浅析ARP攻击与防范

叶润华

【摘 要】随着网络的发展和普及，网络的开放性、共享性、互连性随之扩大。网络互连一般采用TCP/IP协议，而TCP/IP协议是一个工业标准的协议簇，在该协议簇制订之初，没有过多考虑其安全性，所以协议中存在很多的安全漏洞，致使网络极易受到黑客的攻击。ARP协议作为TCP/IP协议簇中的一员，同样也存在着安全漏洞，利用ARP协议漏洞进行攻击是黑客的攻击手段之一。

【关键词】ARP；局域网；监听；攻击；欺骗

【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158（2013）03-0067-01

1. 背景

随着信息技术的发展，计算机网络己经成为工作生活中不可或缺的工具。但伴之而来的非法入侵也一直威胁着计算机网络系统的安全，干扰了互联网的正常发展。因此，如何有效地防范各种攻击，增强网络安全性，是一项重要的课题。

局域网内经常性大面积断线；IP地址冲突不断；内网主机互访出错频繁；网站主页给篡改，网页发现病毒；杀毒软件无可奈何；进而登陆账号被盗、敏感信息外泄……

这些常见的局域网故障，很大程度上跟ARP攻击有关。ARP攻击是一种典型的欺骗类攻击，攻击主机通过发送伪造的ARP应答来更新目标主机的ARP高速缓存，从而使自身赢得目标主机的信任。然后再实施有效攻击或非法监听网络数据包，造成目标主机被攻破或机密信息泄漏等一系列灾难性后果。

2. ARP攻击模式

从ARP协议工作原理可以看出，ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。

2.1 IP冲突或DoS攻击

这种攻击形式与中间人攻击有相似之处，都是持续广播伪造的ARP应答报文，截取并转发主机和网关之间的报文，监听主机与网关之间的通信，常用于窃取敏感的登陆信息和密码。

3 ARP整体防护设计思路

从ARP攻击原理可以看出，防范ARP欺骗攻击最大困难在于其攻击不是针对服务器或交换机系统本身的，而且攻击源可以在网段内任何一个地方隐藏，其隐蔽性很高。所以有时候即使管理员发现了攻击的存在，要在最短时间内快速定位攻击源也是非常困难的事情。这就意味着像防治普通攻击或病毒那样单一的从服务器系统或者从网络网关上进行防范效果不是很好。

一个完整的ARP攻击防范策略需要从三方面同时入手：计算机系统防护、网络设备维护以及健全网络安全监管机制。

计算机系统防护。这是基于主机的安全防护，主要从系统安全加固、系统DLL控制、MAC ARP绑定、安装ARP防火墙等方面构筑第一道防线。

网络设备的防护。局域网内的主机通过交换机、路由器相连，因而应该在交换机与路由器上构筑第二道防线。在交换机某些固定端口上配置静态MAC地址，把一个MAC地址永久性地分配给一个端口。对于连接服务器或机密主机的交换机端口，设置安全保护，阻止攻击方对该端口的监听。对于具有DHCP功能的路由器，尽量用手动指定IP地址给已知MAC地址的主机。

健全网络安全监管机制、合理分配网络资源。监听局域网内ARP数据包的情况。通过监听和分析网络状况，如主机表、协议、数据包特征以及流量等多方面的信息，及时发现通信异常，定位攻击源，并从源头上解决ARP攻击。同时合理利用VLAN优化网络，把ARP攻击所造成的损失减到最低。

4. 结束语

ARP攻击之所以能在公众局域网内如此轻易的传播，是因为在拥有机器数量较多的公众上网环境，由于其中各类系统的安全责任点归属复杂、使用人员安全意识欠缺，造成环境内安全管理漏洞较大、安全盲点较多，从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。即使一个单位或网站管理员能保证自己的服务器与网络交换设备不被攻占，他也无法抵御来自网络范围内任何一台机器的ARP攻击。对付此类攻击，传统上从操作系统或交换设备的单点防御已无济于事。

本文就揭示ARP协议的漏洞以及如何利用漏洞进行攻击和如何防范这种攻击，构建出一个整体防范策略。