗的解决办法 第6篇

1 ARP欺骗原理

A R P协议即地址解析协议 (a d d r e s s resolution protocol) , 是网络层中的一个重要协议。地址解析是指在IP地址和采用不同网络技术的硬件地址之间提供的动态映射。A R P协议是建立在信任局域网内所有节点的基础上, 虽然高效却并不安全。ARP协议是一种无状态的协议, 它不会检查自己是否发过请求报文, 也不管 (其实也不知道) 是否是合法应答, 只要接收到目标MAC是自己的ARP广播报文, 都会接收并更新缓存, 这就为ARP欺骗提供了可能。

假设局域网分别有IP地址为192.168.0.1、192.168.0.2和192.168.0.3的A、B、C三台主机, 假如A和C之间正在进行通此时B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.0.3, MAC地址是BB-BB-BB-BB-BB-BB, 当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存, 这时B就伪装成C了。同时, B同样向C发送一个ARP应答, 应答包中为发送方IP地址192.168.0.1, MAC地址BB-BB-BB-BB-BB-BB, 当C收到B伪造的ARP应答, 也会更新本地ARP缓存, 这时B又伪装成了A。这时主机A和C都被主机B欺骗, A和C之间通的数据都经过了B, 主机B完全劫持目标主机与其他主机的会话。

2 ARP欺骗的防御技术与解决办法

2.1 ARP欺骗监测技术

2.1.1 手动监测

网络管理员可以通过命令查看主机的ARP表或路由器ARP表, 也可以利用Ethereal等Sniffer工具进行抓包, 发现可疑的〈IP, MAC〉地址映射, 分析可能存在的ARP欺骗并判断欺骗类型。例如当利用命令查看路由器ARP表时发现有多个IP地址对应一个MAC的现象, 这就说明该局域网内存在欺骗网关类型的A R P欺骗。

2.1.2 动态监测

它可以分为被动监测和主动监测两种。例如ARPWatch和ARP-Guard属于被动监测, 仅监测网络中是否存在ARP欺骗, 并不主动向外发送A R P报文;A R P防火墙则属于主动监测, 在监测网络是否存在ARP欺骗的同时, 还主动向外发送A R P报文, 防止对本机进行ARP欺骗。ARP防火墙是一种安装在用户主机上的ARP欺骗监测软件, 能够动态监测局域网内针对本主机和针对网关的A R P欺骗。但是如果设置错误, 主动监测的ARP防火墙会向局域网内发送大量A R P报文, 造成A R P报文的广播风暴, 影响网络通信。因此ARP防火墙的应用具有两面性。

2.2 ARP欺骗防御技术

2.2.1 手动防御

防御ARP欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定〈IP, MAC〉地址映射。这种方法非常有效, 但仅适用于小规模的局域网。随着网络规模的扩大, 即使有相关软件协助进行〈IP, MAC〉地址映射的绑定, 手动添加的方法也会使工作量迅速增加。而且这种方法不适用于DHCP自动分配地址的情况, 也不能适应网络的动态变化。另一种有效的手动防御方法是在局域网中增加V L A N的数目, 减少VLAN中的主机数量。这种方法能够缩小ARP欺骗影响的网络范围;缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。

2.2.2 动态防御

M A C伪装是A R P欺骗的一个变种。Port-Security是思科交换机支持的一种防御MAC伪装的技术。使能Port-Security的交换机端口只允许学习有限数量的MAC地址, 如果设置为1, 则只允许一个合法的主机连接网络, 伪装的MAC地址就无法通过交换机。这种方式对防御M A C伪装非常有效, 但不能解决其他类型的ARP欺骗问题。

(1) A R P欺骗监测。根据不同类型的ARP欺骗的表现特征, 分别采取端口镜像监听网络、报文分析、分析路由器日志和分析路由器ARP表等方法, 动态发现网络中可能存在的ARP欺骗。这种方法需要收集局域网内所有主机的IP和MAC地址, 这也由该软件自动采集完成, 克服了手动防御中需要手动绑定〈IP, MAC〉地址映射的缺点。 (2) ARP欺骗主机定位。在监测到ARP欺骗后, 首先需要确定发起ARP欺骗主机的MAC地址, 然后对连接该主机的交换机设备定位;最后再对连接该主机的交换机端口进行定位, 定位操作主要通过SNMP协议完成。 (3) 关闭该主机连接。在完成主机和交换机端口定位后, 利用SNMP协议关闭连接该主机的交换机端口, 并以邮件或网页的形式通知用户。动态的监测与防御系统可以根据ARP欺骗类型分别采取相应的监测方法, 对发起ARP欺骗的主机及时定位并断开连接, 准确率较高, 能够有效地避免ARP欺骗的扩散, 在一定程度上缓解了局域网内A R P欺骗的问题。但是该系统只是在监测到ARP欺骗之后进行处理, 不能从根本上解决ARP欺骗的问题。另外, 局域网中大规模爆发的ARP欺骗在系统监测到问题前就已经使网络不能正常通信, 影响系统的监测效果, 只能由网络管理员参与处理。

3 ARP欺骗避免技术

ARP欺骗是由于ARP协议的安全缺陷以及信任局域网内主机造成的。要彻底避免发生A R P欺骗, 必须对A R P协议进行改进, 增强其安全特性。为与上面总结的ARP欺骗防御技术相区别, 本文称之为ARP欺骗避免技术。

3.1 加密与认证技术

ARP协议建立在信任局域网内主机的基础上, 对ARP报文不作任何加密和认证, 这是ARP欺骗产生的重要原因。文献[2~5]分别提出利用加密认证技术来改进A R P协议, 通过对ARP报文进行认证避免发生AR P欺骗。Gouda等人[2]提出一种新的地址解析架构, 它包括一个安全服务器和两种新协议:邀请—接受和请求—应答。邀请—接受协议用于主机向安全服务器注册其〈IP, M AC〉地址映射;请求—应答协议用于主机向安全服务器请求局域网中其他主机的M AC地址。这种架构与标准的ARP协议不兼容, 且安全服务器存在单点故障问题。但是它为利用安全认证技术改进ARP协议提供了很好的借鉴。安全ARP协议 (S-ARP) 是由Brushi等人[3]于2003年提出的一种ARP协议改进方案。其主要思想是利用非对称加密技术来对ARP报文进行认证, 避免发生AR P欺骗。安全ARP协议需要在局域网中增加一个权威密钥分发服务器 (authoritative k ey distributor, AKD) , 用来保存局域网中每台主机的IP地址和公钥。运行安全ARP协议的主机需要连接到AKD服务器获取发送ARP报文主机的公钥, 对接收到的A R P报文进行验证, 同时主机缓存该公钥以提高运行效率。安全ARP协议只需在标准A R P报文的尾部增加一个认证字段用于携带发送主机的数字签名, 因此与ARP协议相兼容。安全A R P协议的优点是利用非对称加密技术验证A R P报文的合法性, 与A R P协议相兼容, 但仍存在AKD服务器单点故障和重放攻击等缺点, 而且安全ARP协议存在的认证过程影响了运行效率。文献[4]基于安全A R P协议的架构提出一种改进方案, 采用将数字签名与基于哈希链的一次性密码技术相结合的方法来验证ARP报文, 提高安全ARP协议的运行效率。票据ARP协议 (ticket-ARP) [5]是利用加密认证技术提出的另外一种改进方案。它通过在A R P消息中发布集中产生的〈IP, MAC〉地址映射证明 (称之为票据) , 实现ARP报文的验证。这些票据由一个本地票据代理 (local tickets a gent, LTA) 集中产生和标记, 发送主机在A RP报文中附加上票据以便接收者进行验证。对于TARP协议的详细工作过程请参考文献[5]。TARP协议与ARP协议兼容, 但与安全A R P协议一样, 也面临着L T A服务器单点故障和重放攻击的问题。

3.2 与DHCP协议相结合

还有一种与DHCP协议相结合的安全单播ARP (S-UARP) 协议, 将基于广播的安全ARP协议 (S-ARP) 改进成一种单播协议。当局域网内的一台主机想与其他主机通信时, 首先向支持安全单播ARP协议的DHCP服务器 (称之为DHCP+) 发送S-UARP请求报文, DHCP+服务器查找它所分配的〈IP, MAC〉地址映射, 发回相应的S-UARP应答报文;主机在收到应答报文后再向DHCP+服务器发送确认报文, 安全单播ARP协议采用类似三次握手的方式完成I P地址和MAC地址的解析。为支持安全单播ARP协议, DHCP代理也需要进行相应的修改。S-UARP协议的优点是改进的单播协议避免了A R P欺骗的发生, 减轻了局域网的A R P广播流量;缺点是为支持安全单播ARP协议, 不仅需要改变A R P协议, 还需要改进DHCP服务器和DHCP代理, 实现比较复杂。而且DHCP服务器也面临着许多安全问题, 首先需要保证DHCP服务器的安全。交换机首先进行DHCP snooping监听, 将主机从DHCP服务器获得的IP地址及其MAC地址保存到数据库 (或文件) 中, 在接收到ARP请求报文时取出报文中的源IP地址与数据库中的记录进行比较, 丢弃无效的ARP报文。D A I技术无须修改A R P协议和D H C P服务器, 但是需要部署支持DHCP snooping功能的交换机, 经济成本比较高。目前其他厂家的交换机也具有利用DHCP snooping技术来避免发生ARP欺骗的功能。

4 现有技术的比较

通过比较也可以看出, 常规的ARP欺骗监测和防御技术由于方法简单, 已经在局域网中得到应用, 但是效果并不明显, 不能从根本上避免A R P欺骗的发生。改进A R P协议的A R P欺骗避免技术则比较复杂, 应用需求也比较多, 其中基于中间件的方法需要修改系统内核, 对于已经部署的数量庞大的主机和网络设备来说采用这种方法并不现实;采用安全认证技术的方法需要在局域网中增加集中式的安全服务器, 这种方法具有一定的可行性, 但是目前还没有得到实用;与DHCP服务相结合的方法则需要DHCP服务器和交换机的支持, 由于这种方法得到了厂商的支持, 在一些局域网中已经得到了部分应用。A R P欺骗避免技术对于主机、交换机和服务器的需求都很高, 因此部署难度比较大, 仍然需要进一步的研究和改进。

5 结语

本文简要介绍了A R P协议的工作流程, 阐述了ARP欺骗产生的原理以及攻击形式, 并对已有的针对ARP欺骗的监测、防御与避免技术进行分类和总结;着重介绍了其工作原理和优缺点, 并提出研究改进ARP协议需要综合考虑的因素。下一步工作将重点研究改进ARP协议, 探讨可信任的安全局域网的设计与实现。

摘要：近年来, 大学校园网或多或少的会受到ARP欺骗的侵扰, 这在一定程度上干扰了正常的教学秩序和工作秩序。本文通过ARP协议原理分析揭示ARP协议欺骗, 并给出相应的防御措施及解决办法。

关键词：ARP,欺骗,防御

参考文献

[1]Ethereal a network protocol analyzer[EB/OL]. (200605) [2008-04-10].http://www.ethereal.com.

[2]GOUDA M G, HUANG C T.A secureaddress resolution protocol[J].ComputerNetworks, 2003, 41 (1) :57～71.

[3]BRUSCHI D, ORNAGHI A, ROSTI E.S-ARP:a secure address resolutionprotocol[C]//Proc of the 19th Com-puter Security Applications Conference.Washington DC:IEEE Computer Society, 2003:66～74.

[4]GOYAL V, ABRAHAM A.An effi-cient solution to the ARP cache poi-soning problem[C]//Proc of the 10thAustralasian Conference on Informa-tion Security and Privacy.Berlin:Springer, 2005:40～51.

[5]LOOTAHW, ENCKW, Mc DANIEL P.TARP:ticket-based address resolutionprotocol[C]//Proc of the 21stAnnualComputer Security Applications Conference.2005:106～116.

[6]杨名川.利用华为交换机防止ARP欺骗[J].现代计算机, 2007 (2) :110～112.

[7]陈伟斌, 薛芳, 任勤生.ARP欺骗攻击的整网解决方案研究[J].厦门大学学报:自然科学版, 2007, 46 (S-2) :100～103.

[8]徐丹黎, 俊伟, 高传善.基于Ethernet的网络监听以及ARP欺骗[J].计算机应用与软件, 2005, 22 (11) :105～107.

[9]吴小平, 周建中, 方晓惠.基于SNMP的ARP欺骗主动防御机制[J].华中师范大学学报:自然科学版, 2007, 41 (4) :512～514.

[10]陈文波, 李善玺.针对ARP欺骗的动态检测防御系统[J].中国教育网络, 2007 (8) :76～77.

arp欺骗攻击网络的安全问题分析 第7篇

1. arp欺骗

ARP欺骗是黑客常用的攻击手段之一, ARP欺骗分为二种, 一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

假设一个网络环境中, 网内有三台主机, 分别为主机A、B、C。主机详细信息如下描述:

A的地址为:IP:192.168.10.1 MAC:AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.10.2 MAC:BB-BB-BB-BB-BB-BB C的地址为:IP:192.168.10.3 MAC:CC-CC-CC-CC-CC-CC正常情况下A和C之间进行通讯, 但是此时B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了) 。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A被欺骗了) , 这时B就伪装成C了。同时, B同样向C发送一个ARP应答, 应答包中发送方IP地址四192.168.10.1 (A的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB (A的MAC地址本来应该是AA-AA-AA-AA-AA-AA) , 当C收到B伪造的ARP应答, 也会更新本地ARP缓存 (C也被欺骗了) , 这时B就伪装成了A。这样主机A和C都被主机B欺骗, A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:) 。这就是典型的ARP欺骗过程。

2. 目前的网络防御方法

2.1 防火墙

虽然防火墙可以有效地保护网络免遭黑客的攻击, 但是也现存着一些明显的不足: (1) 对内部网络发起的攻击无法阻止; (2) 可以阻断外部攻击而无法消灭攻击来源; (3) 做nat转换后, 由于防火墙本身性能和并发连接数的限制, 容易导致出口成为网络瓶颈, 形成网络拥塞; (4) 对于网络中新生的攻击行为, 如果未做出相应策略的设置, 则无法防范; (5) 对于利用系统后门、蠕虫病毒以及获得用户授权等一切拥有合法开放端口掩护的攻击行为将无法防范。为了弥补防火墙存在的不足, 许多网络管理者应用入侵检测来提高网络的安全性和抵御攻击的能力。

2.2 入侵检测系统 (intrusiondetectionsystem)

入侵检测系统 (ids) 按照收集数据来源的不同一般可以分为三大类:

(1) 由多个部件组成, 分布于内部网络的各个部分的分布式入侵检测系统。

(2) 依靠网络上的数据包作为分析、监控数据源的基于网络型入侵检测系统。

(3) 安装在网段内的某台计算机上, 以系统的应用程序日志和审计日志为数据源主机型入侵检测系统。

虽然入侵检测系统以不同的形式安装于内部网络的各个不同的位置, 但由于采集数据源的限制, 对arp病毒形式的攻击行为却反应迟钝。入侵检测系统一般部署在主干网络或者明确要监控的网段之中, 而一个内部网络往往有很多个独立的网段;由于财力的限制, 网络管理者一般都不能在每个网络中部署用于数据采集的监控计算机。一旦未部署的网段中arp欺骗阻塞了本网段与外界的正常通讯, 入侵检测系统无法采集到完整的数据信息而不能迅速准确的作出反应。除此以外, 现有的各种入侵检测系统还存在着一些共同的缺陷, 如;较高的误报率, 无关紧要的报警过于频繁;系统产品对不同的网络或网络中的变化反应迟钝, 适应能力较低;系统产品报告的专业性太强, 需要管理者、使用者有比较高深的网络专业知识;对用于处理信息的设备在硬件上有较高的要求, 在大型局域网络中检测系统受自身处理速度的限制, 容易发生故障无法对网络进行实时监测。

2.3 入侵防御系统 (intrusionpreventsystem)

(1) 入侵防御系统 (ips) 是针对入侵检测系统 (ids) 所存在的不足, 借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;不但能检测入侵的发生, 而且通过一些有效的响应方式来终止入侵行为;从而形成了一种新型的、混合的、具有一定深度的入侵防范技术。

入侵防御系统 (ips) 按照应用方式的不同一般可以分为三大类:

(1) 基于主机的入侵防御系统hips:是一种驻留在服务器、工作站等独立系统中的安全管理程序。这些程序可以对流入和流出特定系统的数据包进行检查, 监控应用程序和操作系统的行为, 保护系统不会被恶意修改和攻击。

(2) 基于网络的入侵防御系统nips:是一种以嵌入模式部署与受保护网段中的系统。受保护网段中的所有网络数据都必须通过nips设备, 如果被检测出存在攻击行为, nips将会进行实时拦截。

(3) 应用服务入侵防御系统 (aips) :是将hips扩展成位于应用服务器之间的网络设备。利用与hips相似的原理保护应用服务器。

相对与ids而言, ips是以在线方式安装在被保护网络的入口处, 从而监控所有流经的网络数据。ips结合了ids和防火墙的技术, 通过对流经的数据报文进行深层检查, 发现攻击行为, 阻断攻击行为, 从而达到防御的目的。

(2) 但同时, 我们也认识到:由于ips是基于ids同样的策略特征库, 导致它无法完全克服ids所存在的缺陷, 依然会出现很多的误报和漏报的情况, 而主动防御应建立在精确、可靠的检测结果之上, 大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面, 数据包的深入检测和保障可用网络的高性能之间是存在矛盾的, 随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀, 串连在出口位置的ips对网络性能的影响会越来越严重, 最终必将成为网络传输的瓶颈。

3. 新的网络安全发展方向

分析目前网络安全技术的特点不难发现:现有的安全技术无法保证100%发现和阻断外来的网络攻击行为;同时, 内网中的计算机以及其它网络通讯设备中存在的系统安全漏洞基本上没有得到任何监控。

所以网络安全新的发展方向就是要建立起上述的网络故障自动监控平台, 在建网时就要尽量做到以下几个方面的工作:

(1) 设计大规模的局域网时, 网内的交换机应该联入一个或多个独立的网段中, 这样既可以让交换机之间形成一个独立的管理网络, 又可以避免远程操作交换机时受到用户网段通信的影响。

(2) 应尽量多的在网络中部署管理型网络交换机, 这样既可以缩小故障源的范围便于定位, 又便于网络管理员进行远程操作以迅速处理网络故障。

(3) 应在核心交换机上部署一个基于全网拓扑图的网络监控软件, 网络值班人员 (非核心技术人员) 可以通过网络交换机的图形化管理软件对网络信息进行收集、分析和进行故障分析和排除, 达到动态监控的目的。

(4) 努力开发收集交换机数据的软件, 开发分析网络行为的策略库, 不断提高网络监控平台的故障反应速度和故障源定位的准确性。

参考文献

[1]张仕斌, 易勇。网络安全技术[M]清华大学出版社

[2]任侠, 吕述望。arp协议欺骗原理分析与抵御方法[J]计算机工程2004

[3]张海燕。arp漏洞及其防范技术。网络与信息安全2006

ARP欺骗攻击的取证和防御方法 第8篇

ARP欺骗是攻击者发送伪造的ARP请求或ARP应答信号发起的攻击行为。当收到一个ARP应答的时候,所有的客户端无论是否发出过ARP请求,都可能会更新本地ARP缓存表。并且ARP协议中,对ARP应答信号的信号源缺少可靠的认证机制,所以无论收到的ARP请求/应答信号是真实的还是伪造的,都会进行处理,这就给网络中的数据传输安全留下了隐患。

1 ARP欺骗攻击类型

1.1 中间人攻击(MITM)

中间人攻击就是攻击者在目标主机与另一方主机(网关或服务器)进行正常通信的过程中,进行拦截、插入、伪造、中断数据包,达到截获对方敏感数据,伪造身份等目的[1]。

1.2 拒绝服务攻击(Do S)

拒绝服务攻击以阻塞正常网络带宽、耗尽服务器内存资源、干扰及破坏正常通信为主。在传统的网络中,Do S攻击已成为攻击者进行恶意破坏大型网站通信、破坏公司网络等极具威胁性的途径[2]。

1.3 MAC泛洪

交换机依靠对CAM表的查询来确定正确的转发接口。攻击者通过伪造大量的ARP应答报文,使CAM表被这些伪造的MA C地址占据,真实的MAC地址却无法进入CAM表,当CAM表记录的MAC地址达到上限后,新的条目将不会添加到CAM表中。此时,任何一个经过交换机的正常单播数据帧,都会以广播帧的形式被处理,导致网络带宽资源被大量的数据包占用。

2 ARP欺骗的检测和取证方法

2.1 检查ARP缓存

受到ARP欺骗攻击的主机ARP缓存表,会保存错误的IP和MAC地址绑定关系,通过对比ARP缓存和可信IP和MAC地址绑定关系,可以分析ARP欺骗攻击类型和攻击源。

2.2 检测ARP数据包

攻击者发起ARP欺骗攻击需要向网络中发送伪造的ARP报文,这些伪造的ARP报文中会重复使用合法的IP地址。如果存在ARP欺骗攻击,ARP报文中IP地址和MAC地址就会出现多对对应关系。并且,ARP应答数据包的包头结构中,含有源MA C地址和目的MAC地址等信息,通过分析伪ARP数据包,可以定位出ARP欺骗攻击的主机。

2.3 网络流量分析

在受到ARP欺骗攻击的网络中,攻击者需要持续发送伪AR P数据包,相比于正常的网络,受攻击的网络中ARP数据包会增多,将导致整个网络中的单播、多播、广播数据包比例发生明显变化。

3 受攻击网络取证分析

3.1 检查ARP缓存表

本地ARP缓存表包含了本地的所有IP地址和MAC地址的对应关系。如果ARP缓存受到中毒攻击,就会出现伪造的IP和MAC地址对应关系。表1所示是受攻击主机的ARP缓存表,缓存表中出现了重复的MAC地址:00-0c-29-f2-3d-a5同时对应着192.168.0.1和192.168.0.117两个IP地址,而网关的的MAC地址实际是be-53-e5-a4-6f-20,IP为192.168.0.117的主机就是ARP欺骗攻击的攻击源,目标是伪装成网关。

3.2 分析ARP数据包

使用wireshark捕获到的受攻击内网流量中的ARP数据包监测显示结果为:Duplicate IP address detected for 192.168.0.117(00:0c:29:f2:3d:a5)–also in use by be:53:e5:a4:6f:20。说明IP地址192.168.0.117被重复使用,说明IP为192.168.0.117的主机发出伪造的ARP包,并且这些伪ARP包中的IP地地址,B很可能发起了Do S攻击或是中间人攻击。

3.3 网络流量分析

通过Ntop分析网络流量可以确定网络上存在的各种问题,判断是否存在ARP攻击行为。表2和表3分别是在正常网络和受攻击网络情况下,主机用Ntop得出的网络流量统计信息。在受到ARP欺骗攻击时,广播流量明显增大到18.0%。广播包很可能就是实施ARP欺骗持续发出的伪ARP包。

3.4 入侵检测

除上述几种措施外,还有很多ARP欺骗检测工具,如XArp、ARPToxin、snort等[3]都可以对基于ARP欺骗的攻击行为进行实时检测。其中,Snort是一个开源的,具有实时流量分析、网络IP数据包记录等强大功能的网络入侵/防御检测系统。这种方法首先要根据具体网络手动配置文件,对网络的变化适应性差。

4 防御措施

4.1 IP地址与MAC地址静态绑定

通常,局域网内IP地址和MAC地址的对应关系是动态的,这是ARP欺骗攻击的前提。如果静态绑定受信任的IP地址和M AC地址,当收到已绑定地址的ARP请求/应答信号后,ARP缓存表就不会进行更新。

4.2 DHCP防护和DAI检测

通过交换机的DHCP ack包或者手工指定,建立和维护一张包含受信任的IP和MAC地址生成的DHCP Snooping绑定表,交换机开启DHCP Snooping后,会检查非信任端口报文中的M AC地址,根据绑定表过滤掉不受信任的DHCP信息,与数据库中的借口信息不匹配的DHCP信息同样也会被丢弃。避免非法冒充DHCP服务器接入。

5 结论

为了保障网络安全,关于OSI各层的安全策略已经做了大量研究。通过数据链路层一直面临着严重的安全威胁。利用ARP协议无状态的特性发起的ARP欺骗攻击危害极大。通过实验室环境验证检查ARP缓存表、ARP包监测、网络流量分析,可以及时发现并定位ARP欺骗攻击行为。最后给出IP地址静态绑定、DHCP防护和DAI检测等安全防护措施,对保护局域网安全具有重要意义。

参考文献

[1]马军,王岩.ARP协议攻击及其解决方案[J].微计算机信息,2006.

[2]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报,2009.

ARP欺骗的检测 第9篇

关键词：网络管理；ARP欺骗；ARP病毒攻击；IP地址管理；排查与防控手段

中图分类号：TP393.18 文献标识码：A 文章编号：1006-8937（2012）26-0076-04

回顾企业网络安全运行维护工作，有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验，有效利用网络管理防范与处理ARP欺骗、攻击相关经验。

从近年的网络运维，网络管理人员不断接到网络用户反映——“所在的网络在上网应用时网络时断时通，有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生，所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位，从而给网络管理与网络维护提出了新挑战。

由于这种网络故障来的较突然，既没有可以参考的经验，又没有可用的网络协议分析仪等条件进行客观数据的实地采集，所以我们一开始采用的方法就是在网络交换机处对网段进行人为手工的“再细分”，用逐段排除法对有问题的PC机进行定位后再采取整治方法，但这种方法费时费力，排除故障时间长。通过对故障网络现场观察和体会，加上对网络TCP/IP协议的分析后，得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别，采取有效的防控手段来遏制这些网络安全威胁。

1 ARP欺骗分析

ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议，或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vlan中，以太网的每一帧有两种方式传输。一种对外传，就是用户有一个需求，当需要透过路由将网络帧转发到别的Vlan时，需要通过本地Vlan的网关。另外一种是内传，当有用户需求就在本身这个Vlan网络中时就不需要网关了。

当遇到ARP欺骗的时候，我们就会发现原本发送给本地Vlan网关的数据帧，没有得到本地Vlan网关MAC正确的回应。从而导致用户任何应用都没有办法使用了，就感觉到反复“掉线”或者“断线”，网络好像处在“震荡”中，迫使网络用户重新启动自己的计算机以期重新获得联网的需求，此时正好中了欲进行ARP欺骗计算机的“招”，当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时，进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址，以至于给用户一个重新获得上网的感觉，其实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机，这就是ARP欺骗在一个Vlan中的基本原理。

进行网络ARP欺骗的计算机在进行MAC欺骗的过程中，会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法，网络欺骗计算机改写了CAM表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写，以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网段中是否存在这样的欺骗计算机了。

网络欺骗——MAC的欺骗从来不会停止于只在本网段内进行“欺骗”，它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的——“地址解析协议（ARP）攻击”。

当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时，就发生了ARP攻击。通过这种方式，黑客们可以伪造MAC或IP地址，以便实施如下的两种攻击：“服务拒绝”和“中间人攻击”。

目前以“服务拒绝”演变出来的攻击以网络上多种病毒为主，它们会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成网络断线了。

这就是ARP地址欺骗攻击，造成内部PC和外部网的断线，该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏，由于它与网络病毒相结合，所以无论在传播的速度和攻击特性都有较大的“聚变”，ARP 地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时，能够在网络中产生大量的ARP通信量，使网络阻塞或者实现“中间人攻击”（man in the middle） ，进行ARP重定向和嗅探攻击。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中机器ARP缓存的崩溃。

下面给出ARP欺骗攻击在Vlan229网络交换机上所看到的特征。

3 原因分析

从对感染ARP欺骗的欺骗攻击病毒计算机进行现场查杀和计算机系统安全基本要求方面的检查来看，这些计算机大多存在如下的共同特征：

①系统安全补丁严重缺失，有的Winxp在SP2后只有一个补丁，所以补丁缺少很多（约两年）。

②计算机开机进入系统时几乎都缺少系统应有的“口令”。有的只有弱口令。

③大部分这样的计算机系统无防病毒软件或没有及时对防病毒软件升档，特别是企业网络中使用的Symantec通知升级后不执行升级就导致防病毒策略与防病毒代码无法及时更新。

浅析ARP欺骗与防御 第10篇

ARP协议的概述:

以太网传输数据包时, 以太网设备是以48位的物理地址, 即网卡的MAC地址传输数据包。也就是说此过程必须把IP目的地址转换成以太网能够识别的物理地址即MAC地址。比如某台设备要发送数据包给IP地址为192.168.2.1, MAC地址为00-23-0A-CD-0F-3A那么在通信过程中广播包使用的就是上面的MAC地址00-23-0A-CD-0F-3A。两者之间存在着映射协议, 此协议就是ARP (Address resolution protocl) , 并且在传输过程中存在着一个或多个ARP缓存表。

ARP缓存表存在于以太网网络适配卡 (网卡) 中, 其中登记了IP地址与MAC地址的对应关系。在windows中可以在命令提示符窗口中输入“arp-a/arp-g”查看缓存表中的内容。

ARP协议是在讨论IP与MAC的对应关系, 那么在只有自己的MAC地址而没有IP地址的网络环境中, 是如何建立这种MAC与IP的对应关系呢?这里要引入另外一个概念, RARP即反向地址转换协议, 它用于我们提到的知道MAC地址需要建立IP对应关系的网络环境, 如无盘工作站。

ARP与RARP的报头结构如下表1:

1、硬件类型字段:指明了发送方想知道的硬件接口类型, 以太网的值为1;

2、协议类型字段:指明了发送方提供的高层协议类型, IP为0800 (16进制) ;

硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度, 这样ARP报文就可以在任意硬件和任意协议的网络中使用;

3、操作字段:用来表示这个报文的类型, ARP请求为1, ARP响应为2, RARP请求为3, RARP响应为4。

下面举一个简单、常用的Ping命令作为例子, 使我们更深刻的理解ARP协议在以太网中是如何保证数据传输的。

假设源计算机A的IP地址为192.168.10.1, 执行ping192.168.10.2这个命令, 此过程有以下步骤:

1、构造一个ICMP (Internet Control Message Protocol Internet控制报文协议) 数据包, 提交给网络驱动程序;

2、网络驱动程序查找该地址是否能够转换成以太网传输的物理地址, 即在网卡的ARP缓存表中查找对应的IP、MAC关系, 如有对应的关系那么数据包将成功传送;

以上是ARP缓存表中存在我们所希望的IP、MAC对应关系, 如果没有这种关系呢?

1、构造一个ICMP数据包, 提交给网络驱动程序;

2、网络驱动程序查找该地址是否能够转换成以太网传输的物理地址, 即在网卡的ARP缓存表中查找对应的IP、MAC关系, 但在ARP的缓存表中并没有它们的对应关系;

3、网络驱动程序发送广播, 其中包含自己MAC地址的ARP请求, 寻找目的地址;

4、当目的地址192.168.10.2接受到请求后, 就告诉源地址, “我在这里!”, 其中包含自身的MAC地址;

5、源地址将把192.168.10.2的IP-MAC关系对应到自己的ARP缓存中, 同时更新自己的缓存表;

6、网络驱动程序把IP地址转换为MAC地址, 封装在以太网的报头, 再把数据包传输出去;

此过程即完成了一次Ping命令。

试想, 如果此时在网络中有另外一台主机冒充192.168.10.2, 那么是不是会导致数据的错误流向呢?答案是肯定的, 这就是我们经常说的ARP欺骗。

ARP欺骗原理:

在以太网中, 当计算机接受到ARP应答数据包的时候, 就会对本地的ARP缓存表进行更新, 将应答中的IP和MAC做查询与对应。如果更改了这种对应关系, 那必然会导致网络的通信故障。而这种状况类似于我们拨打电话, 如张三的电话为:123456、李四的电话为:654321。在通信公司必定有个用户与电话号码相对应的关系表来保证顺利的通话, 如果出现了某种未知的错误使得李四的电话号码在表中对应的号码为张三的123456, 那么所有的呼叫张三的信息必将转向李四, 造成错误的通信流向。

有了以上例子的铺垫, 下面我们具体讨论以太网环境下的ARP攻击, 更加深刻的理解ARP欺骗。在同一网段中存在着两台主机A、B, 他们分别为:

被欺骗主机A:IP 192.168.10.11 MAC 11:22:33:44:55:AA;

欺骗主机B:IP 192.168.10.22 MAC 11:22:33:44:55:BB;

此网段的网关为:IP 192.168.10.1 MAC:11:22:33:44:55:CC;

攻击开始, 欺骗主机B不停的向网关发送ARP请求包, 告诉网关它就是主机A (如下图1) , 此时网关更新ARP缓存列表中的对应关系, 使得192.168.10.11对应的MAC地址为11:22:33:44:55:BB, 这样网关就让所有流向主机A的数据流指向B。造成主机A断线和网段中的错误数据流。

以上的例子欺骗主机是在冒充同一网段中的其它主机, 如果欺骗主机在攻击过程冒充网关呢?显而易见此网段中的所有数据流以及外部的数据流将指向欺骗主机, 导致同网段中的所有主机无法通信。

防御ARP欺骗的方法概述:

有攻击就有防御, 在我们理解了ARP协议的概念、ARP欺骗的攻击原理与攻击方法后, 我们该如何对这种攻击进行防御呢?现就对几个主流的技术做简单介绍。

1、接入交换机的MAC绑定:

在接入交换机上做IP、MAC的绑定, 通俗点解释就是把正确的IP与MAC对应关系写在接入的交换机上。那么, 当网络中有ARP攻击时, 错误的IP与MAC信息报文将会被丢掉。彻底杜绝了ARP的攻击, 但是这种防御措施给网络工作者造成了很大的工作量, 毕竟要把所有的IP与MAC对应关系写进接入交换机的工作量还是比较大的。另外它无法防御来自接入交换机外部的ARP欺骗。

2、划分VLAN:

在交换机上划分VLAN, 这样即使网络中存在ARP攻击, 也仅影响该VLAN的用户, 缩小受影响的范围和查找范围。

3、安装第三方软件:

主机安装防御软件和专杀工具。这样既可防止来自外部的ARP攻击, 也可防止本机向外发送ARP攻击。从源头做到防御。

结束语: