ARP欺骗攻击的检测及防御技术研究

邢金阁，刘 扬

（1.东北农业大学网络信息中心，哈尔滨 150030；2.哈尔滨工业大学（威海）计算机科学与技术学院，山东 威海 2642099）

在局域网中，两台计算机收发数据是根据接收方MAC地址进行寻址，由于物理地址（MAC）是平面地址，考虑到规模化及管理问题，目前采用根据IP寻址方式。如果发送方主机仅知道IP地址，不知道接收方主机MAC地址，在数据包发送前就需得到接收方主机MAC地址[1]。ARP协议工作在局域网的数据链路层，完成32位IP地址到48位MAC地址映射，实现对接收方主机进行物理寻址。网络攻击者通过ARP协议自身漏洞，采用ARP欺骗方式对这种映射关系进行更改，从而破坏正常网络传输。

1 A RP欺骗原理

在以太网中，数据包传输依靠MAC地址，IP地址与MAC对应关系依靠动态生成ARP表。ARP的缓存表能有效保证数据传输。ARP表实现机制不完善，当主机收到ARP的应答包后，它并不会主动验证这个应答包真实性，而将应答包里MAC地址与IP映射关系替换掉原有的ARP缓存表里映射信息。由于ARP请求是以广播方式进行（目的MAC为FFFFFF），局域网内任意一台主机如未接到地址解析请求，它会向接收主机发送ARP应答包，从而增大ARP欺骗的可行性，为ARP欺骗提供条件[2]。常见ARP欺骗方式主要有监听、恶意攻击和截取等。

1.1 监听

监听是比较常用的一种攻击方式，发动攻击的主机插入到两个正常通信主机之间，用这种方式得到通信双方通信信息，为了更好获取通信信息，监听者需向两个通信主机转发信息从而保证使双方通信能够继续。目前有外网监听和内网监听。

1.1.1 外网监听

假设在同一网段内的主机A与主机B进行通信，主机C为攻击者并处于外网中，要监听A与B主机通信内容，具体示意图如图1所示。

主机C通过网关（或者路由器）监听A和B的通信信息，考虑到信息从内网到外网存活时间（TTL），攻击者通过修改IP分组TTL，从而给发出欺骗包预留足够时间。C发送给A的ARP应答包中源IP地址为192.168.1.20、源物理地址为AB-AB-AB-AB-AB-AB。主要工作原理为：A接收ARP应答包后，更新网络缓存，将信息发送给B主机时寻址方式是按攻击者主机C物理地址，由于ARP协议作用范围只能限制在局域网中，而C主机在局域网外部，这时C主机利用ICMP协议查找并更新A主机所在路由器路由表，本来是要发给B主机信息，先经过路由器，由路由器转发给攻击者。发送给B信息转移到C主机，实现攻击者对A主机监听。根据同样的道理，攻击者同时实现对B主机监听。

图1 外网监听过程Fig.1 Procedure of monitoring outside the subnet

1.1.2 内网监听

在同一局域网内有A、B、C主机，假设C为攻击者且监听A和B主机间通信信息。具体攻击见图2。

图2 内网监听过程Fig.2 Procedure of monitoring inside the subnet

内网监听的主要工作原理：C主机首先获取到A和B主机IP地址，通过多种方法获知A和B主机物理地址，例如通过ARP请求、响应信息或通过ping命令等[3]。然后C主机将网卡功能扩展，使之具有转发功能，该模式被称为混杂模式，C主机构造ARP应答包发送给A主机，其中源IP地址192.168.1.20、源物理地址AB-AB-AB-AB-ABAB。

ARP协议就有漏洞，攻击者伪造ARP包，将该包发送给A主机，A主机在接收到攻击者ARP应答包后，开始更新网络缓存，与此同时，攻击者继续用同样的方式向主机B发送ARP应答包，其中源IP地址为192.168.1.10、源物理地址为AB-AB-ABAB-AB-AB，从而完成ARP欺骗过程。

1.2 恶意攻击

在信息安全等相关的技术中，恶意攻击是指网络内部人员有计划地窃听、偷窃和损坏信息，或拒绝其他授权用户的访问。局域网内的攻击者一般采用持续对网内所有的ARP请求采取应答的手段，恶意填入不存在MAC地址，导致主机在更新ARP缓存时，无法正确连接到目标主机，导致通讯中断。另一方面，目标主机持续接收到大量垃圾信息，目标主机丢掉其他源主机发送信息，导致大量数据发送至网关，使网关的负荷增加，出现网络阻塞，无法维持正常通信[4]。恶意攻击是一种比较常见网络攻击方式。

1.3 截取

网络安全中的截取技术中，攻击者伪装成收信方，用收信方的身份与送信方进行通信。假设C主机为攻击者，A主机为源主机，B为收信方目的主机，C主机伪装成A主机向B主机进行通信，以A主机的身份向B主机发送错误信息，导致A主机与B主机中断链接，攻击者C主机采用B主机身份与A主机通信，从而获取双方通信信息。

2 A RP欺骗检测

在网络信息安全技术中，对ARP欺骗最常用的一种检测方式就是核对本地ARP缓存中IP地址与物理地址对应关系，再结合ARP请求应答情况来检测网络中是否存在ARP欺骗，检测方法有ARP应答分析法、匹配IP法和数据帧检测法。

2.1 ARP应答分析法

这是一种简便实用检测方法，由ARP欺骗机制可知，攻击者必须不间断重复向目的主机发送报文，从而维持攻击者与目的主机的通信。系统可通过监听报文方法，如出现大量无应答报文，且出现较多无请求的ARP应答帧，则可能出现ARP欺骗。

2.2 匹配IP法

如局域网内出现ARP欺骗，则出现两种情况：①当目的主机接收到ARP请求时，根据IP映射表对比请求帧IP地址与本机IP地址进行对应，这两个IP地址一致；②主机可定期查询自己IP请求包，收到源地址ARP应答包是本机IP地址[5-6]。

2.3 数据帧检测法

如进行恶意攻击ARP应答包未留下攻击者IP地址，但会在包含该ARP应答包数据帧中有攻击者的IP地址等相关信息[7]。一般网络能正常通信情况下，数据帧头部中的源物理地址与目的主机的物理地址应该和帧中数据包的ARP信息是一致，如存在不一致情况，则很大程度上表示在网络通信中有ARP欺骗包存在。

3 A RP欺骗的防范

3.1 静态ARP表配置

ARP映射表动态更新情况是产生ARP欺骗主要原因，通过对网段中IP地址和物理地址进行绑定方法可有效防止攻击者动态更新ARP的缓存。将MAC地址与主机的IP地址绑定后，攻击主机发送ARP欺骗包到达目的主机无法更新目的主机中ARP缓存，达到预防ARP欺骗目的。但由于接入网络中计算机用户数量增加，这种方法将会产生大量IP地址浪费，不常联网计算机也占用比较紧缺的网络资源，增加操作和维护成本，如频繁变更，出错概率会增加。

3.2 制定ARP更新策略

强化ARP更新策略，由于现行ARP协议要求在接收到任意应答包时随即更新缓存，易产生ARP欺骗，ARP更新尤为必要，基本原则是只让目的主机接收自己了解的主机发送ARP应答包，对未知源发送ARP请求包一律作丢弃处理，这种方案会多一个身份确认过程。

3.3 信息加密

加密技术是网络信息安全研究重要分支，在ARP欺骗原理基础上，为使监听不易被对方觉察，即使攻击者截获相应信息，也很难获取，从而保证了网络信息传输安全性。但这种技术需一种比较强大的加密算法支持，对网络传输成本和实效性是一个挑战。

4 防范A RP欺骗算法

防范局域网通信中的ARP欺骗算法主要原理是通过检测接收到的ARP应答或请求包，限制动态修改主机中ARP缓存，通过有效的验证后方能修改缓存信息。该算法采用visual studio C++开发环境，并结合winpcap开发包和MFC类库，使用winpcap获取数据包，其核心算法如下：

5 结 论

在网络信息安全研究领域中，ARP欺骗是局域网中较常见的一种攻击方式，其主要原因是ARP协议具有一种“无状态”缺点。目前没有便捷有效的方法来防范ARP欺骗产生，现存的一些防范策略都有一定的局限性，本文综合分析有关防范ARP欺骗特点和限制，提出一种防范ARP欺骗的算法，该算法可有效的防范局域网中ARP欺骗，今后还需进一步研究加入随机算法来提高算法效率，尽可能降低ARP欺骗危害。

[1]邓清华,陈松乔.ARP欺骗攻击及其防范[J].微机发展,2004,14(8):82-86.

[2]Meng X M.Detecting and precaution of network spoofing base on ARP[J].Information Technology,2005(5):32-36.

[3]郑文兵,李成忠.ARP欺骗原理及一种防范算法[J].江南大学学报:自然科学版,2003,2(6):125-127.

[4]王燕,张新刚.基于ARP协议的攻击及其防御方法分析[J].微计算机信息,2007,12(3):72-74.

[5]吴少华,方勇,胡勇,等.基于ARP协议的非法入网检测与阻止技术研究[J].微计算机信息,2007(1):27-28.

[6]何聚厚,何秀青,李由,等.IP动态伪装模型研究[J].计算机科学,2004(4):64-66.