局域网ARP欺骗攻击与防御

1、局域网ARP欺骗攻击与防御DefenseSystemforARPSpoofingunderLANJIANGWei，LIUHao-ran，ZHANGChun-bin(SouthCenterUniversityforNationalities，HubeiWuhan430074)遭受ARPfe址欺骗攻击的局域网通常表现为：网络掉线，但网络连接正常；无法打开网页或打开网页慢；局域网时断时续并且网速较慢；局域网内的部分主机能正常访问局域网内的主机，但不能连接到外网，甚至不能访问同一网络内的其他VLAN主机,严重时局域网内所有主机不能上网。原因可能是因为局域网内有一台或若干台计算机感染了ARPM址欺骗类病

2、毒。ARP病毒利用ARPB议存在的漏洞进行攻击，属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但由于其发作的时候会向全网发送伪造的AR暇据包，干扰全网的运行，甚至使整个网络瘫痪，因此它的危害比一些蠕虫(Worm)病毒还要严重得多。为了避免遭受ARPM址欺骗的攻击，我们有必要讨论一下它的相关原理及防御措施。1 ARP地址欺骗攻击的工作原理1.1 ARP工作原理ARP英文全称“AddressResolutionProtocol”，中文译为“地址解析协议”MACM址是固化在网卡上串行 EEPROMP的物理地址,是由48bit长（6字节）,16进制的数字组成,023位是由厂家自己分

3、配,2447位叫做组织唯一标志符,是识别LAN（局域网）节点的标识。在局域网中,数据传输实际传输的是“帧”（frame），帧里面含有目标主机的MAO址。在以太网（ETHERNETT中两主机要想直接通信,就必须要知道目标主机的MAC1址，而目标主机的MAC&址就是通过“地址解析协议”-ARP获得的。它的基本功能是将目标的IP地址转换成目标的MAO址。过程简单描述如下：这个转换过程是怎样来完成的呢？下面介绍ARP的工作原理。在安装有TCP/IP协议的电脑里都有一个ARP高速缓存表,以表示IP地址和MACM址的对应关系。当主机民要向主机B发送数据时，主机h先要检查自己ARP列表中是否存有主机B的IP

4、地址对应的MAC&址,如果有,就直接把主机B的MAC&址写入帧里发送给主机B；如果没有就向本网段发起一个ARP青求的广播包,查询主机B对应的MAC&址。此ARP青求数据包里包括主机a的IP地址、MAC&址、以及主机B的IP地址。当网络中的主机收到这个ARP青求后,会检查数据包中的目的IP是否和自己的IP地址一致。若不相同就忽略此数据包;若相同,则该主机首先将发送端的MA电址和IP地址添加到自己的ARP列表中，如果ARPg中已经存在该IP的信息，则将其覆盖,然后给主机a发送一个ARP：向应数据包,告诉对方自己是它需要查找的MAO址；主机乜收到这个ARP响应数据包后，将得到的主机B的IP地址和MA

5、CM址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果主机乜一直没有收到AR团向应数据包，则表示ARP查询失败。1.2 ARP欺骗原理ARP8存中的IP-MAC条目是根据ARP响应包动态变化的，只要网络上有ARP响应包发送到本机，就会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP8存中的IP-MAC条目。局域网中的某主机若被加载了ARPB骗的木马程序的盗号软件或某些应用程序，就会向该局域网中的其它主机发动ARPB骗攻击,通过伪造IP地址和MACM址实现ARP欺骗,在网络中产生大量的ARP广播或者非广播，使网络阻塞或者经Man-

6、in-the-Middle实施AR唯定向和嗅探攻击。病毒主机会欺骗局域网内所有主机和路由器,使所有上网的流量必须经过它才能连接网络,切换时用户会断一次线。切换到病毒主机，上网后,如果用户已经登录了网游服务器,那么病毒主机就会经常伪造断线的假象,那么用户就得重新登录网游服务器,这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作时会发出大量的数据包导致局域网通讯拥塞，且受其自身处理能力的限制,用户会感觉网速越来越慢。当ARPB骗的木马程序停止运行时，用户会恢复从路由器上网,切换过程中用户会再断一次线。通过ARP防火墙可查看到ARP外部攻击的详细记录。2 ARP地址欺骗攻击者的定位利用ARPB议

7、的漏洞，攻击者对整个局域网的安全造成威胁，那么，怎样才能快速检测并定位出局域网中的哪些机器在进行ARPM址欺骗攻击呢？面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实，我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候，牢牢记住正确网关的IP地址和MAC&址，并且实时监控来自全网的AR暇据包，当发现有某个AR暇据包广播，其IP地址是正确网关的IP地址，但是其MAC&址竟然是其他电脑的MAC&址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC&址报警，再根据网络正常时候的

8、IP一MAC&址对照表查询该电脑，定位出其IP地址，这样就定位出攻击者了。检测ARPM址欺骗攻击的方法有三种：2.1 niffer嗅探法当局域网中有ARPM址欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好地检测出网络的异常举动，利用Ethereal之类的抓包工具找出大量发送ARPT播包的机器，这基本上就可以当作攻击者进行处理。2.2 命令提示符法在开始f运行中输入cmd,在弹出的命令窗口中输入系统自带的AR脸令即可完成。当局域网中发生ARP欺骗攻击的时候，攻击者会向全网不停地发送ARP欺骗广播，这时局域网中的其他主机就会动态更新自身的ARP8存表，将网关的MAC&

9、址记录成攻击者本身的MAC&址，此时，我们只要在其受影响的主机中使用“ARP-A”命令查询一下当前网关的MACM址，就可知道攻击者的MAO址。例如,输入“ARP-A,命令后的返回信息如下：Interface:192.168.1.2-0x2InternetAddressPhysicalAddressType1.168.1.1 .100-41-57-57-44-67static1.168.1.9 .900-0b-2f-1a-28-b5dynamic因当前电脑的ARP表是错误的记录，故该MAC&址不是真正网关的MACfe址，而是攻击者的MACfe址。此时，再根据网络正常时，全网的IP-MAC地址对照

10、表，查找攻击者的IP地址就可以了。1.168.1.10 利用相关软件工具现在只要通过百度或者Google一下便能找到很多ARP（病毒）定位工具，如AntiARPSniffer（现已更名为ARFB火墙）、ArpDog监控软件、360安全卫士（360ARFB火墙部分）；其中做的比较好的是ARFW火墙。利用此类软件，我们可以轻松地锁定ARP攻击者的MAC&址。然后，我们根据欺骗机的MAC&址，对比查找全网的IP-MAC地址对照表，即可查出攻击者。3 ARP地址欺骗攻击的防御3.1 ARP综合防护体系中的具体方法主要有：3.1.1 设置静态的MACtoIP对应表，并防止Hacker刷新静态转换表。莫把

11、网络安全信任关系建立在IP基础上或MACS础上，尽量将信任关系应该建立在IP+MAC上o3.1.2 使用防火墙隔离非信任域对内网机器的AR的传输。3.1.3 定期使用RARP青求来检查ARP响应的真实性。3.1.4 定期检查主机上的ARPg存。3.1.5 使用ARPW测工具，探测非法ARP广播数据帧。3.2 计算机系统安全加固常见的ARP攻击常常以病毒程序的形式存在。其中传播甚广的有“网游大盗”、“高波”等，这些ARP病毒寄存于Windows系统中，且一般会用到npptools.dll等系统漏洞，故只要做好对操作系统的升级与加固可以防止此类病毒感染。3.2.1 npptools.dll是win

12、dows系统的一个动态库(networkpacketprovidertoolshelper)常被ARP病毒利用，所以，禁止了npptools.dll将使此类病毒无法正常运行。具体方法是：在安全模式中，打开WINDOWSSYSTEM32NPPTOOLS：DLL删除这个文件后，用零字节的文件替换。最后将nnptools.dll保存为只读文件。3.2.2 给系统安装补丁程序。通过WindowsUpdate安装好系统补丁程序(关键更新、安全更新和ServicePack)3.2.3 给系统管理员帐户设置强密码，最好是“字母+数字+特殊符号”组合。3.2.4 定时更新杀毒软件（病毒库），安装使用网络防火墙

13、软件，可有效阻挡来自网络的攻击和病毒的入侵。盗版Windows用户若不能安装更新补丁，不妨通过使用网络防火墙等方法加强防护。3.3 ARP杀毒软件目前，有些AR冲杀软件和病毒防火墙产品可通过在系统内核层拦截虚假AR暇据包以及主动通告网关本机正确的MAO址，能够保障单机与网关之间数据流向不经过第三者。例如：360安全卫士开启局域网ARP攻击拦截功能后，便可有效遏制ARP攻击，保障网络畅通通讯安全。ARPW火墙功能更全，拦截效果等更明显。3.4 ARP攻击探测器IP地址与MAC&址绑定是最简单有效的ARP攻击防御方法。但在大型公众上网环境中使用静态IP地址和MAO址的绑定会带来巨大的管理负荷。在大

14、型公众上网网络中无法有效对每一台终端、服务器与网络设备都使用静态ARPo公众网络终端数量庞大，一般的营业性网吧通常有上百台终端，再加上交换机与网络设备，需维护的ARP表有上千个之多，全部人工设置不现实。而且DHC啊络动态地址分配以及各种负载均衡策略将无法适应MACt址绑定。因此，除MACM址管理外，通常需要使用ARP攻击探测器来防御ARP的攻击。目前市场上尚未有成熟的专门针对ARP攻击的探测器。在大型网络中可通过编程实现，其原理是在其上运行存放一张局域网ARPH,记录有权威的ARP信息，嗅探器通过IDS原理在路由器镜像口侦听局域网内ARP广播包内容，若网络内广播包与ARP表不一致，或ARP广播帧超过合理数量的阀值，则探测器分析后会匹