論局域網(wǎng)中的ARP重定向攻擊及防御措施

1、論局域網(wǎng)中的ARP重定向攻擊及防御措施摘要：地址轉(zhuǎn)換協(xié)議（ARP）如果被惡意利用，會對局域網(wǎng)產(chǎn)生嚴(yán)重威脅。本文介紹了ARP在TCP/IP協(xié)議中的地位和作用，描述了它的工作原理，詳細(xì)分析了它的幾個主要特點，然后通過一個生動的實例介紹了黑客如何利用ARP協(xié)議的特點來進行ARP重定向，劫持目標(biāo)主機與其它主機的會話，通過偽造會話信息實現(xiàn)攻擊目的。最后，提出了幾種防御ARP欺騙的解決方案并分析了每種方案的利弊及應(yīng)用場合。關(guān)鍵詞：ARP；ARP欺騙；防御 計算機網(wǎng)絡(luò)已經(jīng)深入到社會生產(chǎn)、生活的每一個領(lǐng)域，人們正像離不開電一樣離不開網(wǎng)絡(luò)。勿庸置疑，TCP/IP已經(jīng)成為網(wǎng)絡(luò)體系結(jié)構(gòu)“事實上的國際標(biāo)準(zhǔn)”。它的正式

2、名稱是TCP/IP互聯(lián)網(wǎng)協(xié)議族（TCP/IP Internet Protocol Suite），一般稱為TCP/IP(取名于它的兩個主要標(biāo)準(zhǔn))。地址解析協(xié)議ARP(Address Resolution Protocol)是TCP/IP協(xié)議族中的底層協(xié)議，用它來完成IP地址到硬件地址的轉(zhuǎn)換。ARP由于其本身的特點，如果被惡意利用，就用對局域網(wǎng)產(chǎn)生嚴(yán)重的危害，我們必須予以足夠的重視。ARP在TCP/IP中的位置及作用 從圖中可以看出，ARP位于IP層的底部，這是因為IP經(jīng)常要用到ARP。IP(Internet Protocol)是網(wǎng)際協(xié)議，使用它可以屏蔽網(wǎng)絡(luò)底層的細(xì)節(jié)，實現(xiàn)不同物理網(wǎng)絡(luò)的互聯(lián)，但I

3、P地址本身是不能直接用來進行通信的，它只是主機在抽象的網(wǎng)際層中的地址。主機中網(wǎng)際層的數(shù)據(jù)只有封裝到數(shù)據(jù)鏈路層MAC幀中才能發(fā)送到實際的網(wǎng)絡(luò)，這就需要IP地址到MAC地址（硬件地址）的轉(zhuǎn)換。相反，網(wǎng)際層的數(shù)據(jù)到達一個網(wǎng)段后，只有得到IP地址對應(yīng)的MAC地址，才能將數(shù)據(jù)交付給目的主機。ARP就是用來實現(xiàn)IP地址到MAC地址的轉(zhuǎn)換的。ARP的工作原理及特點2.1原理 注：網(wǎng)絡(luò)接口卡（網(wǎng)卡）的硬件地址一般為個字節(jié)，為簡便起見，本文一律用個字節(jié)表示硬件地址2.2特點：動態(tài)綁定 由于網(wǎng)絡(luò)中經(jīng)常會有主機的加入和撤出，而且主機會因硬件故障等原因更換網(wǎng)絡(luò)接口卡，從而改變硬件地址，所以IP地址到硬件地址的映射不是

4、一成不變的。地址轉(zhuǎn)換協(xié)議ARP提供了一種既相當(dāng)高效又易于維護的機制，實現(xiàn)IP地址到硬件地址的動態(tài)綁定。使用高速緩存 主機并不是每發(fā)一個數(shù)據(jù)包都要先廣播ARP請求。每個主機維護著一個高速緩存，其中存放著一張ARP表，表中每一個條目就是一個IP地址到硬件地址的對應(yīng)。當(dāng)主機發(fā)送ARP請求并收到應(yīng)答后，就在ARP表中保存這個對應(yīng)關(guān)系。當(dāng)其它主機收到ARP請求廣播時，也將請求報文中發(fā)送方的IP地址到硬件地址的對應(yīng)關(guān)系保存到各自的ARP高速緩存中。這樣，每一個主機在發(fā)送報文時，先從高速緩存中查找目標(biāo)硬件地址，如果能查到，就不用再發(fā)送ARP請求廣播了。使用高速緩存不但減少了網(wǎng)絡(luò)中的通信量，降低了網(wǎng)絡(luò)負(fù)載，而

5、且提高了效率。RP高速緩存超時 ARP緩存中的每一個條目都會超時，否則就不是“動態(tài)綁定”了。ARP協(xié)議會為表中每一個條目設(shè)置一個計時器，從該條目創(chuàng)建之時開始計時，計時器超時后，會刪除相應(yīng)的條目。超時時間因不同的操作系統(tǒng)而有所不同，典型的時間為分鐘。RP請求與ARP響應(yīng)無對應(yīng)關(guān)系 ARP的這個特點是說，主機在沒有收到ARP請求時也可以發(fā)送ARP應(yīng)答；而且，主機在沒有發(fā)送ARP請求時，也會“愉快地”接受ARP應(yīng)答。也就是說，不管主機有沒有發(fā)送請求，收到ARP應(yīng)答后都要根據(jù)應(yīng)答包中的IP地址到硬件地址的對應(yīng)信息刷新ARP緩存。RP協(xié)議用于局域網(wǎng) 因為只有MAC層的數(shù)據(jù)幀才用到硬件地址，而MAC層的數(shù)

6、據(jù)幀是點對點傳輸，不經(jīng)過中間節(jié)點的，所以ARP協(xié)議只用于局域網(wǎng)內(nèi)，一般是同一網(wǎng)段內(nèi)。路由器和網(wǎng)橋都不轉(zhuǎn)發(fā)ARP報文。基于ARP欺騙（ARP重定向）的攻擊 由于ARP本身的特點，攻擊者很容易實施ARP欺騙。所謂ARP欺騙，又叫ARP重定向，就是向目標(biāo)主機發(fā)送ARP報文（一般是應(yīng)答報文），其中含有攻擊者偽造的IP地址和硬件地址的對應(yīng)信息。目標(biāo)主機收到該報文后，會用報文中偽造的信息刷新ARP高速緩存，如果攻擊者定時向目標(biāo)主機發(fā)送該報文，而且時間間隔比ARP緩存的超時間隔要小的話，目標(biāo)主機就會一直維持著一張含有錯誤信息的ARP緩存表。 由于網(wǎng)際協(xié)議IP要依賴地址轉(zhuǎn)換協(xié)議ARP來解析目標(biāo)主機硬件地址，所

7、以利用ARP欺騙可實現(xiàn)多種攻擊。下面演示一個利用ARP欺騙實施攻擊的例子。我們的做法是劫持目標(biāo)主機的HTTP請求，然后發(fā)送含有惡意代碼的HTTP應(yīng)答，達到攻擊目標(biāo)主機的目的。 如果主機B向主機A和網(wǎng)關(guān)C發(fā)送虛假ARP應(yīng)答報文的時間間隔小于ARP緩存的超時時間，則主機A和網(wǎng)關(guān)C不會相互發(fā)送ARP請求，在它們的ARP緩存中，各自維持著虛假的綁定信息。ARP欺騙的防御措施4.1 使用靜態(tài)的IP地址至硬件地址的對應(yīng)表 最簡單的辦法，是將IP地址和硬件地址進行靜態(tài)綁定。在windows和linux操作系統(tǒng)下，可使用如下命令： arp “靜態(tài)”綁定，只是在ARP緩存中設(shè)置了一條不會超時的地址對應(yīng)關(guān)系，這條

8、對應(yīng)關(guān)系仍然會根據(jù)收到的ARP報文而動態(tài)改變。 另外，在linux系統(tǒng)下，還可以從文件中加載靜態(tài)的ARP對應(yīng)表，命令如下：arp f <filename>filename文件格式如下： 從文件中加載和使用arp s命令的效果是一樣的。 注意，ARP綁定信息存在于高速緩存中，所以系統(tǒng)重新啟動時會失效。靜態(tài)的ARP對應(yīng)表在每次系統(tǒng)重啟時都需要重新從文件中加載或使用命令進行綁定。靜態(tài)綁定有違ARP動態(tài)解析和更新地址對應(yīng)關(guān)系的原則，而且增加了管理網(wǎng)絡(luò)的成本，不太適用于經(jīng)常變動的網(wǎng)絡(luò)環(huán)境和大規(guī)模的網(wǎng)絡(luò)，但是對于小規(guī)模的安全網(wǎng)絡(luò)來說，還是有效而且可行的。4.2 禁止使用ARP協(xié)議 在linux

9、操作系統(tǒng)下，可以使用如下命令來禁止使用ARP協(xié)議： ifconfig <interface> -arp 這樣，interface所指的網(wǎng)卡就不會發(fā)送和接受ARP報文。 禁止使用ARP的前提是使用靜態(tài)ARP對應(yīng)表。表中沒有的主機，將不能進行通信。如前所述，這個辦法同樣只適用于小規(guī)模的安全網(wǎng)絡(luò)。4.3 使用ARP服務(wù)器 思路是，在本地網(wǎng)絡(luò)中設(shè)立ARP服務(wù)器，服務(wù)器中保存有本地網(wǎng)絡(luò)中所有主機的IP地址和硬件地址的對應(yīng)關(guān)系。當(dāng)網(wǎng)絡(luò)中的主機需要解析地址時，就向ARP服務(wù)器發(fā)送ARP請求，而不是向整個網(wǎng)絡(luò)中廣播ARP請求。服務(wù)器收到主機發(fā)送來的ARP請求后，就把目標(biāo)主機的IP地址和硬件地址的對

10、應(yīng)關(guān)系發(fā)送給請求者。網(wǎng)絡(luò)中的所有主機，只接受ARP服務(wù)器發(fā)送來的ARP報文。這樣，只需保證服務(wù)器的安全，就可以避免本地網(wǎng)絡(luò)中的ARP欺騙。 使用ARP服務(wù)器后，主機的一種更為理想的選擇是使用相對固定的ARP對應(yīng)表。當(dāng)主機啟動時，從ARP服務(wù)器拷貝一份ARP對應(yīng)表，表中的條目不設(shè)置超時值，只根據(jù)從ARP服務(wù)器收到的ARP報文更新。當(dāng)ARP服務(wù)器中的條目有所更新時，就把變化的部分向所有主機廣播。這樣，當(dāng)主機進行通信時，不必先向ARP服務(wù)器發(fā)送ARP請求，所以提高了工作效率，而且降低了ARP服務(wù)器和網(wǎng)絡(luò)的負(fù)載。使用ARP服務(wù)器不會增加硬件成本，只需在一臺比較有安全保障的主機上運行ARP服務(wù)器軟件即可。結(jié)語 局域網(wǎng)中的ARP欺騙很讓人頭疼。只要你發(fā)送和接受ARP報文，就可能會受到虛假信息的欺騙。不使用ARP協(xié)議和靜態(tài)ARP表，你就無法得到其它主機的IP地址和硬件地址的對應(yīng)關(guān)系，別人也