論局域網(wǎng)中的ARP重定向攻擊及防御措施

1、論局域網(wǎng)中的ARP重定向攻擊及防御措施摘要：地址轉(zhuǎn)換協(xié)議（ARP）如果被惡意利用，會(huì)對(duì)局域網(wǎng)產(chǎn)生嚴(yán)重威脅。本文介紹了ARP在TCP/IP協(xié)議中的地位和作用，描述了它的工作原理，詳細(xì)分析了它的幾個(gè)主要特點(diǎn)，然后通過一個(gè)生動(dòng)的實(shí)例介紹了黑客如何利用ARP協(xié)議的特點(diǎn)來進(jìn)行ARP重定向，劫持目標(biāo)主機(jī)與其它主機(jī)的會(huì)話，通過偽造會(huì)話信息實(shí)現(xiàn)攻擊目的。最后，提出了幾種防御ARP欺騙的解決方案并分析了每種方案的利弊及應(yīng)用場(chǎng)合。關(guān)鍵詞：ARP；ARP欺騙；防御 計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到社會(huì)生產(chǎn)、生活的每一個(gè)領(lǐng)域，人們正像離不開電一樣離不開網(wǎng)絡(luò)。勿庸置疑，TCP/IP已經(jīng)成為網(wǎng)絡(luò)體系結(jié)構(gòu)“事實(shí)上的國際標(biāo)準(zhǔn)”。它的正式

2、名稱是TCP/IP互聯(lián)網(wǎng)協(xié)議族（TCP/IP Internet Protocol Suite），一般稱為TCP/IP(取名于它的兩個(gè)主要標(biāo)準(zhǔn))。地址解析協(xié)議ARP(Address Resolution Protocol)是TCP/IP協(xié)議族中的底層協(xié)議，用它來完成IP地址到硬件地址的轉(zhuǎn)換。ARP由于其本身的特點(diǎn)，如果被惡意利用，就用對(duì)局域網(wǎng)產(chǎn)生嚴(yán)重的危害，我們必須予以足夠的重視。ARP在TCP/IP中的位置及作用 從圖中可以看出，ARP位于IP層的底部，這是因?yàn)镮P經(jīng)常要用到ARP。IP(Internet Protocol)是網(wǎng)際協(xié)議，使用它可以屏蔽網(wǎng)絡(luò)底層的細(xì)節(jié)，實(shí)現(xiàn)不同物理網(wǎng)絡(luò)的互聯(lián)，但I(xiàn)

3、P地址本身是不能直接用來進(jìn)行通信的，它只是主機(jī)在抽象的網(wǎng)際層中的地址。主機(jī)中網(wǎng)際層的數(shù)據(jù)只有封裝到數(shù)據(jù)鏈路層MAC幀中才能發(fā)送到實(shí)際的網(wǎng)絡(luò)，這就需要IP地址到MAC地址（硬件地址）的轉(zhuǎn)換。相反，網(wǎng)際層的數(shù)據(jù)到達(dá)一個(gè)網(wǎng)段后，只有得到IP地址對(duì)應(yīng)的MAC地址，才能將數(shù)據(jù)交付給目的主機(jī)。ARP就是用來實(shí)現(xiàn)IP地址到MAC地址的轉(zhuǎn)換的。ARP的工作原理及特點(diǎn)2.1原理 注：網(wǎng)絡(luò)接口卡（網(wǎng)卡）的硬件地址一般為個(gè)字節(jié)，為簡便起見，本文一律用個(gè)字節(jié)表示硬件地址2.2特點(diǎn)：動(dòng)態(tài)綁定 由于網(wǎng)絡(luò)中經(jīng)常會(huì)有主機(jī)的加入和撤出，而且主機(jī)會(huì)因硬件故障等原因更換網(wǎng)絡(luò)接口卡，從而改變硬件地址，所以IP地址到硬件地址的映射不是

4、一成不變的。地址轉(zhuǎn)換協(xié)議ARP提供了一種既相當(dāng)高效又易于維護(hù)的機(jī)制，實(shí)現(xiàn)IP地址到硬件地址的動(dòng)態(tài)綁定。使用高速緩存 主機(jī)并不是每發(fā)一個(gè)數(shù)據(jù)包都要先廣播ARP請(qǐng)求。每個(gè)主機(jī)維護(hù)著一個(gè)高速緩存，其中存放著一張ARP表，表中每一個(gè)條目就是一個(gè)IP地址到硬件地址的對(duì)應(yīng)。當(dāng)主機(jī)發(fā)送ARP請(qǐng)求并收到應(yīng)答后，就在ARP表中保存這個(gè)對(duì)應(yīng)關(guān)系。當(dāng)其它主機(jī)收到ARP請(qǐng)求廣播時(shí)，也將請(qǐng)求報(bào)文中發(fā)送方的IP地址到硬件地址的對(duì)應(yīng)關(guān)系保存到各自的ARP高速緩存中。這樣，每一個(gè)主機(jī)在發(fā)送報(bào)文時(shí)，先從高速緩存中查找目標(biāo)硬件地址，如果能查到，就不用再發(fā)送ARP請(qǐng)求廣播了。使用高速緩存不但減少了網(wǎng)絡(luò)中的通信量，降低了網(wǎng)絡(luò)負(fù)載，而

5、且提高了效率。RP高速緩存超時(shí) ARP緩存中的每一個(gè)條目都會(huì)超時(shí)，否則就不是“動(dòng)態(tài)綁定”了。ARP協(xié)議會(huì)為表中每一個(gè)條目設(shè)置一個(gè)計(jì)時(shí)器，從該條目創(chuàng)建之時(shí)開始計(jì)時(shí)，計(jì)時(shí)器超時(shí)后，會(huì)刪除相應(yīng)的條目。超時(shí)時(shí)間因不同的操作系統(tǒng)而有所不同，典型的時(shí)間為分鐘。RP請(qǐng)求與ARP響應(yīng)無對(duì)應(yīng)關(guān)系 ARP的這個(gè)特點(diǎn)是說，主機(jī)在沒有收到ARP請(qǐng)求時(shí)也可以發(fā)送ARP應(yīng)答；而且，主機(jī)在沒有發(fā)送ARP請(qǐng)求時(shí)，也會(huì)“愉快地”接受ARP應(yīng)答。也就是說，不管主機(jī)有沒有發(fā)送請(qǐng)求，收到ARP應(yīng)答后都要根據(jù)應(yīng)答包中的IP地址到硬件地址的對(duì)應(yīng)信息刷新ARP緩存。RP協(xié)議用于局域網(wǎng) 因?yàn)橹挥蠱AC層的數(shù)據(jù)幀才用到硬件地址，而MAC層的數(shù)

6、據(jù)幀是點(diǎn)對(duì)點(diǎn)傳輸，不經(jīng)過中間節(jié)點(diǎn)的，所以ARP協(xié)議只用于局域網(wǎng)內(nèi)，一般是同一網(wǎng)段內(nèi)。路由器和網(wǎng)橋都不轉(zhuǎn)發(fā)ARP報(bào)文?；贏RP欺騙（ARP重定向）的攻擊 由于ARP本身的特點(diǎn)，攻擊者很容易實(shí)施ARP欺騙。所謂ARP欺騙，又叫ARP重定向，就是向目標(biāo)主機(jī)發(fā)送ARP報(bào)文（一般是應(yīng)答報(bào)文），其中含有攻擊者偽造的IP地址和硬件地址的對(duì)應(yīng)信息。目標(biāo)主機(jī)收到該報(bào)文后，會(huì)用報(bào)文中偽造的信息刷新ARP高速緩存，如果攻擊者定時(shí)向目標(biāo)主機(jī)發(fā)送該報(bào)文，而且時(shí)間間隔比ARP緩存的超時(shí)間隔要小的話，目標(biāo)主機(jī)就會(huì)一直維持著一張含有錯(cuò)誤信息的ARP緩存表。 由于網(wǎng)際協(xié)議IP要依賴地址轉(zhuǎn)換協(xié)議ARP來解析目標(biāo)主機(jī)硬件地址，所

7、以利用ARP欺騙可實(shí)現(xiàn)多種攻擊。下面演示一個(gè)利用ARP欺騙實(shí)施攻擊的例子。我們的做法是劫持目標(biāo)主機(jī)的HTTP請(qǐng)求，然后發(fā)送含有惡意代碼的HTTP應(yīng)答，達(dá)到攻擊目標(biāo)主機(jī)的目的。 如果主機(jī)B向主機(jī)A和網(wǎng)關(guān)C發(fā)送虛假ARP應(yīng)答報(bào)文的時(shí)間間隔小于ARP緩存的超時(shí)時(shí)間，則主機(jī)A和網(wǎng)關(guān)C不會(huì)相互發(fā)送ARP請(qǐng)求，在它們的ARP緩存中，各自維持著虛假的綁定信息。ARP欺騙的防御措施4.1 使用靜態(tài)的IP地址至硬件地址的對(duì)應(yīng)表 最簡單的辦法，是將IP地址和硬件地址進(jìn)行靜態(tài)綁定。在windows和linux操作系統(tǒng)下，可使用如下命令： arp “靜態(tài)”綁定，只是在ARP緩存中設(shè)置了一條不會(huì)超時(shí)的地址對(duì)應(yīng)關(guān)系，這條

8、對(duì)應(yīng)關(guān)系仍然會(huì)根據(jù)收到的ARP報(bào)文而動(dòng)態(tài)改變。 另外，在linux系統(tǒng)下，還可以從文件中加載靜態(tài)的ARP對(duì)應(yīng)表，命令如下：arp f <filename>filename文件格式如下： 從文件中加載和使用arp s命令的效果是一樣的。 注意，ARP綁定信息存在于高速緩存中，所以系統(tǒng)重新啟動(dòng)時(shí)會(huì)失效。靜態(tài)的ARP對(duì)應(yīng)表在每次系統(tǒng)重啟時(shí)都需要重新從文件中加載或使用命令進(jìn)行綁定。靜態(tài)綁定有違ARP動(dòng)態(tài)解析和更新地址對(duì)應(yīng)關(guān)系的原則，而且增加了管理網(wǎng)絡(luò)的成本，不太適用于經(jīng)常變動(dòng)的網(wǎng)絡(luò)環(huán)境和大規(guī)模的網(wǎng)絡(luò)，但是對(duì)于小規(guī)模的安全網(wǎng)絡(luò)來說，還是有效而且可行的。4.2 禁止使用ARP協(xié)議 在linux

9、操作系統(tǒng)下，可以使用如下命令來禁止使用ARP協(xié)議： ifconfig <interface> -arp 這樣，interface所指的網(wǎng)卡就不會(huì)發(fā)送和接受ARP報(bào)文。 禁止使用ARP的前提是使用靜態(tài)ARP對(duì)應(yīng)表。表中沒有的主機(jī)，將不能進(jìn)行通信。如前所述，這個(gè)辦法同樣只適用于小規(guī)模的安全網(wǎng)絡(luò)。4.3 使用ARP服務(wù)器 思路是，在本地網(wǎng)絡(luò)中設(shè)立ARP服務(wù)器，服務(wù)器中保存有本地網(wǎng)絡(luò)中所有主機(jī)的IP地址和硬件地址的對(duì)應(yīng)關(guān)系。當(dāng)網(wǎng)絡(luò)中的主機(jī)需要解析地址時(shí)，就向ARP服務(wù)器發(fā)送ARP請(qǐng)求，而不是向整個(gè)網(wǎng)絡(luò)中廣播ARP請(qǐng)求。服務(wù)器收到主機(jī)發(fā)送來的ARP請(qǐng)求后，就把目標(biāo)主機(jī)的IP地址和硬件地址的對(duì)

10、應(yīng)關(guān)系發(fā)送給請(qǐng)求者。網(wǎng)絡(luò)中的所有主機(jī)，只接受ARP服務(wù)器發(fā)送來的ARP報(bào)文。這樣，只需保證服務(wù)器的安全，就可以避免本地網(wǎng)絡(luò)中的ARP欺騙。 使用ARP服務(wù)器后，主機(jī)的一種更為理想的選擇是使用相對(duì)固定的ARP對(duì)應(yīng)表。當(dāng)主機(jī)啟動(dòng)時(shí)，從ARP服務(wù)器拷貝一份ARP對(duì)應(yīng)表，表中的條目不設(shè)置超時(shí)值，只根據(jù)從ARP服務(wù)器收到的ARP報(bào)文更新。當(dāng)ARP服務(wù)器中的條目有所更新時(shí)，就把變化的部分向所有主機(jī)廣播。這樣，當(dāng)主機(jī)進(jìn)行通信時(shí)，不必先向ARP服務(wù)器發(fā)送ARP請(qǐng)求，所以提高了工作效率，而且降低了ARP服務(wù)器和網(wǎng)絡(luò)的負(fù)載。使用ARP服務(wù)器不會(huì)增加硬件成本，只需在一臺(tái)比較有安全保障的主機(jī)上運(yùn)行ARP服務(wù)器軟件即可。結(jié)語 局域網(wǎng)中的ARP欺騙很讓人頭疼。只要你發(fā)送和接受ARP報(bào)文，就可能會(huì)受到虛假信息的欺騙。不使用ARP協(xié)議和靜態(tài)ARP表，你就無法得到其它主機(jī)的IP地址和硬件地址的對(duì)應(yīng)關(guān)系，別人也