浅析局域网ARP攻击的原理

[摘 要] 最近校局域网中ARP病毒频繁发作,为使更多用户全面了解并防范ARP欺骗,本文对ARP攻击进行了详细阐述。

[关键词] ARP协议 ARP攻击 ARP病毒

一.ARP的工作原理

以太网中,两网络设备要直接通信,需知道目标设备的IP和MAC地址。ARP协议的基本功能即通过目标设备IP地址,查询其MAC地址,保证通信的进行。

当源主机S需要和目标主机D通信时,先要用D的IP与自己子网掩码进行“与”运算得到子网号,若在同一子网,则S首先检查自己ARP列表中是否存在该IP对应的MAC地址,如存在,就将数据包发送到这个MAC 地址;反之,则向本网段发送ARP请求广播包,询问D的IP所对应的MAC 地址。网络中所有主机收到这个ARP请求后,会检查包中目的IP是否和自己IP一致。若不一致则不回应;若一致,该主机首先将发送端MAC地址和IP地址添加到自己ARP列表中,如ARP表中已经存在该IP信息,则将其覆盖,再给S发送ARP响应包,告诉对方自己MAC地址;S收到ARP响应包后,将得到的目的主机IP和MAC对添加到自己ARP列表中,并用此信息开始数据传输。若数据源主机一直没有收到ARP响应包,表示ARP查询失败。若S与D不在同一子网,S就用缺省网关MAC地址作为目标MAC地址。

二.ARP的漏洞分析

ARP协议虽是一个高效的数据链路层协议,但作为一个局域网协议,它是建立在各主机之间相互信任的基础之上的,因此存在一些安全问题:

⑴ARP高速缓存管理程序每隔一固定时间检查IP/MAC地址映射表中所有表项,并删除已达到生存期限的表项。同时若一个IP进程需要发送数据报,但其目的地址不在ARP高速缓存的任何表项中,则IP必须在一个空闲表项中创建一个新表项,若不存在空闲表项,则用替换策略删除旧表项。因此正常主机MAC地址刷新都是有时限的,这样假冒者在下次更新之前修改被攻击机器的地址缓存,就可进行假冒或者拒绝服务攻击了。

⑵ARP请求以广播方式进行。这样攻击者就可以伪装ARP应答,与广播者真正要通信的机器进行竞争,还可以确定子网内机器什么时候会刷新MAC地址缓存,以确保最大时间限度地进行假冒。

⑶出于传输效率的考虑,在数据链路层就没做安全考虑,在使用ARP 协议交换MAC时,是无状态也无需认证的。只要是收到来自局域网的ARP 请求或应答包,就将其中MAC/IP地址对刷新到本机高速缓存中。因此欺骗方可以随意发送大量虚假请求包和应答包,进行ARP欺骗等。

三.ARP欺骗原理

假设有A、S、D(各代表攻击方、源主机和目的主机)三台电脑组成的局域网(由交换机连接)。其IP地址分别为:192.168.0.2、192.168.0.3、192.168.0.4,MAC地址分别为:MAC-A、MAC-S、MAC-D。在上述数据发送中,当S的ARP缓存中没有D的ARP信息,向全网询问后,D也回应了自己正确MAC地址。但同时,A却返回了D的IP地址和自己MAC地址。由于A不停地发送这样的应答包,则会导致S重新动态更新自身ARP缓存表,记录成:192.168.0.4与MAC-A对应。这样以后凡是S要发送给D,都将会发送给A。即A劫持了由S发送给D的数据。这是ARP欺骗过程。ARP欺骗手段通常有:

⑴欺骗主机通过单播、广播形式发布假冒ARP请求包或ARP应答包,散播虚假IP/MAC映射关系,从而欺骗网络中主机的正常通信。

⑵由于被假冒机器所发送ARP应答包有可能比攻击者应答包晚到,为确保被攻击者缓存中绝大部分时间存放攻击者MAC地址,可在收到ARP请求广播后稍延一段时间再发一遍ARP应答。

⑶由于各操作系统对ARP缓存处理实现不同,一些操作系统会向缓存地址发送非广播ARP请求来要求更新缓存。交换网络环境下,别的机器捕获不到这种缓存更新,为阻止主机更新缓存,攻击者就可定时发送ARP应答包,不断更新被攻击者MAC缓存,阻止它主动缓存更新。

⑷ARP表每一表项生存期限一过就被删除。如攻击者暂使用不工作主机的IP,就可以伪造IP/MAC地址对,把自己伪装成暂时不使用的主机。

⑸因高速缓存是动态更新的,攻击者以远小于表项生存期的时间间隔定时地发送ARP应答包。这样被攻击机器缓存中绝大部分时间存放的是攻击者MAC地址。

⑹通过以上ARP欺骗,可使子网内其他机器的网络流量都回流到攻击机器上,为隐蔽自己,它必须使它们能够“正常”使用网络,于是它将这些数据包转发到它们应该到达的主机。首先根据捕获的IP包或者ARP包的源IP域进行更新,保持一个局域网内各个IP/MAC包的对应列表;在收到一个IP包之后,分析IP包头,根据IP包头里的目的IP,找到相应MAC地址,作为目的MAC地址,同时将本机MAC地址设成源MAC地址,将收到的IP分片包发送出去。ARP欺骗的隐蔽性就是通过IP包的转发来实现。

四.ARP欺骗常见方式与表现

1.ARP常见欺骗方式

⑴冒充网关欺骗主机。这是ARP欺骗最基本方式。攻击者以网关身份伪造虚假ARP 应答报文,欺骗局域网内其他主机,主机所有流向外网的流量全部被攻击者截取;

⑵冒充主机欺骗网关。这是ARP欺骗的最常见方式。攻击者以正常用户身份伪造虚假ARP应答报文欺骗网关,网关发给该用户的所有数据全部被攻击者截取;

⑶冒充主机欺骗其他主机。这是ARP欺骗最难防御方式。攻击者以正常用户身份伪造虚假ARP 应答报文欺骗其他主机,导致其他用户发给该用户数据全部被攻击者截获;

⑷将用户数据导向不存在的地址。这是ARP欺骗最麻烦方式。攻击者以正常用户身份伪造虚假ARP应答报文欺骗网关,网关发给该用户的数据都被发往不存在的地址;

⑸ARP泛洪攻击。这是ARP欺骗最混乱方式。攻击者伪造大量虚假源MAC和源IP信息的报文,对局域网内所有主机和网关进行广播,抢占网络带宽,干扰正常通信。

2.ARP欺骗的常见表现

ARP欺骗攻击主要表现为网络大面积掉线,或网络时断时续,拒绝服务,甚至出现ARP挂马故障。攻击者利用ARP协议弱点进行阻止或破坏双方通信,截获、修改并转发IP包等攻击活动,监听网络信息,窃取QQ、网银、网游账号。

五ARP欺骗攻击的防范策略

1.合理分配IP地址,使用完善的网络IP-MAC管理系统,做好IP地址登记注册和静态的MAC->IP对应表,一旦发现ARP攻击,定位并隔离攻击源。

2.IP–MAC-交换机端口的静态绑定。

3.合理划分VLAN,减小广播范围,同时进行端口隔离。

4.使用可防御ARP攻击的交换机,建立动态的IP+MAC+PORT的对应表和绑定关系,实时控制ARP流量,建立DHCP嗅探匹配表等。

5.各主机及时安装并更新杀毒软件和防火墙。

参 考 文 献

[1]W.Richard.Stevens.TCP/IP协议详解{卷1}.机械工业出版社,1999.

[2]刘涛,陈宝国.ARP漏洞分析及防范[J].实践与经验,2008(6)

[3]王玉宝.ARP病毒原理分析[J].电脑知识与技术,2007(7)■