ＡＲＰ欺騙防御技術(shù)的研究

　　[論文關(guān)鍵詞] ARP欺騙 防御
　　
　　[論文摘要] 文章對ARP欺騙的原理、中毒現象進(jìn)行了分析，同時(shí)歸納了ARP欺騙的主要方式，重點(diǎn)論述了ARP欺騙的防御技術(shù)，以達到全面防御維護局域網(wǎng)絡(luò )安全的目的。
　　
　　2007年6月初，國家病毒應急處理中心預報一種新型“地址解析協(xié)議欺騙”（簡(jiǎn)稱(chēng)：ARP欺騙）的惡意木馬程序正在互聯(lián)網(wǎng)絡(luò )中。從此，ARP欺騙逐漸在校園網(wǎng)、小區網(wǎng)、企業(yè)網(wǎng)以及網(wǎng)吧等局域網(wǎng)中蔓延，嚴重影響了正常網(wǎng)絡(luò )通訊。如何有效防范ARP欺騙，成為普遍關(guān)注的問(wèn)題。

　　一、ARP欺騙的原理及中毒現象
　　1.ARP欺騙的原理
　　ARP病毒是一種木馬程序, 其本質(zhì)就是利用ARP本身的漏洞進(jìn)行欺騙,即通過(guò)偽造IP地址和MAC地址實(shí)現欺騙,在網(wǎng)絡(luò )中產(chǎn)生大量的ARP量使網(wǎng)絡(luò )阻塞,或使信息流向本不存在的有正確的“IP地址和MAC地址”虛擬主機,而使個(gè)人主機無(wú)法收到信息。
　　典型的ARP欺騙過(guò)程如下：
　　假設局域網(wǎng)分別有IP地址為192.168.0.1、192.168.0.2和192.168.0.3的A、B、C三臺主機,假如A和C之間正在進(jìn)行通訊,此時(shí)B向A發(fā)送一個(gè)自己偽造的ARP應答,而這個(gè)應答中的數據為發(fā)送方IP地址是192.168.0.3 (C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,當A接收到B偽造的ARP應答,就會(huì )更新本地的ARP緩存,這時(shí)B就偽裝成C了。同時(shí),B同樣向C發(fā)送一個(gè)ARP應答,應答包中為發(fā)送方IP地址192.168.0.1(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本來(lái)應該是AA-AA-AA-AA-AA-AA) ,當C收到B偽造的ARP應答,也會(huì )更新本地ARP緩存,這時(shí)B 又偽裝成了A。這時(shí)主機A和C都被主機B欺騙,A和C之間通訊的數據都經(jīng)過(guò)了B,主機B完全劫持目標主機與其他主機的會(huì )話(huà)。
　　2.中毒現象
　　局域網(wǎng)出現突然掉線(xiàn)，過(guò)一段時(shí)間后又會(huì )恢復正常的現象。同時(shí)，網(wǎng)內的其他計算機系統也會(huì )受到影響，出現IP地址沖突、頻繁斷網(wǎng)、IE瀏覽器頻繁出錯，以及一些系統內常用軟件出現故障等現象。如果局域網(wǎng)中是通過(guò)身份認證上網(wǎng)的，會(huì )突然出現可認證，但不能上網(wǎng)的現象（無(wú)法ping通網(wǎng)關(guān)），重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復上網(wǎng)。

　　二、ARP欺騙的主要方式及防御技術(shù)
　　1.ARP欺騙的主要方式
　　從影響網(wǎng)絡(luò )連接的方式來(lái)看,ARP欺騙通常分為四種:
　　(1)冒充網(wǎng)關(guān)欺騙計算機。它是通過(guò)建立假網(wǎng)關(guān)(其實(shí)是網(wǎng)內一普通的感染ARP病毒的主機)，讓被它欺騙的計算機向假網(wǎng)關(guān)發(fā)數據，而不能通過(guò)網(wǎng)關(guān)正常上網(wǎng)。在用戶(hù)的角度看來(lái)，就是上不了網(wǎng)了以及網(wǎng)絡(luò )掉線(xiàn)了，這樣會(huì )給用戶(hù)造成系統網(wǎng)關(guān)出錯的假象。
　　(2)冒充計算機欺騙網(wǎng)關(guān)。感染ARP病毒的計算機不斷冒充其它計算機通知網(wǎng)關(guān)，并按照一定的頻率不斷進(jìn)行，結果網(wǎng)關(guān)發(fā)給正常計算機的數據被欺騙計算機攔截，造成正常計算機無(wú)法收到信息。
　　(3)冒充計算機欺騙計算機。攻擊源會(huì )以正常身份偽造虛假的ARP應答，欺騙其它計算機，結果其它計算機發(fā)給被冒充計算機的數據全部被攻擊源截取。如果冒充計算機啟動(dòng)IP Forword(IP轉發(fā))功能，很容易獲取發(fā)往配冒充計算機的數據而不被發(fā)現。
　　(4)ARP泛洪攻擊：攻擊源偽造大量MAC和IP地址，對局域網(wǎng)內廣播，干擾正常通信。
　　2.ARP欺騙的防御技術(shù)
　　(1)設置靜態(tài)ARP緩存（靜態(tài)綁定）。最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內把主機和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規則欺騙內網(wǎng)機器，所以我們把ARP全部設置為靜態(tài)可以解決對內網(wǎng)PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較。具體操作分為兩步：
　　第一步在PC機上，打開(kāi)DOS提示符窗口，先輸入：arp -d（清除ARP緩存表） 回車(chē)后，然后輸入arp s IP地址MAC地址（IP和MAC為網(wǎng)關(guān)的）；也可作批處理文件放在啟動(dòng)項中，內容如下：
　　@echo off
　　arp -d
　　arp -s ＜inet-addr＞ ＜eth-addr＞
　　第二步在交換機或路由器上，對每個(gè)IP對應得MAC地址進(jìn)行靜態(tài)綁定。
　　(2)安裝ARP防護軟件和殺毒軟件。目前關(guān)于A(yíng)RP類(lèi)的防護軟件也比較多了，大家比較常用的主要有360安全衛士、欣向ARP工具和Antiarp等。目前常用的殺毒軟件也比較多，諸如卡巴斯基、Macfee、瑞星和趨勢科技等。安裝了相關(guān)軟件后，PC用戶(hù)要經(jīng)常升級病毒庫。
　　(3)DHCP結合靜態(tài)捆綁。通過(guò)方法①中的IP與MAC的雙向綁定，可以有效防范ARP欺騙，但是由于操作繁瑣，會(huì )大大加重網(wǎng)絡(luò )的負擔。另外，遇到那些通過(guò)ARP欺騙非法攻擊的用戶(hù)來(lái)說(shuō)，他可以事先自己手動(dòng)更改IP地址，這樣檢查起來(lái)就更加復雜了。通過(guò)在網(wǎng)關(guān)上建立DHCP服務(wù)器，把DHCP的地址池或者將客戶(hù)端獲得IP的租約設置為一個(gè)非常長(cháng)的時(shí)間，可以固定主機MAC與IP的對應關(guān)系，從而保證MAC地址與IP地址的惟一性 ，有效地避免ARP欺騙的發(fā)生。

　　三、結束語(yǔ)
　　ARP欺騙也在不斷的發(fā)展和變化中（如基于A(yíng)RP欺騙的DDoS攻擊），希望廣大網(wǎng)絡(luò )管理員密切注意它，從而減少ARP欺騙對我們網(wǎng)絡(luò )的影響。

　　參考文獻:
　　[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm[EB/OL].國家計算機病毒應急處理中心
　　[2]王堅梁海軍:ARP欺騙原理及其防范策略的探討[J].計算機與現代化，2008（2）：100

【ＡＲＰ欺騙防御技術(shù)的研究】相關(guān)文章：

冬小麥越冬的防御技術(shù)淺析10-02

談冬小麥越冬的防御技術(shù)10-18

ＡＲＰ病毒的攻擊原理分析10-15

淺談?dòng)嬎銠C網(wǎng)絡(luò )的防御技術(shù)10-23

談?dòng)嬎銠C網(wǎng)絡(luò )的防御技術(shù)07-21

探析計算機網(wǎng)絡(luò )的防御技術(shù)08-28

新時(shí)期信息安全主動(dòng)防御系統研究論文08-30

淺談?dòng)嬎銠C網(wǎng)絡(luò )防御策略求精關(guān)鍵技術(shù)研究論文10-21

分析ＡＲＰ協(xié)議的理論與實(shí)踐07-11

深入分析ＡＲＰ協(xié)議的理論與實(shí)踐10-06