ARP欺骗的解决办法

ARP欺骗的解决办法（精选6篇）

ARP欺骗的解决办法 第1篇

1 ARP欺骗原理

A R P协议即地址解析协议 (a d d r e s s resolution protocol) , 是网络层中的一个重要协议。地址解析是指在IP地址和采用不同网络技术的硬件地址之间提供的动态映射。A R P协议是建立在信任局域网内所有节点的基础上, 虽然高效却并不安全。ARP协议是一种无状态的协议, 它不会检查自己是否发过请求报文, 也不管 (其实也不知道) 是否是合法应答, 只要接收到目标MAC是自己的ARP广播报文, 都会接收并更新缓存, 这就为ARP欺骗提供了可能。

假设局域网分别有IP地址为192.168.0.1、192.168.0.2和192.168.0.3的A、B、C三台主机, 假如A和C之间正在进行通此时B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.0.3, MAC地址是BB-BB-BB-BB-BB-BB, 当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存, 这时B就伪装成C了。同时, B同样向C发送一个ARP应答, 应答包中为发送方IP地址192.168.0.1, MAC地址BB-BB-BB-BB-BB-BB, 当C收到B伪造的ARP应答, 也会更新本地ARP缓存, 这时B又伪装成了A。这时主机A和C都被主机B欺骗, A和C之间通的数据都经过了B, 主机B完全劫持目标主机与其他主机的会话。

2 ARP欺骗的防御技术与解决办法

2.1 ARP欺骗监测技术

2.1.1 手动监测

网络管理员可以通过命令查看主机的ARP表或路由器ARP表, 也可以利用Ethereal等Sniffer工具进行抓包, 发现可疑的〈IP, MAC〉地址映射, 分析可能存在的ARP欺骗并判断欺骗类型。例如当利用命令查看路由器ARP表时发现有多个IP地址对应一个MAC的现象, 这就说明该局域网内存在欺骗网关类型的A R P欺骗。

2.1.2 动态监测

它可以分为被动监测和主动监测两种。例如ARPWatch和ARP-Guard属于被动监测, 仅监测网络中是否存在ARP欺骗, 并不主动向外发送A R P报文;A R P防火墙则属于主动监测, 在监测网络是否存在ARP欺骗的同时, 还主动向外发送A R P报文, 防止对本机进行ARP欺骗。ARP防火墙是一种安装在用户主机上的ARP欺骗监测软件, 能够动态监测局域网内针对本主机和针对网关的A R P欺骗。但是如果设置错误, 主动监测的ARP防火墙会向局域网内发送大量A R P报文, 造成A R P报文的广播风暴, 影响网络通信。因此ARP防火墙的应用具有两面性。

2.2 ARP欺骗防御技术

2.2.1 手动防御

防御ARP欺骗的简单方法是网络管理员分别在主机和路由器上静态绑定〈IP, MAC〉地址映射。这种方法非常有效, 但仅适用于小规模的局域网。随着网络规模的扩大, 即使有相关软件协助进行〈IP, MAC〉地址映射的绑定, 手动添加的方法也会使工作量迅速增加。而且这种方法不适用于DHCP自动分配地址的情况, 也不能适应网络的动态变化。另一种有效的手动防御方法是在局域网中增加V L A N的数目, 减少VLAN中的主机数量。这种方法能够缩小ARP欺骗影响的网络范围;缺点同样是增加了网络维护的复杂度, 也无法自动适应网络的动态变化。

2.2.2 动态防御

M A C伪装是A R P欺骗的一个变种。Port-Security是思科交换机支持的一种防御MAC伪装的技术。使能Port-Security的交换机端口只允许学习有限数量的MAC地址, 如果设置为1, 则只允许一个合法的主机连接网络, 伪装的MAC地址就无法通过交换机。这种方式对防御M A C伪装非常有效, 但不能解决其他类型的ARP欺骗问题。

(1) A R P欺骗监测。根据不同类型的ARP欺骗的表现特征, 分别采取端口镜像监听网络、报文分析、分析路由器日志和分析路由器ARP表等方法, 动态发现网络中可能存在的ARP欺骗。这种方法需要收集局域网内所有主机的IP和MAC地址, 这也由该软件自动采集完成, 克服了手动防御中需要手动绑定〈IP, MAC〉地址映射的缺点。 (2) ARP欺骗主机定位。在监测到ARP欺骗后, 首先需要确定发起ARP欺骗主机的MAC地址, 然后对连接该主机的交换机设备定位;最后再对连接该主机的交换机端口进行定位, 定位操作主要通过SNMP协议完成。 (3) 关闭该主机连接。在完成主机和交换机端口定位后, 利用SNMP协议关闭连接该主机的交换机端口, 并以邮件或网页的形式通知用户。动态的监测与防御系统可以根据ARP欺骗类型分别采取相应的监测方法, 对发起ARP欺骗的主机及时定位并断开连接, 准确率较高, 能够有效地避免ARP欺骗的扩散, 在一定程度上缓解了局域网内A R P欺骗的问题。但是该系统只是在监测到ARP欺骗之后进行处理, 不能从根本上解决ARP欺骗的问题。另外, 局域网中大规模爆发的ARP欺骗在系统监测到问题前就已经使网络不能正常通信, 影响系统的监测效果, 只能由网络管理员参与处理。

3 ARP欺骗避免技术

ARP欺骗是由于ARP协议的安全缺陷以及信任局域网内主机造成的。要彻底避免发生A R P欺骗, 必须对A R P协议进行改进, 增强其安全特性。为与上面总结的ARP欺骗防御技术相区别, 本文称之为ARP欺骗避免技术。

3.1 加密与认证技术

ARP协议建立在信任局域网内主机的基础上, 对ARP报文不作任何加密和认证, 这是ARP欺骗产生的重要原因。文献[2~5]分别提出利用加密认证技术来改进A R P协议, 通过对ARP报文进行认证避免发生AR P欺骗。Gouda等人[2]提出一种新的地址解析架构, 它包括一个安全服务器和两种新协议:邀请—接受和请求—应答。邀请—接受协议用于主机向安全服务器注册其〈IP, M AC〉地址映射;请求—应答协议用于主机向安全服务器请求局域网中其他主机的M AC地址。这种架构与标准的ARP协议不兼容, 且安全服务器存在单点故障问题。但是它为利用安全认证技术改进ARP协议提供了很好的借鉴。安全ARP协议 (S-ARP) 是由Brushi等人[3]于2003年提出的一种ARP协议改进方案。其主要思想是利用非对称加密技术来对ARP报文进行认证, 避免发生AR P欺骗。安全ARP协议需要在局域网中增加一个权威密钥分发服务器 (authoritative k ey distributor, AKD) , 用来保存局域网中每台主机的IP地址和公钥。运行安全ARP协议的主机需要连接到AKD服务器获取发送ARP报文主机的公钥, 对接收到的A R P报文进行验证, 同时主机缓存该公钥以提高运行效率。安全ARP协议只需在标准A R P报文的尾部增加一个认证字段用于携带发送主机的数字签名, 因此与ARP协议相兼容。安全A R P协议的优点是利用非对称加密技术验证A R P报文的合法性, 与A R P协议相兼容, 但仍存在AKD服务器单点故障和重放攻击等缺点, 而且安全ARP协议存在的认证过程影响了运行效率。文献[4]基于安全A R P协议的架构提出一种改进方案, 采用将数字签名与基于哈希链的一次性密码技术相结合的方法来验证ARP报文, 提高安全ARP协议的运行效率。票据ARP协议 (ticket-ARP) [5]是利用加密认证技术提出的另外一种改进方案。它通过在A R P消息中发布集中产生的〈IP, MAC〉地址映射证明 (称之为票据) , 实现ARP报文的验证。这些票据由一个本地票据代理 (local tickets a gent, LTA) 集中产生和标记, 发送主机在A RP报文中附加上票据以便接收者进行验证。对于TARP协议的详细工作过程请参考文献[5]。TARP协议与ARP协议兼容, 但与安全A R P协议一样, 也面临着L T A服务器单点故障和重放攻击的问题。

3.2 与DHCP协议相结合

还有一种与DHCP协议相结合的安全单播ARP (S-UARP) 协议, 将基于广播的安全ARP协议 (S-ARP) 改进成一种单播协议。当局域网内的一台主机想与其他主机通信时, 首先向支持安全单播ARP协议的DHCP服务器 (称之为DHCP+) 发送S-UARP请求报文, DHCP+服务器查找它所分配的〈IP, MAC〉地址映射, 发回相应的S-UARP应答报文;主机在收到应答报文后再向DHCP+服务器发送确认报文, 安全单播ARP协议采用类似三次握手的方式完成I P地址和MAC地址的解析。为支持安全单播ARP协议, DHCP代理也需要进行相应的修改。S-UARP协议的优点是改进的单播协议避免了A R P欺骗的发生, 减轻了局域网的A R P广播流量;缺点是为支持安全单播ARP协议, 不仅需要改变A R P协议, 还需要改进DHCP服务器和DHCP代理, 实现比较复杂。而且DHCP服务器也面临着许多安全问题, 首先需要保证DHCP服务器的安全。交换机首先进行DHCP snooping监听, 将主机从DHCP服务器获得的IP地址及其MAC地址保存到数据库 (或文件) 中, 在接收到ARP请求报文时取出报文中的源IP地址与数据库中的记录进行比较, 丢弃无效的ARP报文。D A I技术无须修改A R P协议和D H C P服务器, 但是需要部署支持DHCP snooping功能的交换机, 经济成本比较高。目前其他厂家的交换机也具有利用DHCP snooping技术来避免发生ARP欺骗的功能。

4 现有技术的比较

通过比较也可以看出, 常规的ARP欺骗监测和防御技术由于方法简单, 已经在局域网中得到应用, 但是效果并不明显, 不能从根本上避免A R P欺骗的发生。改进A R P协议的A R P欺骗避免技术则比较复杂, 应用需求也比较多, 其中基于中间件的方法需要修改系统内核, 对于已经部署的数量庞大的主机和网络设备来说采用这种方法并不现实;采用安全认证技术的方法需要在局域网中增加集中式的安全服务器, 这种方法具有一定的可行性, 但是目前还没有得到实用;与DHCP服务相结合的方法则需要DHCP服务器和交换机的支持, 由于这种方法得到了厂商的支持, 在一些局域网中已经得到了部分应用。A R P欺骗避免技术对于主机、交换机和服务器的需求都很高, 因此部署难度比较大, 仍然需要进一步的研究和改进。

5 结语

本文简要介绍了A R P协议的工作流程, 阐述了ARP欺骗产生的原理以及攻击形式, 并对已有的针对ARP欺骗的监测、防御与避免技术进行分类和总结;着重介绍了其工作原理和优缺点, 并提出研究改进ARP协议需要综合考虑的因素。下一步工作将重点研究改进ARP协议, 探讨可信任的安全局域网的设计与实现。

摘要：近年来, 大学校园网或多或少的会受到ARP欺骗的侵扰, 这在一定程度上干扰了正常的教学秩序和工作秩序。本文通过ARP协议原理分析揭示ARP协议欺骗, 并给出相应的防御措施及解决办法。

关键词：ARP,欺骗,防御

参考文献

[1]Ethereal a network protocol analyzer[EB/OL]. (200605) [2008-04-10].http://www.ethereal.com.

[2]GOUDA M G, HUANG C T.A secureaddress resolution protocol[J].ComputerNetworks, 2003, 41 (1) :57～71.

[3]BRUSCHI D, ORNAGHI A, ROSTI E.S-ARP:a secure address resolutionprotocol[C]//Proc of the 19th Com-puter Security Applications Conference.Washington DC:IEEE Computer Society, 2003:66～74.

[4]GOYAL V, ABRAHAM A.An effi-cient solution to the ARP cache poi-soning problem[C]//Proc of the 10thAustralasian Conference on Informa-tion Security and Privacy.Berlin:Springer, 2005:40～51.

[5]LOOTAHW, ENCKW, Mc DANIEL P.TARP:ticket-based address resolutionprotocol[C]//Proc of the 21stAnnualComputer Security Applications Conference.2005:106～116.

[6]杨名川.利用华为交换机防止ARP欺骗[J].现代计算机, 2007 (2) :110～112.

[7]陈伟斌, 薛芳, 任勤生.ARP欺骗攻击的整网解决方案研究[J].厦门大学学报:自然科学版, 2007, 46 (S-2) :100～103.

[8]徐丹黎, 俊伟, 高传善.基于Ethernet的网络监听以及ARP欺骗[J].计算机应用与软件, 2005, 22 (11) :105～107.

[9]吴小平, 周建中, 方晓惠.基于SNMP的ARP欺骗主动防御机制[J].华中师范大学学报:自然科学版, 2007, 41 (4) :512～514.

[10]陈文波, 李善玺.针对ARP欺骗的动态检测防御系统[J].中国教育网络, 2007 (8) :76～77.

ARP欺骗原理及解决办法 第2篇

ARP协议对网络安全具有重要的意义。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话，网络就肯定会出现大面积的掉线问题。ARP攻击在现今的网络中频频出现，有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。

1 ARP欺骗的基本表现

如果系统ARP缓存表被修改、路由器被传入一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话，就会出现网络大面积的掉线现象，这就是典型的ARP攻击。对遭受ARP攻击的判断，其方法很容易，找到出现问题的电脑进入系统的DOS操作。ping路由器的LAN IP丢包情况。输入ping172.18.210.1(网关IP地址)，如下图：

内网ping路由器的LAN IP丢几个包，然后又连上，这很有可能是中了ARP攻击。

2 ARP欺骗原理

假设这样一个网络，一个交换机接了3台机器HostA,HostB,HostC。其中：

A的地址为：IP:192.168.1.1MAC:AA-AA-AA-AA-AA-AA———网关。

B的地址为：IP:192.168.1.2MAC:BB-BB-BB-BB-BB-BB———黑客。

C的地址为：IP:192.168.1.3MAC:CC-CC-CC-CC-CC-CC———被欺骗者。

如果HostB进行ARP欺骗，其过程是：假冒A'向像发送ARP欺骗包，B向C发送一个自己伪造的ARP欺骗包，而这个应答中的数据为发送方IP地址是192.168.1.1(网关的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA，这里被伪造了)。当C接收到B伪造的ARP应答，就会更新本地的ARP缓存(C可不知道被伪造了)。而且C不知道其实是从B发送过来的，这样C就受到了B的欺骗了，凡是发往A的数据就会发往B，这时候那么是比较可怕的，你的上网数据都会先流向B，在通过B去上网，如果这时候B上装了SNIFFER软件，那么你的所有出去的密码都将被截获。

3 ARP欺骗防范措施和解决方法

笔者在这里提出了4种防范措施和解决方法：

(1)通过arp-s来绑定网关的MAC地址和IP地址，使用arps来绑定。那么在ARP表中显示的是一条静态的记录。这样就不会被动态的ARP欺骗包给欺骗，而修改。例如arp-s 172.18.157.12100-0B-AD-DD-22-35。但是经此动作后，如果重起了电脑，作用就会消失，所以要把此命令做成一个批处理文件，放在操作系统的启动里面，批处理文件可以这样写：

将这个批处理软件拖到“windows/开始/程序/启动”中。

(2)有些木马或是一些骇客总是使用本地网卡上的网关来做欺骗。网关是通往外网或是和不同网络互联的一个中间设备。而通过添加路由表中的记录，设置优先级高于网关默认路由，那么网关的路由在级别高的路由可用时将不会生效。

施行方法：(1)先手动修改客户机的网关地址为任意IP地址，最好是同一网段中，没使用的一个IP，以免被怀疑;(2)手动添加或是通过批处理，或是脚本来添加永久对出口路由。此中方法可以欺骗过大部份菜鸟或是所谓的骇客和大部份ARP欺骗木马。缺点是：如果以后网关以后网卡或是机器改变。那么以后还得重新修改已有得路由。route delete 0.0.0.0———删除到默认得路由route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric1———添加路由route add-p 0.0.0.0 mask 0.0.0.0 192.168.1.254metric 1———参数-p就是添加永久的记录。route change———修改路由

(3)如果你目前使用得交换机器有网卡和MAC地址绑定功能，那么将你所在的网卡的IP地址和MAC地址进行绑定。但有时候，我们可能没有这些设备那么要想做就很困难了。

另类方法思路———如何全面解决让ARP欺骗，ARP木马无法在本机器安装，运行。大部分监控，arp欺骗软件，都会使用到一个winpcap驱动。那么现在的思路就是让其无法在本地计算机安装。这样arp欺骗软件就无法被使用了使用了，此方法可以用于任何程序的安装。需要的条件：(1)所在的系统盘为NTFS分区格式;(2)知道所要安装的文件所要在系统中生成的文件;(3)使用注册表和文件安装监视软件来监视安装所生成的文件。

(4)利用些别人做好的ARP监控工具。

摘要：介绍了ARP及ARP欺骗的基本原理和以及ARP欺骗的防范措施。

ARP欺骗防御解决方案 第3篇

1 ARP协议

我们知道, ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写, 它的作用, 就是将IP地址转换为MAC地址。在局域网中, 网络中实际传输的是“数据帧”, 数据帧如果要到达目的地, 就必须知道对方的MAC地址, 这个协议不认IP地址。但这个目标MAC地址是如何获得的呢?它就是通过ARP协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 例如下表所示。

我们以主机A (192.168.16.1) 向主机B (192.168.16.2) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

以上就是ARP协议的作用以及其工作过程, 看来是很简单的, 也正因为其简单的原理, 没有其他措施的保障, 也就使得ARP欺骗产生了。下面我们来看看ARP欺骗到底是怎么回事。

2 ARP欺骗原理

为什么会有ARP欺骗, 这还要从ARP协议说起。前面我们介绍了, 当源主机不知道目标主机的MAC地址的话, 就会发起广播询问所有主机, 然后目标主机回复它, 告知其正确的MAC地址, 漏洞就在这里。如果一个有不轨图谋的主机想收到源主机发来的信息 (可能是用户名、密码、银行账号之类的信息) , 那么它只需也向源主机回复一下, 响应的IP地址没错, 但MAC地址却变成了发起欺骗的主机的, 这样, 信息就发到它那里去了 (前面说了, 数据帧只认MAC地址) 。这是一种欺骗的方式, 还有一种方式, 是利用了“免费ARP”的机制。所谓免费ARP就是不需要别人问, 一上来就先告诉别人, 我的IP地址是多少, 我的MAC地址是多少, 别的主机无需广播, 就已经知道了该主机的IP和MAC, 下次需要发到这个IP的时候, 直接发就行了。既然是主动发起的, 就可以被别有用心的人利用了, 用一个假冒的IP地址 (可能是网关的或者重要服务器的地址) 加上自己的MAC出去骗别人, 就把重要的信息都骗到这里来了。下面我们来看看ARP欺骗的具体操作过程。

2.1 局域网主机冒充网关进行ARP欺骗。

欺骗过程:如下图所示, Pc A跟网关GW C通讯时, 要知道GW的MAC地址, 如果PC B假冒GW告诉PC A, GW的MAC地址是MAC B;或者干脆告诉PC A, GW的MAC地址是MAC X, 那么, PC A就受骗了, pc A的数据就到不了网关, 造成断线。

2.2 局域网主机冒充其他主机欺骗网关

欺骗过程:网络通讯是一个双向的过程, 也就是说, 只有保证PC A->Gw C以及Gw C->PC A都没问题, 才能确保正常通讯。假如, PC B冒充主机PC A, 告诉GW C:PC A的MAC是MAC B, 网关就受骗了, 那么, PC A到GW C没有问题, 可是, GW C到不了PC A, 因而造成网络断线。

以上两种欺骗, 尤其是第二种类型的欺骗, 现在更为常见。从本质上说, 同一局域网内 (这里指在同一网段) 的任何两个点的通讯都可能被欺骗, 无论是主机到网关, 网关到主机, 主机到服务器, 服务器到主机, 还有主机之间都是一样, 都可能产生进行ARP欺骗, 欺骗本质都是一样。

2.3 其他欺骗类型。

主机冒用其它主机, 欺骗其它主机的方式:如主机A冒用主机B的MAC, 欺骗主机C, 以达到监听主机B和主机C的目的.并且导致主机B到主机C之间的网络连接中断。

外网欺骗:外网冒用路由器A的MAC, 欺骗更上一级的路由器B, 导致更上一级的路由器被骗, 将内网信息全部转发给外网恶意主机。

3 防御ARP欺骗的解决方案

面对ARP欺骗带来的危害日益升级, 越来越多的网络深受其害, 在网络安全界也涌现出了多种ARP欺骗的防御方案, 我在这里简单加以总结。

3.1 接入交换机/网关手动绑定。

目前主流的安全接入交换机/网关都具有IP、MAC绑定功能, 有的厂家的安全接入交换机甚至提供了6元素 (IP、MAC、VLAN ID、交换机端口号、用户名、密码) 的绑定, 可以通过在接入交换机上将下联每台主机的IP和MAC地址绑定起来, 将不符合IP、MAC绑定信息的报文全部丢弃, 这样有效的防住了内网用户冒充网关或其他主机来欺骗内网其他用户的目的。

这种方法的局限性:配置工作量大, 每台交换机下所连的所有用户都要一一手动绑定, 对于交换机下联客户机变换频繁的场合, 基本无可用性;无法防御来自外部的ARP欺骗, 只对本交换机所接用户负责;无法适用于采用动态IP的场合。

接入交换机/网关手动绑定的方法, 是现在采用的比较多的手段, 但由于其以上的局限性, 所以要配合其他手段才能完善的防御ARP欺骗。

3.2 主机端手动绑定。

通过Windows自带的ARP-S命令, 可以将特定的IP地址和MAC地址进行绑定, 实现一定的ARP欺骗防御。

这种方法的局限性:配置麻烦, 主机需要通信的目标很多, 不可能一个一个都绑起来;容易失效, 这种方法进行的绑定, 一拔掉网线或者关机、注销就全部失效了, 如果想继续使用, 就需要重新绑定;只能进行主机端的防御, 如果网关遭欺骗则无能为力。

跟接入交换机绑定一样, 主机端手动绑定也是只能实现部分防御, 需要与其他方法结合来完善。

3.3 网关定期发送免费ARP。

这是一种抑制的方法, 因为ARP表项有老化期, 经过一段时间就需要重新更新, 所以通过网关定期发送免费ARP, 不时的“提醒”主机, 真正的网关在这里, 来防止伪装成网关的ARP欺骗。

这种方法的局限性:网关定期发送免费ARP, 对于网关设备的性能提出了很高的要求, 同时, 大量的免费ARP报文无疑也大大占用了网络的带宽;由于很多ARP欺骗也是通过频繁大量发送免费ARP报文来实现的, 所以如果网关这么做, 欺骗只需要将发送的频率加大几倍就依然可以欺骗成功。

3.4 主机安装ARP防御软件。

目前这类软件很多, 其基本原理与上一个方法相同, 就是每个主机都不停的发送免费ARP广播, 来告诉别人自己的IP和MAC的绑定关系, 以达到抑制欺骗ARP报文的目的。

这种方法的局限性:同上一个方法一样, 这种方法也是通过耗费大量网络带宽来实现的, 所以在许多主机安装了ARP防火墙的网络中, 网络性能往往都会非常低下, 因为大量的带宽都被免费ARP报文占用了。

以上就是目前常见的几种防范ARP欺骗的解决方案, 我们可以看到, 每个方案各有利弊, 都无法完善方便的防住ARP欺骗。只有通过多种手段的结合, 配合完善的内网管理机制, 才能实现ARP欺骗的真正防御。

4 三重立体ARP防御解决方案

ARP欺骗攻击存在的原因, 究其根本在于ARP协议本身的不完善, 通信双方的交互流程缺乏一个授信机制, 使得非法的攻击者能够介入到正常的ARP交互中进行欺骗。要从根本上解决ARP欺骗的问题, 必须要在局域网内的通信双方之间建立起一个可信任的验证体系。

目前在业界最完善的“ARP三重立体防御体系”, 正是为了应对现在日益严重的ARP欺骗现象而制定的, 整个解决方案遵循以下思路进行:

4.1 方案原理。

(1) 用户身份合法性验证。通过部署这种解决方案, 实行基于IEEE 802.1X协议的身份认证系统, 所有用户都必须要经过统一集中的身份鉴权认证方能允许接入网络。统一的身份认证系统确保了所有网络中的在线用户都有合法的身份信息, 并且利用802.1X协议基于MAC地址的逻辑端口认证特性, 保障了认证系统的中央服务端能够在用户认证过程中获取到用户真实的IP-MAC对应信息。 (2) 确保真实ARP信息来源。防治ARP欺骗的最重要一个环节是确保ARP信息的真实可靠。对于局域网通信最主要的两个对象:网关和用户来说, 网关的IP-MAC对应关系是不会轻易变更的;而通过在全网实施的入网身份认证系统, 能够确保在用户每次上线时的认证过程中都能提交真实的IP-MAC信息。网络中各元素的真实ARP信息有了可靠的来源保障。 (3) 中立的第三方ARP授信体系。前文已经谈到, 要从根本上防治ARP欺骗, 必须在通信双方之间建立可靠的验证体系。而由于ARP协议本身的缺陷性, 不管是通信双方的网关或是主机都无法胜任对ARP信息的可靠性进行验证的角色, 需要通过中立的第三方系统把控ARP协议的通信过程。“ARP三重立体防御体系”能够对在线用户的身份信息进行统一的管理, 非常适合进行ARP信息的授权管理。 (4) 建立可信任ARP (Trusted ARP) 机制。可信任ARP机制用于在局域网通信的双方之间进行可靠的ARP信息同步, 具体到各个不同的网络元素之间的同步过程, 可以分为以下两种操作:

主机ARP静态绑定:在客户端主机进行网关的ARP静态绑定。当用户认证上线时, 认证服务端在本地保存的网关IP-MAC对应关系表中查找用户所属网关, 并将该用户所对应的网关IP和MAC地址进行下发, 由802.1X认证客户端程序在用户的主机端进行网关MAC和IP的ARP静态绑定。

客户端在认证成功后进行ARP静态绑定, 然后定时进行ARP静态绑定是否被更改的检测, 如果被更改, 则重新进行绑定, 以防止一些木马程序以合法的方式对ARP静态绑定进行的更改, 用户下线时删除主机的网关ARP静态绑定。

网关可信任ARP绑定:当用户认证上线时, 认证服务端通过接入交换机获取用户真实的IP-MAC关联信息, 并根据用户的网关信息, 将用户相应的ARP表项在网关进行主机的IP和MAC的ARP静态绑定.该方式同主机ARP静态绑定相结合, 能够达到双绑定的效果。

(5) 在网关设备上增加可信ARP表项。在智能三层接入/汇聚交换机上必须能够支持可信任ARP表项功能。可信任ARP作为一类特殊ARP, 添加在交换机端的ARP表中。可信任ARP同时具有静态ARP和动态ARP两者的特征, 其优先级高于动态ARP表项、并且低于静态ARP表项。可信任ARP具有类似于动态ARP的老化机制——通过记录和刷新每个表项的老化时间来判断该表项是否需要老化。可信任ARP具有静态ARP的相关特征, 即不被动态ARP所覆盖。

可信任ARP归类为动态ARP, 因此对于ARP的相关功能模块, 该可信任ARP将被视为动态ARP。使用这种方式可避免可信任ARP对原有ARP相关模块的影响。同时, 由于静态ARP优先级高于可信任ARP, 因此用户手动配置的静态ARP可以覆盖可信任ARP。

因此, 在实施了可信任ARP功能之后, 对于网络管理员来说, 所有操作完全都是透明的, 不会对网络管理员的原有网络管理产生任何影响, 因为对于原有的网络来说, 可信任ARP就是动态ARP。只有在ARP更新这个地方有了轻微了变化, 而且所有的一切动作都是后台进行的。

4.2 方案实现过程及效果

(1) 第一重, 网关防御。网关防御的实现过程如下:安全管理平台学习已通过认证的合法用户的IP-MAC对应关系;安全管理平台将用户的ARP信息通知相应网关;网关生成对应用户的可信任ARP表项。

网关防御过程如下:攻击者冒充用户IP对网关进行欺骗;真正的用户已经在网关的可信任ARP表项中, 欺骗行为失败。

(2) 第二重, 客户端防御。用户端防御的实现方法如下:在安全管理平台上设置网关的正确IP-MAC对应信息;用户认证通过, 安全管理平台将网关的ARP信息下传至客户端;客户端静态绑定网关的ARP。

用户端防御的实现过程如下:攻击者冒充网关欺骗合法用户;用户已经静态绑定网关地址, 欺骗攻击无效。

(3) 第三重, 交换机非法报文过滤。交换机非法报文过滤, 是通过安全智能交换机的安全功能来实现的, 具体实现方法如下:用户认证通过后, 交换机会在接入端口上绑定用户的IP-MAC对应信息;交换机对报文的源地址进行检查, 对非法的攻击报文一律丢弃处理;该操作不占用交换机CPU资源, 直接由端口芯片处理。

交换机非法报文过滤实现过程如下:攻击者伪造源IP和MAC地址发起攻击;报文不符合绑定规则, 被交换机丢弃。

参考文献

[1]谢希仁.计算机网络[M].北京:电子工业出版社, 2008, 1.

[2][美]多伊尔, [美]卡罗尔著, 葛建立, 吴剑章译.TCP/IP路由技术[M].北京:人民邮电出版社, 2007, 1.

浅谈ARP欺骗原理和解决方法 第4篇

1 ARP欺骗原理

在同一网内的所有机器是通过MAC地址通讯的。方法为, PC和另一台设备通讯, PC会先寻找对方的IP地址, 然后在通过ARP表调出相应的MAC地址, 实现与对方通讯。也就是说在局域网内各设备互相通讯是依据MAC地址, 而不是IP地址。

ARP在设计没有考虑过多的安全问题, 所以给ARP留下很多的隐患, 其中ARP欺骗就是其中一个例子。网内的任何一台机器都可以轻松的发送ARP广播, 来宣称自己的IP和自己的MAC。这样收到的机器都会在自己的ARP表格中建立一个IP和MAC地址项, 而不去管是否是正确的。例如:10.13.27.5/23机器MAC是00-13-20-9E-1E-2B。它在内网广播自己的IP地址是10.13.26.1 (网关IP) , MAC地址是00-13-20-9E-1E-2B (它自己的真实MAC) .这样大家会把发给网关10.13.26.1的信息和发给00-13-20-9E-1E-2B.也就是10.13.27.5有了这个方法后欺骗者只需要做一个软件, 在网内想骗谁就骗谁。往往做这些软件的人可能都是木马程序员, 捆绑在外挂或其它软件上, 能自动找到网关, 截取局域网内的帐号密码, 并发到他自己的邮箱上。

基于原理, ARP在技术上面又分为, 对PC的欺骗和对网关的欺骗;它们的区别在后面的ARP解决里面仔细阐述。

2 ARP欺骗的起因

网络游戏兴起后, 网络盗号, 木马也跟着疯狂。ARP欺骗就是一种很好的盗号方式。捆绑有ARP攻击方式的木马外挂, 会先找到局域网的网关MAC地址, 然后发送自己ARP欺骗, 告诉同个子网内所有的机器自己就是网关, 所有出口的信息都往我这里发。例如:10.13.27.5 MAC 00-13-20-9E-1E-2B机器为欺骗者的盗号机器, 首先, 它会先找到网关 (内网网关为10.13.26.1 MAC为00-13-20-9E-1E-2B) 。之后它就会发送ARP广播, 说自己的IP地址是10.13.26.1MAC地址是00-13-20-9E-1E-2B.这样, 同一子网内所有收到它发信息得机器都会误认为它就是本子网的网关。所有上网信息都会发送给这个MAC地址的机器, 由于找不到真正的网关, 这些被骗的机器就无法上网。而发送的所有信息都会被这个盗号机器收到, 完成盗号事件。

3 ARP的发现

我们学校网络不能访问外网了, 于是我的手机被打暴了, 查了以后发现是ARP造成的。这里给出方法, ARP的通病就是掉线, 在掉线的基础上可以通过以下几种方式判别。1) 一般情况下不需要处理几分钟之内就可以回复正常上网。因为ARP欺骗是由时限, 过了期限就会自动的回复正常。2) 打开被骗机器的DOS界面, 输入ARP-A命令会看到相关的ARP表, 通过看到的网关的MAC地址可以去判别是否出现ARP欺骗, 但是由于时限性, 这个工作必须在机器回复正常之前完成。3) 装上ARP网盾, 哪个IP进行了欺骗, 真实的MAC地址都能显示。

4 ARP问题解决

ARP解决方案, 有以下三种:

4.1 路由器AR P广播、超量路由器AR P广播

国内部分硬件路由有此功能, 它的原理是路由器不间断的广播正确的路由器ARP。例如:路由器的IP是192.168.1.1MAC∶11∶12∶13∶14∶15∶16, 那它就会不停的每秒广播自己的正确ARP。不管你是否喜欢收, 1秒收一个一秒收一个, 收到了就改一次ARP表。无穷无尽无止无息, 如果出现ARP欺骗, 欺骗者发出欺骗信息, PC刚收到欺骗信息就收到了正确信息.有些厂商相用高速ARP发送来解决这个问题, 但是随之而来的广播风暴的又是一个新的问题。

4.2 静态绑定

ARP解决最有效的方法, 就是从根本杜绝它的欺骗途径。欺骗是通过ARP的动态实时的规则欺骗内网机器, 所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗。方法为:找到路由器的lan口的MAC地址, 把MAC地址通过静态的方式帮定到每台PC上面。通过类似于“ARP-S 192.168.1.1 00-13-32-33-12-11”命令。我们设置的是静态方式。

4.3 MAC/IP双向绑定

第二种办法只能解决自己一台电脑, 网络管理员通过技术手段可以查得真实的IP又如何, 我校电脑600多台, 不可能每台都查过去。为此我们在路由器上做MAC/IP绑定, 只有绑定了MAC的电脑才能上网, IP地址统一由路由器分配 (H3C:ER5200具有MAC/IP绑定, 防ARP攻击, 正能完成本项任务) 。MAC/IP绑定给我校网络安全提供了三个方面的好处。其一是没有登记MAC码的网卡不能上网, 登记MAC码的网卡IP统一分配, 不会出现IP冲突。其二是登记MAC时留下具体使用人的联系方式, 具体电脑位置, 方便找到根源进行整改。其三是有效地防止了周围的无线用户借用我校的大功率AP免费无线上网。

5 结论

前面提到了ARP欺骗可以造成内部网络的混乱, 让某些被欺骗的计算机无法正常访问内外网, 让网关无法和客户端正常通信, 甚至造成网络的瘫痪。我们了解了它存在意义, 了解它的机理。网管员配合单位做好MAC的登记、绑定, 才对ARP欺骗电脑实施“堵”、“杀”、“防”失效后进行“追”查到使用者, 让ARP木马无处可藏。真真正正的和ARP欺骗说再见。

参考文献

[1]雷震甲.网络工程师教程[M].清华大学出版社, 2006.

ARP欺骗的解决办法 第5篇

1 ARP的工作原理

在TCP/IP参考模型中, IP地址只是主机在网络中的逻辑地址, 若将网络层中传输的数据报交给目的主机, 必须知道该目的主机的物理地址 (MAC地址) , 这是因为二层的以太网交换设备并不能识别32位的IP地址, 而是以48位的物理地址 (MAC地址) 传输以太网帧的;因此IP地址与MAC地址之间就必须存在一种对应关系, 并且计算机中应当存放这种对应关系的转换表, 同时能够进行动态更新, 而ARP协议就很好地解决了这些问题。

ARP协议的基本功能就是通过目的设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。当一个网络设备和另一个网络设备进行数据通信时, 它首先把目的设备的IP地址与自己的子网掩码进行“与”操作, 来判断目的设备与自己是否位于同一网段内。如果目的设备与自己在同一网段内, 并且源设备没有获得与目的设备IP地址相对应的MAC地址信息, 则源设备以第二层广播的形式 (目标MAC地址为全1) 发送ARP请求报文, 在ARP请求报文中包含了源设备与目的设备的IP地址。同一网段中的所有其他设备都可以收到并分析这个ARP请求报文, 如果某设备发现报文中的目标IP地址与自己的IP地址相同, 则它向源设备发回ARP响应报文, 通过该报文使源设备获得目的设备的MAC地址信息。如果目标设备与源设备不在同一网段, 则源设备首先把IP分组发向自己的缺省网关 (Default Gateway) , 由缺省网关对该分组进行转发。如果源设备没有关于缺省网关的MAC信息, 则它同样通过ARP协议获取缺省网关的MAC地址信息。

2 ARP的欺骗攻击原理

在局域网中, 通过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) 的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 如表1所示。

主机A (192.168.16.1) 向主机B (192.168.16.2) 发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。

ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。从上面可以看出, ARP协议的基础就是信任局域网内所有的人, 那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗, A去Ping主机C却发送到了dd-dd-dd-dd-dd-dd那里。如果进行欺骗的时候, 把C的MAC地址骗为dd-dd-dd-dddd-dd, 于是A发送到C上的数据包都变成发送给D的了。A对这个变化一点都没有意识到, 但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。D可以进行ARP重定向。打开D的IP转发功能, A发送过来的数据包, 转发给C, 好比一个路由器一样。不过, 假如D发送ICMP重定向的话就中断了整个计划。D直接进行整个包的修改转发, 捕获到A发送给C的数据包, 全部进行修改后再转发给C, 而C接收到的数据包完全认为是从A发送来的。不过, C发送的数据包又直接传递给A, 倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了, 对于A和C之间的通讯就了如指掌。

3 ARP欺骗攻击应对策略

根据目前国内高校已经普遍使用的比较成熟的802.1x认证模式, 可以提出如下的综合治理方案:

1) 合理的分配IP地址, 使用完善的网络IP-MAC管理系统, 做好IP地址登记注册和静态的MAC->IP对应表。对于校园网而言, 教师、学生和各部门甚至包括生活区所使用计算机的IP分配一定要清晰, 并要严格规定不得任意更改IP地址。

2) 网管交换机端绑定。在校园的核心交换机上绑定用户主机的IP地址和网卡的MAC地址, 同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

(1) IP和MAC地址的绑定, 在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址———对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。

(2) MAC地址与交换机端口的绑定, 根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号, 将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址, 该机器的网络访问将因其MAC地址被交换机认定为非法而无法上网, 也就不会对局域网造成影响。

3) 采用VLAN技术隔离交换机端口。局域网的网络管理员可根据本单位网络的拓扑结构, 规划出若干个VLAN, 并登记好这些VLAN。一旦管理员发现有用户在恶意利用ARP欺骗攻击网络, 或合法用户受病毒ARP病毒感染而影响网络时, 网络管理员可利用技术手段首先查找到该用户所在的交换机端口, 然后将该端口划—个单独的VLAN将该用户与其它用户进行物理隔离, 从而避免对其它网络用户的影响。也可以将交换机端口Disable掉来屏蔽该用户对网络造成影响, 达到安全防范的目的。

4) 在交换设备上, 使用可防御ARP攻击的交换机 (如思科等多功能交换机) , 建立动态的IP+MAC+PORT的对应表和绑定关系, 实时控制ARP流量, 建立DHCP嗅探匹配表等。合理划分VLAN, 进行端口隔离, 彻底杜绝在交换环境中实施的MAC/CAM攻击、DHCP攻击、地址欺骗等。

5) 对于网络用户要提高防范意识, 及时安装并更新杀毒软件和防火墙, 加强对于电脑病毒危害性的认识。

4 小结

由于ARP协议本身的特点, 导致针对ARP的攻击容易实施而难于防范。通过文中对ARP协议的工作原理, 探讨了ARP协议从IP地址到MAC地址解析过程中的安全性, 给出了网段内和跨网段ARP欺骗的实现过程, 提出了几种常规可行的解决方案, 经过多种方案配合使用, 就可以最大限度的杜绝ARP欺骗攻击的出现, 保证校园内正常的计算机办公与教学。

摘要：该文通过对目前高校校园网广泛存在的ARP欺骗技术的分析, 提出一种针对ARP欺骗的应对解决方案。

关键词：ARP欺骗,IP路由,协议,拒绝服务

参考文献

[1]谢希仁.计算机网络[M].4版.大连:大连理工大学出版社, 2004.

[2]李小强, 张朝辉.校园网ARP欺骗的防御[J].中国教育信息化, 2009, 3.

[3]刘涛, 陈宝国.ARP漏洞分析及防范[J].实践与经验, 2008 (6) .

[4]徐非.AKP协议的网络安全性研究[J].上海电力学院学报, 2006, 24 (2) .

校园网中ARP欺骗攻击的解决方案 第6篇

局域网中主机和主机之间的通信必须使用目的主机的MAC地址, 而网络层的IP数据包使用的是IP地址, 因此必须存在一种机制使得网络层的IP地址能够转化成数据链路层的MAC地址, 这种机制即ARP协议。ARP协议工作于以太网协议和IP协议之间, 其基本功能就是通过目的主机的IP地址, 查询出目的主机的MAC地址, 以保证数据传输的顺利进行。

在每一台计算机中都设有一个ARP高速缓存表, 缓存表中存有本局域网上的各主机和路由器的IP地址和MAC地址的映射表, 如图1主机中的ARP缓存表。

当主机A要向本局域网中的主机B发送IP数据包时, 首先去查看本机上的ARP高速缓存有无主机B的IP地址和MAC地址的对应关系, 若存在, 则直接将B的MAC地址写入以太网帧的首部中;若不存在, 则在本局域网中发送一个广播包, 写入主机B的IP地址, 询问其MAC地址是什么。网络上的其他主机不会响应此广播消息, 只有主机B向主机A发送一个单播消息告知自己的MAC地址。主机A收到此单播消息后将主机B的IP地址和MAC地址的对应关系填入ARP缓存中, 就可以向主机B发送数据进行通信了。对每一条映射地址项目还需设定一个计时器, 一旦计时器到时, 该项目就从ARP缓存中删除, 用于防止失效的地址表。ARP协议对于网络通信具有重要的意义。

2 ARP欺骗原理

2.1 ARP协议存在的缺陷

ARP协议是建立在各主机间的通信是相互信任的基础上的。正常情况下, 当某台主机以广播方式发送ARP请求后, 目的主机再以单播包作为应答包发送给源主机。但ARP协议设计之初出于效率上的考虑, 位于局域网内的任何主机都可以随时无条件地发送ARP应答, 在数据链路层也没有对应答ARP的安全验证。即使没有收到ARP请求, 主机也可以去发送ARP应答;并且源主机即使没有发送过ARP请求, 也可以接收ARP应答, 然后将应答报文中的主机IP地址和MAC地址写入自己的ARP高速缓存。

攻击者利用ARP的这一缺陷, 就可以伪装ARP应答, 提供一个错误的IP地址与MAC地址的映射关系, 通过确定地址映射项目的定时器的时间, 以一个比定时器时间短的时间间隔不停地发送此ARP应答, 从而修改主机的ARP缓存表, 影响了网络内主机的正常通信甚至以“中间人”的身份窃取信息。

2.2 ARP攻击欺骗的方式

ARP欺骗主要包括三种攻击方式:中间人攻击, 拒绝服务攻击和克隆攻击。

(1) 中间人攻击。中间人攻击就是攻击者相当于充当两个目的主机通信路径上的中继, 来监听两个目的主机之间的通信, 其工作原理如下:假定在同一网络中有三台主机分别为PC1、PC2和PC3, PC3作为攻击方, 首先使PC2暂时不能正常工作, PC3再将包含自己的MAC地址和PC2的IP地址的ARP应答以单播形式发送给PC1。无论PC1是否发送过ARP请求都会接收此ARP应答报文, 并将此映射关系写入它的ARP缓存中, 即PC1记录下PC2的IP地址对应着PC3的MAC。这样, 当PC1有数据要发送到PC2时, 都会被PC3截获, 同时为了防止PC1和PC2发现异常, PC3再将数据转发给PC2, 即PC3充当了中间人的角色, 反之, PC3也可将PC3的MAC地址和PC1的IP地址发送给PC2, 这样PC2发送给PC1的数据都会被PC3截获。

如果攻击者对网络中的一个目的主机及其默认网关进行中间人攻击, 则攻击者可截获此主机向网络中发送的全部数据。

(2) 拒绝服务攻击。由于主机中ARP缓存的容量是有限的, ARP缓存中只能存储有限数据量的IP地址与MAC地址映射项目。攻击者利用这一点, 伪造出大量ARP报文, 其MAC地址是根本不存在的地址, 并使ARP缓存溢出, 从而合法用户的ARP报文不能被主机所接收。那么主机发送的所有数据都会丢失, 上层一直忙于处理此异常情况而对外界正常请求无法响应, 结果导致主机产生拒绝服务。

(3) 克隆攻击。克隆攻击建立在拒绝服务攻击基础之上, 一旦目的主机产生拒绝服务, 攻击者将自己的IP地址和MAC地址分别改成目的主机的IP地址与MAC地址, 这样攻击者就可以伪装成目的主机进行收发数据。

3 解决方案

3.1 抵御ARP欺骗

校园网中的网络较复杂, 各场所用户数量、拓扑结构、管理方法等都有所区别, 所以对于不同的场所, 应采用不同的抵御方法。

(1) 在用户比较集中的教学场所如计算机网络实验室等、办公室及图书馆, 可采用IP地址和MAC地址静态绑定的方法。首先绑定默认网关的IP地址和MAC地址, 过程如下:创建一个批处理文件, 记录下默认网关的IP地址和MAC地址 (通过在DOS窗口下输入arp-a命令查看)

Eg.@echo off

arp-d

arp-s 192.168.1.152 00-d0-f8-03-3c-18

将其保存为arp.bat文件, 设置为开机自动启动项, 之后每次开机, 系统就会自动运行该文件, 达到默认网关的IP地址与MAC地址静态绑定的目的。

然后, 绑定主机的IP地址和MAC地址。可以利用MAC地址绑定工具, 如MAC-IP地址绑定工具V 1.3, 通过扫描本网络内主机的I P地址和M A C地址, 自动生成ARP绑定脚本, 将此脚本拷贝到各主机作为启动脚本即可达到本网络内主机的IP地址和MAC地址静态绑定的目的。

(2) 在节点较分散、网管人员不集中的场所如学生、教工宿舍等, 可采用在交换机端口上绑定IP地址和MAC地址的方法。以思科2950交换机为例, 若主机的IP地址为192.168.1.150, 对应的MAC地址为b8-70-f4-44-a2-2c, 则在交换机端口上的绑定过程如下:

Switch#config terminal

#进入配置模式

Switch (config) mac access-list extended MAP0

#定义一个MAC地址访问控制列表并命名为MAP0

Switch (config) permit host b8-70-f4-44-a2-2c any

#定义MAC地址为b8-70-f4-44-a2-2c的主机可以访问任何主机

Switch (config) permit any host b8-70-f4-44-a2-2c

#定义所有主机都可以访问MAC地址为b8-70-f4-44-a2-2c的主机

Switch (config) ip access-list extended MAP1

#定义一个IP地址访问控制列表并命名为MAP1

Switch (config) permit 192.168.1.15 0 0.0.0.0 any

#定义IP地址为192.168.1.150的主机可以访问任何主机

Switch (config) permit any 192.168.1.150 0.0.0.0

#定义所有主机都可以访问I P地址为192.168.1.150的主机

Switch (config) interface fast Ethernet0/1

#进入交换机的fast Ethernet0/1接口模式

Switch (config-if) mac access-group MAP0 in

#在该端口上应用名为MAP0的访问列表

Switch (config-if) ip access-group MAP1 in

#在该端口上应用名为MAP1的访问列表

通过在交换机上分别对MAC地址和端口的绑定及IP地址与端口的绑定, 固定了交换机的ARP表, 此后任何ARP欺骗都无法修改交换机的ARP表, 以达到抵御ARP欺骗的目的。

3.2 检测ARP欺骗

除了主动抵御ARP欺骗, 在校园网中还应采取各种机制检测到ARP欺骗。

在主机端分为两种检测方法:一种属于被动检测, 当主机收到一个ARP请求时, 检查该ARP请求发送端的IP地址是否与自己的IP相同, 若相同, 则判定该网络上有一台与自己相同IP地址的主机;另一种属于主动检测, 主机定期地在本局域网中发送ARP请求, 请求得到本主机IP地址所对应的MAC地址, 若能收到ARP响应报文, 则判定该网络上有一台与自己相同IP的主机。

在服务器端, 当收到一个ARP响应时, 利用反向地址解析协议RARP广播发送一个RARP请求报文, 请求得到相应MAC地址的IP地址。这样通过比较两个报文中的IP地址就可判定是否存在ARP欺骗。

此外, 对于校园网中的主机还应定期向网络中心管理主机报告其ARP缓存的内容, 或利用网络数据包捕获工具实时监测主机IP地址与MAC地址的变化, 及时发现信息不一致的情况, 以尽早检测到ARP欺骗。

4 结束语

网络攻击者时常利用ARP协议的缺陷对校园网络中的主机进行非法攻击, 造成网络的大面积瘫痪。实践证明, 通过上述提出的解决方案能够有效抵御ARP欺骗, 保证校园网络的正常运行。

参考文献

[1]胡清桂.一种新的ARP协议改进方案[J].陕西科技大学学报, 2011, 29 (5) :81-86.

[2]梁峰, 李晓玲, 雷碎成.ARP攻击与防范算法改进[J].算法语言, 2011 (8) :122-123.

[3]王京智, 洪观甫.IP伪装技术分析[J].信息安全与技术, 2012, 3 (11) :28-30.