ARP协议欺骗攻击与防范策略研究

郭洁

摘要：该文通过对公共上网领域ARP攻击现象的分析，结合目前研究得出ARP的攻击原理，对诸如侦听、拒绝服务、挂载病毒等常用攻击手法进行深入剖析。通过对ARP数据帧格式进行展开分析，找出ARP协议漏洞的危害性，查明恶意攻击人员利用该漏洞进行ARP欺骗攻击的主要手段。最后，文章从ARP攻击的手段和常用防御措施进行分类研究，重点对MAC地址的集中管理、ARP数据包探测以及操作系统自身的防护安全加固角度进行严格细致的论述，并且对公众上网计算机环境中存在的、一些潜在的、可能被利用ARP协议攻击的漏洞进行了相关的分析，同时对整体安全防御构架进行了针对性的探索。

关键词：ARP协议；ARP攻击；防护措施

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）13-0041-03

1 绪论

随着网络安全意识的缺乏和相关管理措施的不到位，一些企业或者学校公共机房出现大量的ARP攻击。这种ARP攻击有时候会迅速蔓延，在拥有大批量的上网计算机的公共上网环境中，同一网段中往往拥有不同的使用人群，网络安全责任点比较分散，上网人员流动性相对比较大，在网络安全管理方面存在着很大的漏洞，从而为ARP攻击提供了滋生的空间和条件。

目前为止，针对ARP协议漏洞攻击，很多研究者已经进行了大量的攻击测试实验，同时给出了具有针对ARP协议欺骗行为的恶意攻击防治方法，这些防范措施和病毒防御方法大多是根据ARP协议的原理，通过在某种程度上保护ARP高速缓存避免恶意侵扰的方式来成功避免ARP恶意攻击，对一些简单的攻击模式还是十分有效的，但是由于这些方法没有从根本上解决ARP恶意攻击的欺骗问题，从而导致了更加高级或者变种的ARP欺骗问题仍然发生，追究其原因是由于ARP协议本身存在的，允许在不可信网络中运行的规则漏洞。本文将从ARP协议原理本身的特点出发考虑，从多方面分析ARP协议自身存在的各种不安全因素，并针对目前已经存在的ARP攻击问题，给出具有针对性的ARP攻击解决方案，为解决ARP病毒的繁衍和变异提供一定的理论支撑。

2 ARP攻击原理

ARP欺骗攻击采用的常用手段主要是通过成功地伪造对应的IP地址和MAC地址映射实现，通过该手段可以在一定程度上造成目标主机的ARP高速缓存信息发生不可预期的错误，从而使整个局域网的信息数据通信发生故障，从而达到恶意实施网络欺骗的卑劣行为。“ARP”协议攻击和欺骗技术不仅仅被用作了局域网通信故障方面，而是正在日渐的被越来越多的黑客和恶意人员用在了或者辅助用在了其他电脑病毒中，逐渐地衍生或者变异成为新的局域网攻击病毒和网络安全的新威胁和新杀手。有些具有“ARP欺骗”性质和特征的恶意木马程序成功地入侵到某个单位的局域网后，它会通过发送一些数据包的方式，试图通过采用“ARP欺骗”手段顺利地截获该病毒所在局域网内的其他计算机系统的数据资料和通信信息，导致该局域网数据通信不稳定，频繁地出现“掉线”现象。同时，受到攻击的局域网内的其他计算机也会受到不同程度的影响，大面积的出现本机IP地址与局域网内的其他机器冲突、断网现象层出不穷，应用软件莫名其妙地出现报错故障等现象。除此之外，在某些触发条件下，它会自动地对局域网中截获的其他数据包进行恶意分析和暴力破解，别有用心地过滤出用户客户端网页浏览请求和服务器端的应答数据包，并在截获的数据包中非法地插入具有一定破坏性的恶意代码，一旦局域网中的个别计算机系统或者浏览器存在一定的安全漏洞，那么该台计算机就会在用户毫不知情的情况下，自动下载并且隐蔽地运行黑客的恶意木马或者具有攻击威胁的程序。由此可见，融入了“ARP欺骗”的恶意木马和插件程序对计算机和使用用户的危害性是相当大的，ARP协议英文单词组合意思是“Address Resolution Protocol”（即我们通常所说的地址解析协议）的单词首字母缩写，该协议应用在数据链路层。

由图1所示的域名解析原理可以得出，网络中的任意一台计算机都具有一个对应的ARP缓存表，该表记录了地址之间的映射关系。网络计算机在进行数据传输之前需要在缓存表中进行地址映射查询，为了提高查询速度，ARP缓存表采用了地址映射记录替换机制，对于不经常使用的地址映射进行删除操作，这种机制在一定程度上加快了查询速度。ARP查询过程如图2所示。

从图2 ARP地址映射查询流程可知，ARP协议客观存在一个自身属性固有的缺陷，即每台计算机主机的ARP地址映射表的更新过程比较简单，可以对信任的局域网广播域内所有的计算机请求进行回应，换言之，在ARP协议中，局域网内接收请求回应数据帧的计算机主机无法采用有效的手段来验证回应数据包的真伪。基于以上情况，在ARP协议中，很多黑客或者恶意人员根据这一漏洞进行了大量的以太网ARP欺骗攻击。

3 ARP欺騙攻击与防范

3.1 ARP防护整体布局思路

从ARP攻击的主要原理分析，防范ARP欺骗攻击不是一蹴而就的，需要采取大量的防范措施，这种攻击的主要特色在于其攻击的主要目的不仅仅是针对服务器或交换机硬件本身，而且伪装的ARP攻击源十分的隐蔽，很难被识别和发现。因此，即便有时候已经发现遭遇了ARP攻击，但是却迟迟找不到攻击源，也就是说要想在很短的时间内发现攻击源，并且对其进行快速定位是一件非常艰难的事情。这就在某种意义上来说将ARP攻击当成是普通攻击或病毒那样对其进行防御是行不通的，仅凭借单一地从服务器系统或者从网络网关上进行相关措施的防范显然是不够的，而且ARP攻击防御的效果也不是良好。

在图3中描述了ARP综合防护体系中各种手段的组成。具体方法有：

1）根据ARP攻击原理和协议漏洞缺陷，有针对性地在主机中设置静态的MAC to IP对应表，同时有效地建立IP+MAC组合的安全保障机制。

2）科学合理地运用MAC地址管理服务器，根据局域网数据传输请求动态地查找ARP地址映射转换表。

3）可以根据具体网络结构和服务特点适当地选取和使用代理IP，从而完成数据的通信传输。

4）适当地使用防火墙技术，对于危险或者非信任域进行必要的隔离操作，对内网计算机的ARP数据包传输进行全程监督。

5）管理员需要根据企业网络运行状态，定期使用rarp请求进行ARP响应的真实性检查，同时还需要对主机的ARP缓存进行轮询检查。

6）灵活运用ARP攻击探测等第三方工具软件，在局域网内部进行不定期的巡回排查，及时探测并且发现不正常的、非法的ARP广播数据帧。

3.2 MAC地址集中管理

IP地址与MAC地址绑定是目前采用比较普遍的，也是比较有效的ARP攻击防御方法。但是，在一些比较大型公众上网环境中，如果对局域网中的计算机采用静态IP地址和MAC地址的绑定就会给网络管理带来烦琐的操作。因此，通常情况下大型网络环境采用MAC地址中央管理的方式进行ARP攻击防范。

如图4所示，其中MAC地址管理服务器C负责维护和更新整个局域网内所有主机的ARP地址映射表，掌握局域网内每台主机的MAC与其对应的IP地址之间的映射关系。管理服务器C能够定时对整个局域网中的各个主机进行扫描，并且可以及时获取到主机对应的MAC地址。当管理服务器C对主机A和主机B同时进行MAC扫描时，如果发现主机A的MAC地址信息与管理服务器C维护更新的ARP表中的记录信息不符，则即可确定主机A为ARP攻击源。

这种基于局域网内各个主机MAC地址实时扫描和集中管理的机制，不但可以快捷、高效地管理和维护包含海地址映射量信息的ARP表，而且还准确地探测到各个VLan中潜在的、非正常的MAC地址信映射息。由于在通常情况下，计算机的病毒预防和治理技术一般要落后于各种新病毒或者恶意代码的攻击，具有一定的滞后性。因此，就会在某种程度上造成计算机病毒或攻击代码在一定范围内大量的存在和蔓延；另一方面是管理，由于不同单位或者部门的重视程度和网络管理人员的计算机专业技术水平参差不齐，使网络安全防范体系弱化或者根本就是纸上谈兵。在现实生活中，由于网络管理不善和管理人员专业水准低下所造成的网络安全问题层出不穷，给各个企业和部门带来了极大的无形损失。有时候系统漏洞没有及时被发现，相关的修复措施相对比较滞后，这些由于管理疏忽所导致的安全防护措施的不到位，给恶意人员和攻击者提供了极大的攻击机会。

4 总结

本文通过对ARP协议原理的深入研究和ARP攻击常用的手段进行全方位的剖析，从ARP协议自身存在的缺陷方面总结出ARP攻击欺骗的着力点和根源，以ARP协议自身存在的、不可避免的缺陷为抓手，进行ARP攻击防御措施的探索，分析各种类型的基于ARP欺骗的不同攻击手段和恶意攻击行为，提炼出防范ARP攻击的几种方法，尤其在ARP病毒繁衍和變种方面具有一定的效果。

参考文献：

[1] 何秀丽.大数据环境下计算机网络安全问题及防范策略研讨[J].网络安全技术与应用，2017（05）.

[2] 李骁.新时期背景下对计算机网络安全技术及其防范策略的探析[J].中国管理信息化，2017（23）.

[3] 黄帆.计算机网络服务器的入侵与防御技术分析[J].电子世界，2016（11）.

[4] 乔向龙.试析计算机网络服务器的入侵和防御技术[J].中国新通信，2017（02）.