机房局域网中ARP攻击分析与防御

发表时间:2017/3/16   来源:《科技中国》2017年1期   作者:周建竹 于贻利 刘彩凤 黄振全
[导读] ARP攻击是近年来局域网环境中常见的安全问题,轻则影响网络通信速度或致瘫痪,重则造成用户信息的外泄。

即墨市广播电视台 
摘 要:ARP攻击是近年来局域网环境中常见的安全问题,轻则影响网络通信速度或致瘫痪,重则造成用户信息的外泄。本文从ARP工作原理入手,分析局域网中利用ARP进行伪装欺骗实施攻击的原理,对是否遭遇了ARP攻击进行判断,提出了针对ARP欺骗的诊断分析与防御方法。
关键词:ARP;欺骗分析;防御方法
        1.ARP协议及其工作原理  
        ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。ARP是处于数据链路层的网络通信协议,在本层和硬件接口联系并对上层提供服务。在局域网中,网络中实际传输的是“帧”,帧里有目标主机的MAC地址。在以太网中,一台主机要和另一台主机进行直接通信,必须知道目标主机的MAC地址。目标MAC地址就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程,也就是将局域网中32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,ARP的基本功能就是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信畅通[1]。     
        2.ARP攻击现象及确认  
        受到ARP攻击的表现是:局域网突然断线不能上网,不经处理过一段时间后又可恢复,网速很慢;局域网中用户频繁断线,浏览器出现错误,QQ、MSN、飞信等软件会出现故障,时断时通;在局域网中需要身份认证的上网,会突然提示需要认证,但是还是不能上网;使用ping命令,无法ping通网关。受到ARP攻击出现的另一现象是,不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。当出现这两种现象只要重启路由即可恢复上网,但ARP攻击没有被清除时,过一段时间后,网络又会掉线。  
        当出现上述现象,可通过下列方法确认:①持续ping不能访问的IP地址。在被攻击对象的DOS窗口中输入“ping目标主机IP地址-t”来检测网络的连通性,若屏幕提示“Request time out”表明正在遭受攻击。②在被攻击对象上重新开启一个DOS窗口,输入“arp–d”,清除本机上所有的IP和MAC地址的对应。此时若在ping指令的DOS上持续出现“Reply from…”表明曾受到ARP攻击,现已正常;如果仅出现一次“Reply from…”后变成“Request time out”,则表明还在受到持续不断的ARP攻击。③用ARP查询时发现不正常的MAC地址,或错误的MAC地址对应,另外一个MAC地址对应多个IP的情况也会出现[2]。   
        3.ARP攻击的原理和种类 
        ARP攻击就是通过伪造IP和MAC地址实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP报文达到更改目标主机ARP缓存中的IP-MAC条目的目的,从而就可造成网络中断或中间人攻击。  
        为了快速查询,ARP缓存中只保存少量IP与MAC地址的映射,删除最近不使用的记录,保持动态更新。由于ARP设计原因,存在以下缺陷:对于数据接受者来说,即使在没有发出ARP请求的情况下,主机仍然无条件地被动接受数据包,并不验证对方数据包的真实性,就进行ARP缓存动态更新;另外,对于发送数据者来说,主机可随意发送伪造的ARP数据。由于ARP协议是无状态的,没有连接的,可信任的,没有安全机制的协议,这给计算机系统埋下了安全隐患。



        4.防范ARP攻击的措施  
        要有效的防范ARP病毒攻击,关键在于如何获取合法用户和网关的IP-MAC对应关系,并如何利用该对应关系对ARP报文进行检查,过滤掉非法ARP报文。本文提出如下防范方案:  
        1、划分VLAN的方式。
        1.ARP欺骗只能给相同网段的主机造成影响,而大多数服务器和客户机在不同网段,所以受影响的只是部分客户机。在同一个局域网中,管理员可以划分多个VLAN,并使每个VLAN中的主机尽可能少,这样就可以尽可能地减少ARP欺骗造成的影响,同时,又能很快地查到问题主机。 
        2、加强日常管理和系统维护。①养成良好的上网习惯,及时安装系统漏洞补丁,关闭不必要的端口和共享服务,升级到最新的病毒和木马库,不随意点击网络上的可疑文件和链接,也能有效地减少ARP欺骗病毒的传播。②可采用360安全卫士等防火墙进行连续的网络监控,也可用专业ARP防火墙。  
        3、使用ARP服务器。在局域网中,指定一台计算机作为专用ARP服务器,可信范围内的所有主机的IP与MAC地址映射记录都在ARP服务器上进行保存和记录。使所有主机的ARP配置只能接受来自服务器的ARP响应。当有ARP请求时,该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求,从而防止了ARP欺骗攻击的发生。但要保证ARP服务器不被攻击,另外要保证主机只接受指定ARP服务器的响应报文[4]。           4、网关定期发送免费ARP。ARP表项都有老化期,每经过一段时间就要更新一次,所以通过网关定期发送免费ARP,告诉主机网关的真实信息,来防止伪装成网关的ARP欺骗。该方式对频繁发送ARP欺骗攻击的情况抑制能力较弱。  
        5、主动查询。在某个正常时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常。定期检测交换机的流量列表,查看丢包率。ARP本身不能造成多大的危害,一旦被结合利用,其危险性就不可估量了。由于ARP本身的问题,使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量是个很好的习惯。 
        6、ARP欺骗主要是由于某一主机的欺骗,造成目的主机错误地更新了自己的ARP列表。为此,ARP欺骗的防御重点应该放在目的主机拒绝伪造的ARP应答上。局域网中ARP欺骗的有效防御需在本机和网关设备进行双向绑定,缺少任何一方都将达不到有效防御的效果。  
        6.1在本机上绑定网关和本机的IP与MAC。在IP+MAC基础上,建立一个静态的ARP列表,在其中写入本机和网关的IP-MAC对应地址,使其不随ARP列表的刷新而改变。使用arp命令静态绑定本机和网关的MAC,给机房大批量的PC机做IP-MAC绑定,可编写一个简单的批处理文件然后让它每次开机时自动运行(批处理程序略)。  
        6.2建立MAC地址数据库,禁止网关设备ARP动态更新。不同局域网机房内外网组网方式不尽相同,这里通过代理服务器的组网方式来说明在网关建立静态IP-MAC捆绑的方法。  
        6.2.1建立MAC地址数据库。通过代理服务器收集所有连接的PC机的网卡的MAC地址并记录,内容包括MAC、IP、机器名等。收集可在机房所有机器运行时,在代理服务器上运行批理:“arp-a>ip-mac.txt”,将生成的ip-mac.txt文本文件保存,以便及时查询备案。  
        6.2.2禁止网关设备ARP动态更新。为了防止非法用户使用ARP欺骗攻击代理服务,还应在代理服务器上对所有上网主机进行静态IP-MAC绑定,确保代理服务器安全。即在代理服务器上建立一个PC机的IP-MAC绑定开机批处理。  
        5.结束语  
        ARP欺骗利用ARP机制的缺陷主要传播于机房、网吧等局域网环境,目前仍然没有完全有效的防止ARP欺骗的方法,掌握几种防范ARP攻击的方法有助于更安全的使用网络,将可能遇到的ARP攻击造成的灾害损失降到最低。同时,在使用网络的过程中,时刻保持清醒的意识,监测网络的运行状况。采取主动防御的态势,增强网络安全知识,提高自身技术水平,确保网络安全运行。
                  

 


 

投稿 打印文章
留言编辑 收藏文章 推荐图书 返回栏目 返回首页

  期刊推荐
1/1
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的昵称:
您的邮件地址:
邮件主题:
推荐理由:

写信给编辑
标题:
内容:
您的昵称:
您的邮件地址: