局域网ARP攻击防范-盘古文库

局域网ARP攻击防范

来源：莲生三十二

作者：开心麻花

2025-09-18

局域网ARP攻击防范（精选11篇）

局域网ARP攻击防范第1篇

在局域网中, 通过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) , ARP协议对网络安全具有重要的意义。通过伪造I P地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。近两年来, 针对ARP网络的攻击不断增加, 已经对局域网构成了严重威胁。

2 ARP原理

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的I P地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。每台主机都会在自己的ARP缓冲区 (ARP Cache) 中建立一个ARP列表, 以表示IP地址和MAC地址的对应关系。如下所示:

A:192.168.0.1 AA-AA-AA-AA-AA-AA;

B:192.168.0.2 BB-BB-BB-BB-BB-BB;

C:192.168.0.3 CC-CC-CC-CC-CC-CC;

D:192.168.0.4 DD-DD-DD-DD-DD-DD。

当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址, 如果有就直接将数据包发送到这个MAC地址;如果没有, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包, 表示ARP查询失败。

3 ARP常见攻击方式

3.1 ARP欺骗攻击

ARP协议的基础就是信任局域网内所有的人, 那么就很容易实现在以太网上的ARP欺骗。通过发送伪造的ARP包来欺骗路由和目标主机, 让目标主机认为这是一个合法的主机, 便完成了欺骗。这种欺骗多发生在同一网段内, 因为路由不会把本网段的数据包向外转发, 当然也可以实现不同网段的攻击, 但要通过ICMP协议来告诉路由器重新选择路由。

对目标A进行欺骗, A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候, 把C的MAC地址骗为DD-DD-DD-DD-DD-DD, 于是A发送到C上的数据包都变成发送给D的了。这正好是D能够接收到A发送的数据包, 嗅探成功。因为A和C连接不上了, D对接收到A发送给C的数据包可没有转交给C。做“man in the middle”, 进行ARP重定向。打开D的IP转发功能, A发送过来的数据包, 转发给C, 好比一个路由器一样。D直接进行整个包的修改转发, 捕获到A发送给C的数据包, 全部进行修改后再转发给C, 而C接收到的数据包完全认为是从A发送来的。不过, C发送的数据包又直接传递给A, 倘若再次进行对C的ARP欺骗。因此D就完全成为A与C的中间桥梁了, 对于A和C之间的通讯就可以了如指掌了。

3.2 交换环境的嗅探

现在的网络多是交换环境, 网络内数据的传输被锁定特定目标。既已确定的目标通信主机, 在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。如果主机A与主机C正常通信, 主机B可以通过ARP欺骗, 从而实现转发主机A与主机C通信的数据包, 达到在交换网络下主机B对主机A与主机C通信数据的嗅探。

3.3 ARP扫描

ARP扫描又叫ARP请求风暴, 其扫描的表现形式为:网络中出现大量ARP请求广播包, 几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。出现原因一般为:感染病毒程序, 网络上侦听程序、扫描程序。如果网络分析软件部署正确, 可能是我们只镜像了交换机上的部分端口, 所以大量ARP请求是来自与非镜像口连接的其它主机发出的。如果部署不正确, 这些ARP请求广播包是来自和交换机相连的其它主机。

3.4 泛洪攻击

攻击者利用工具制造大量的ARP请求数据包, 泛洪发往本广播域中的路由器、交换机以及主机设备。一方面导致被攻击者的CPU忙于处理ARP请求, 负担过重, 造成设备其他功能不正常甚至瘫痪;另一方面, 占用大量的网络带宽, 使可用网络带宽减少。在局域网遭到ARP数据包的泛洪攻击时, 一般表现为网内主机上网速度很慢甚至无法上网, 但查看所有设备ARP缓存表均没有问题。但通过网络抓包软件捕获网络中的数据包可发现大量的ARP请求数据包。

4 局域网遭受ARP攻击常见现象

4.1 网上银行、游戏及QQ账号的频繁丢失

一些人为了获取非法利益, 利用ARP欺骗程序在网内进行非法活动, 此类程序的主要目的在于破解账号登录时的加密解密算法, 通过截取局域网中的数据包, 然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒, 就可以获得整个局域网中上网用户账号的详细信息并盗取。当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 切换的时候用户会断一次线。切换到病毒主机上网后, 如果用户已经登录了QQ服务器, 那么病毒主机就会经常伪造断线的假像, 那么用户就得重新登录QQ服务器, 这样病毒主机就可以盗号了。

4.2 网速时快时慢, 但单机测试一切正常

当局域内的某台计算机被ARP的欺骗程序非法侵入后, 它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道, 造成网络设备的承载过重, 导致网络的通讯质量不稳定。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制, 用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。

4.3 区域或整体掉线, 重启恢复正常

当带有ARP欺骗程序的计算机在网内进行通讯时, 就会导致频繁掉线, 出现此类问题后重启计算机或禁用网卡会暂时解决问题, 但掉线情况还会发生。

5 局域网ARP攻击防范方法

5.1 ARP缓存表的静态绑定

ARP欺骗利用的是对本广播域其他主机的信任, 即ARP缓存表总是会依据接收到的ARP数据包进行刷新。因此往往由于信任了伪造的ARP响应数据包而导致被攻击, 所以只要不让网关设备和网内主机刷新自己的ARP缓存表即可防范ARP欺骗攻击。在默认情况下, ARP缓存表中的记录类型为“dynamic”, 即依据接收到的ARP数据包进行动态刷新的。为防范ARP欺骗攻击, 可以将IP地址和对应的MAC地址进行静态的绑定, 即进行ARP绑定, 使之不进行刷新。IP地址与MAC地址的绑定操作必须在网关设备上以及网内主机上都要实现, 即进行双向的绑定。因为如果只是在网关设备或者网内主机上进行单向绑定, 则ARP欺骗还是可以通过假冒网关攻击或欺骗网关攻击在网络的另一端达到攻击的目的。

在网关设备上需要对网内所有的主机的IP地址和MAC地址进行静态的绑定。在网内主机上则需要对网关设备的IP地址和MAC地址进行静态的绑定, 绑定方法为:在命令行模式下, 输入命令“ARP-S网关IP地址网关MAC地址”。但是, 在网内主机重启后, ARP缓存表内容会丢失, 即静态绑定的网关设备IP地址与MAC地址的映射关系也会丢失。因此可以将ARP绑定操作写成批处理文件并放置到“开始一程序一启动”中, 使其在系统启动时即被加载执行。这种方法必须人工设置IP地址和MAC地址的映射, 工作量巨大, 灵活性较差, 针对小型的网络比较的适用。

5.2 交换机端口与主机MAC值的绑定

将局域网中交换机的每一个端口与之相连接的主机MAC地址进行绑定, 这就规定了连接这个端口的MAC地址是固定的。如果该端口发现与绑定的MAC地址值不同, 则交换机自动锁定此端口, 使与此端口相连的主机无法连接到局域网。即攻击者发送伪造的ARP欺骗报文, 端口立刻可以检测出MAC值不一样, 让攻击者无法攻击网络, 并中断攻击者连接网络的权利, 这样也可以立刻找出攻击主机。这种方法只适合于高端的交换机, 对于低端交换机是没有交换机的设置功能, 无法实现。同时, 如果是人为的变换了主机的连接端口, 不通过管理员也无法连接到网络。

5.3 划分VLAN

ARP报文是一种广播报文, 也就是说它只能在一个广播域内传输。所以这就决定了ARP欺骗不能跨网段实施, 通过VLAN技术隔离广播域, 从一定的程度上减少ARP攻击的范围, 使ARP欺骗局限于一个被感染的虚拟局域网内, 不会影响整个局域网的运行。

5.4 信息加密

基于ARP欺骗原理, 监听不易为通信双方察觉。如果通信双方对信息进行加密, 即便信息被攻击者获取也因没有方法解密而无法获得有用信息, 从而保证网络传输的安全性。但此方法是一种消极的防护策略。一旦受到ARP欺骗, 该方法不能使网络通信保持正常状态。

5.5 制定ARP缓存更新策略

由于ARP协议在无ARP请求的情况下任意接收ARP应答并更新缓存, 这为ARP欺骗创造了条件, 因此可制定ARP缓存更新规则。规定接收ARP协议报文的顺序是先发送ARP请求然后才能接收与此匹配的ARP应答报文, 对到达的无ARP请求或者不匹配的应答报文一律丢弃, 这样可以有效防止攻击方利用ARP欺骗报文更新ARP缓存达到欺骗目的。但是这种方法由于引入了安全性方面的的考虑, 在一定程度上增加了ARP协议的复杂度。一般此类方法的执行速度较慢, 具有一定的局限性。故该方法的应用要综合考虑安全性和网络性能等多方面的因素。

5.6 设置ARP服务器

指定局域网内部的一台机器作为ARP服务器, 专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求。同时可以设置局域网内部的其它主机只使用来自ARP服务器的ARP响应。

6 结束语

ARP欺骗攻击利用了ARP协议的缺陷, 并借助于一些专门的攻击工具, 为计算机用户带来了极大的危害。本文通过分析ARP欺骗攻击的原理, 介绍了ARP欺骗所带来的危害, 探讨了防范ARP欺骗攻击的几种切实可行的方案, 使各计算机用户能够避免ARP欺骗攻击。

摘要：在单位网络维护过程中, 经常遇到ARP病毒导致网络不稳定的情况, 本文介绍了ARP协议的工作原理及ARP攻击的基本原理与方式, 提出预防欺骗的常用防范措施。

关键词：ARP,攻击,防范

参考文献

[1]马军, 王岩.ARP协议攻击及其解决方案[J].信息安全, 2006, 22 (5) .

[2]Dieter Collmann计算机安全[M]北京:人民邮电出版社, 2003.

[3]魏为民, 袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全, 2012, (12) :53-56.

局域网内部的ARP攻击是指什么第2篇

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行，那么局域网内部的ARP攻击是指什么？基于ARP协议的这一工作特性，向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信，

一般情况下，受到ARP攻击的计算机会出现两种现象: 1.不断弹出本机的XXX段硬件地址与网络中的XXX段地址冲突的对话框。 2.计算机不能正常上网，出现网络中断的症状。因为这种攻击是利用ARP请求报文进行欺骗的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

局域网中ARP攻击与防御第3篇

摘要：本篇文章针对企业用户、校园用户和网吧等，对局域网中频繁发生的ARP欺骗基本原理进行分析介绍，并通过实例加以解释，同时介绍常见的ARP欺骗和攻击方式，并且从IP与MAC绑定、网关等多个方面提出几点关于如何防御ARP攻击的方法，加强安全防范措施，以达到维护局域网络安全的目的。

关键词：地址解析协议；介质访问控制；网络安全

引言

由于近期单位的局域网运行不稳定，联网计算机出现频繁掉线的现象。严重影响了用户网络化办公。经过对硬件检测后，断定是ARP病毒在捣鬼!这种病毒是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段，有效的防范ARP形式的网络攻击已成为确保网络畅通的必要条件。

感染此木马的计算机试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为有时候无法正常上网，有时候又好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况，也会出现注销或重新启动计算机又可恢复上网的情况。这种木马危害也很大。各公司网、校园网和网吧等局域网都出现了不同程度的灾情。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网无法上网，严重的可能带来整个网络的瘫痪，对网络管理带来潜在的危害。此外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的，而且它发的是ARP报文，具有一定的隐秘性。给用户造成了很大的不便和巨大的经济损失。

1ARP欺骗的原理

首先给大家说说什么是ARP，ARP(Ad-dress Resolution Protocol)是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层(IP层，也就是相当于OSI的第三层)地址解析为数据连接层(MAC层，也就是相当于OSI的第二层)的MAC地址。

ARP原理：假设这样一个网络，一个Hub接了3台机器：HostA、HostB、HostC，其中：

HostA的地址为：IP:192.168.10.1，MAC：AA-AA-AA-AA-AA-AA

HostB的地址为：IP:192.168.10.2.MAC：BB-BB-BB-BB-BB-BB

HostC的地址为：IP：192，168，10，3，MAC：CC-CC-CC-CC-CC-CC

正常情况下，HostC:arp-a

Interface：192.168.10.1onInterface0x1000003

Internet Address Physical Address Type，192.168.10.3CC-CC-CC-CC-CC-CCdynamic

现在假设HostB开始了罪恶的ARP欺骗：

HostB向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD MAC地址，没有和犯罪分子B相关的证据，哈哈。这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了：

C：＞arp-a

Interface：192.168.10.1onInterface 0×1000003

Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

这样局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD，结果是什么呢?网络不通，A根本不能Ping通C!

所以，局域网中一台机器反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包，严重的网络堵塞就开始了!

2ARP欺骗和攻击的方式

ARP攻击，是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的ARP欺骗攻击，还有以捣乱破坏为目的的ARP泛洪攻击两种。针对这两种主要攻击方式，本文作者又细分为以下几种ARP攻击类型：

2.1ARP欺骗攻击

2.1.1DoS(Denial of Service)中文为拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求，从而不能对外提供服务的攻击方法。如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址，那么目标主机向外发送的所有以太网数据帧会丢失，使得上层应用忙于处理这种异常而无法响应的外来请求，也就导致目标主机产生拒绝服务。

2.1.2中间人攻击：中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间，使他的主机如同两个目标主机通信路径上的一个中继，这样攻击者就可以监听两个目标主机之间的通信。例如局域网内的三台机子A、S、D，现在A要监听S与D之间的通信。攻击过程如下：A侵染目标主机S与D的ARP缓存。使得S向D发送数据时，使用的是D的IP地址与A的MAC地址，并且D向S发送数据时，使用的是S的IP地址与A的MAC地址，因此所有S与D之间的数据都将经过A，再由A转发给他们。

如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击，那么攻击者就可以截取Internet与这个目标主机之间的全部通信。

2.1.3多主机欺骗：篡改被攻击主机群中关于网络内某一台主机×的ARP记录，被攻击的主机群为网络中的多台主机而非一台主机。主机X为网关或网络内任何一台非网关的正在运行主机。被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。

T时刻，主机A关于主机×的ARP记京

被篡改；

T+N时刻，主机B关于主机×的ARF记录被篡改；

……

T+M时刻，主机Z关于主机×的ARP记录被篡改。

例如：当攻击主机要仿冒网关就会向局域网内的主机群发送ARP数据包，以自身MAC地址来冒充真正的网关，使受骗主机群的ARP缓冲区的MAC地址错误地更新为攻击源的MAC地址，导致受骗主机群向假网关发送通信信息，而不是通过路由器或交换途径寻找真正的网关并发送通信信息。这时攻击主机可以把自己设置成一台路由器负责对数据包转发，从而达到仿冒网关的目的。这是一种比较常见的欺骗形式，这种欺骗方式可以控制同一网关下的所有主机对网络的访问。网吧内经常发生游戏密码被盗现象就是因为遭受到仿冒网关的ARP攻击。

2.1.4全子网轮询欺骗：篡改被攻击主机X中关于网络内多台主机的ARP记录，这台被攻击的主机为网关或网络内任何一台非网关的主机。被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。

T时刻，主机×关于主机A的ARP记录被篡改；

T+N时刻，主机×关于主机B的ARP记录被篡改；

……

T+M时刻，主机×关于主机Z的ARP记录被篡改。

2.1.5网络监听：攻击主机利用上述多主机欺骗来仿冒网关，利用全子网轮询欺骗来篡改真正网关上关于局域网内所有主机的ARP缓存记录，从而实现对局域网内所有主机同外部网的通信进行监听。实现了在交换式网络环境中对网络通信的监听。

2.2IP地址冲突攻击

制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于windows操作系统，只要接收到一个ARP数据包，不管该ARP数据包符不符合要求，只要该ARP数据包所记录的源IP地址同本地主机相同但MAC地址不同，windows系统就会弹出IP地址冲突的警告对话框。根据IP地址冲突的攻击特征描述，这种类型的ARP攻击主要有以下几种：

2.2.1单播型的IP地址冲突：链路层所记录的目的物理地址为被攻击主机的物理地址，这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收，实现隐蔽式攻击。

2.2.2广播型的IP地址冲突：链路层所记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接收到该ARP数据包，虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址，但是由于该ARP数据包为广播数据包，这样受攻击主机也会接收到从而弹出IP地址冲突的警告对话框。

2.3ARP泛洪攻击

攻击主机持续把伪造的MAC-iP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含：

2.3.1通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据包耗尽网络带宽。

2.3.2令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。

2.3.3用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的。属于损人不利己的行为。

2.4ARP溢出攻击

ARP溢出攻击的特征主要有：

2.4.1所发送的伪造MAC-IP映射对的IP地址是非本地网的虚拟不存在的IP地址，但MAC地址是固定的，当操作系统接收到一个源IP地址在ARP高速缓存表中不存在的ARP数据包时，就会在缓存表中创建一个对应MAC-IP的入口项。

2.4.2所发送的伪造MAC-IP映射对的lP地址是非本地网的虚拟不存在的IP地址，而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表，将各端口和端口所连接主机的MAC地址的对应关系进行记录，因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包，就会破坏端口与MAC的对应关系，并导致CAM表溢出。在这种情形之下，缺少防范措施的交换机就会以广播的模式处理报文，形成泛洪向所有接口转发通信信息流。最终使得交换机变成HUB，将交换式的网络变成广播式的网络，使得网络带宽急剧下降。

2.5ARP扫描攻击

向局域网内的所有主机发送ARP请求，从而获得正在运行主机的IP和MAC地址映射对。ARP扫描往往是为发动ARP攻击做准备。攻击源通过ARP扫描来获得所要攻击主机的IP和MAC地址。从而为网络监听、盗取用户数据、实现隐蔽式攻击做准备。

2.6虚拟主机攻击

通过在网络内虚拟构建网卡，将自己虚拟成网络内的一台主机，拥有虚拟的物理地址和IP地址。主要是通过在链路层捕获所有流经的ARP请求数据包进行分析，若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应，并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的IP地址资源，使得正常运行的主机发生IP地址冲突，并且局域网内的主机也无法正常获得IP地址。

3ARP欺骗和攻击的防范措施

3.1建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择X.X.X.2，把X.X.X.1留空，如果犯罪程序愚蠢的话，让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，一定要保持网内的机器IP／MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的lP地址都是一样的。

3.2建立IP、MAC数据库，把局域网内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

3.3网关机器关闭ARP动态刷新的过程，使用静态路由，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

3.4网关监听网络安全

局域网内ARP欺骗攻击的防范第4篇

人们的生活与网络关系越来越密切当前背景下, 集团公司, 教育机构, 科研企业构建了大量局域网, 内网互联Internet, 病毒以ARP欺骗攻击来妨害公共网络安全, 局域网信息互通、信息安全、网络系统构架稳定性受到威胁, 因此, 明确局域网ARP欺骗攻原理、种类、危害, 并通过节点分析法采取防御和解决措施十分必要。

二、局域网ARP欺骗攻击简述

2.1局域网ARP欺骗攻击原理

ARP是Address Resolution Protocol的英文缩写, 意为地址解析协议, 存在于属于TCP/IP协议的底层, 其功能是通过目标计算机IP地址查询目标计算机的MAC地址, 达到将IP地址转变为介质访问控制的MAC地址, 从而保证通信的正常进行。病毒木马以ARP欺骗对局域网展开攻击, 其原理是ARP协议本身存在的安全漏洞与缺陷, 让局域网防火墙等不能识别出病毒所发送的“假”数据包, 欺骗局域网内互联主机和路由器, 错误引导流量通道, 造成了用户本地连接正常, 但是打不开局域网主页, 或者伴随间歇性“网络掉线”的攻击后果。

2.2局域网ARP欺骗攻击种类

根据ARP病毒欺骗攻击的对象, 将局域网ARP欺骗攻击按照攻击对象的不同分成两种:第一种是以路由器ARP列表为对象。第二种是以网关为对象进行欺骗性攻击。第一种, 对路由器ARP表的攻击, 是通过伪造的数据包, 截获了网关的流量, 由于是伪造的数据包, 就产生了大量的无效MAC地址, 造成了局域网内数据流的紊乱, 大量的数据流向无用的PC, 导致正常PC不能接受到数据线;第二种是伪装成网关, 通过想被欺骗的PC发送假网管数据, 接受了假网管数据的PC就会出现中毒现象, 具体表现为网络间歇性中断, 更为严重是通过这种攻击模式, 黑客可以挂马到被攻击的PC上, 局域网内仍和一台计算机与受感染计算机接触后, 都会被病毒感染, 从而让整个局域网处于崩溃状态, 严重者会导致数据丢失, 账户被盗等。

三、ARP协议的缺陷

之所以会存在局域网ARP欺骗攻击是因为ARP协议的自身缺陷, 明确ARP协议的缺陷, 对于采取针对性措施有重要的帮助。

3.1假冒ARP应答

从主机A发送出来的请求数据包, B主机收到后会主动发憷应答的数据包, 同时反馈到主机A, 主机A则会按照应答的数据包的内容, 在MAC地址缓冲带的主机B的MAC地址。从上述的过程可以发现, 主机A对于任何机器发送过来的ARP应答数据包, 都会主动的向应答数据包的来源主机更新和发送主机B的MAC地址, 那么通过网关流入主机B的流量, 都会经过假冒的ARP流程, 而被秘密占用, 从而导致了主机B接受来自主机的通讯中断, 形成了信息孤岛的情况, 最后感染到其他PC。

3.2假冒查询

当局域网中的两台机器进行信息共享时, 主机A的数据“帧”形成包, 走到了主机B的介质访问层的MAC地址, 那么主机A可以通过端对端的数据传输形式向主机B传输单向的ARP信息查询数据包, 主机B对主机A发送而来的查询包进行解析和处理后, 自动在MAC地址缓冲区当中更新对应主机A的MAC地址。通过上述过程我们发现, 局域网中任何一个主机, 都可以想主机B发送伪造的主机A的ARP调查数据包, 从而主机B与主机A通过IP传输协议的流量和信息将会中断。

3.3自动定时ARP欺骗

在局域网中主机MAC地址缓冲区的存在, 让局域网沟通更加迅速, 而且大大缩短了排队等候的时间, 然而, 在缓冲区当中MAC会自动更新, 一些局域网ARP病毒利用这一特性, 在MAC更新的过程中植入到数据帧当中, 从而形成了间歇性的ARP欺骗攻击特性, 一般而言ARP病毒欺骗性攻击之后, 被欺骗的主机之间的通信发生异常, 一些病毒利用了这个间隙, 在MAC自动更新之间, 给目标主机反复的发送不同种类的数据欺骗包, 从而来延长欺骗时间, 来提高所能窃取的信息量。

3.4对网关的干扰

在局域网ARP系统内, ARP查询数据包以广播的形式在各层之间传输, ARP病毒在局域网内发播报一个IP地址, 这个IP地址是冒充网关的ARP通知, 这样的数据包在局域网中会造成整个局域网的主机不能访问局域网外部的IP地址, 从而形成了内部闭塞和信息。另外在ARP欺骗攻击发作时, 对网关的干扰程度会增大, 且信息中断可能性增加。

若广播式ARP查询包的源MAC地址和目的IP地址一样, 则这种ARP查询包为通知ARP包, 如果在以太网上发送一个IP地址为网关的欺骗ARP通知包, 则使得这个网上的主机都不能访问这个局域网外的所有IP。若这个ARP通知包围干扰局域网上的某个主机, 则这个主机和其他IP的所有通信都将中断。

3.5推测ARP解析时间

当给被欺骗得主机发送一个错误但是的确存在地MAC地址, 这样, 被欺骗的主机强向这个主机发送IP包, 接受主机收到被欺骗主机的IP包后, 将返回报告不可达信息的ICMP, 这种方式能使得被欺骗主机推迟再次进行ARP解析的时间。

四、局域网ARP欺骗攻击的防范

4.1应急处理方式用户端绑定

当确认PC遭到了局域网ARP攻击后, 为了采取的应急处理措施是: (1) 在中毒PC上, 点击开始运行, 键入“arp-d”, 然后确定, 如何能够暂时恢复上网, 说明主机可能受到了ARP欺骗攻击, 一旦能上网的话, 就立即将网络断掉, 常用方法是拔掉网线, 再运行arp a查看网关的正确MAC地址。如果不能够恢复正常, 则要考虑其他的原因。 (2) 另外用户端的绑定方法是, arp-s网关IP网关MAC。其缺点在于重启计算机后, 静态绑定消失。为了方便, 首先创建一个txt的文本, 在文本中输入:@echo off;arp d;arp s网关的IP地址网关的MAC地址。 (例如网关地址10.10.68.254的MAC地址为0021aa0021aa) 。编写一个批处理文件Anti-Arp.bat内容如下:@echo off arp-d arp-s10.10.68.25400-21-aa-00-21-aa;保存关闭之后, 将txt的后缀名改为“.bat”, 这样原有的txt文件变成了批量处理文件, 设置成为开机启动, 就能够方便每次开始后的自动绑定功能的实现, 防范于未然。 (3) IP地址与MAC地址双向绑定。上文中提到的用户绑定, 需要配合MAC绑定一起使用, 而相对IP地址绑定来说, MAC静态绑定需要耗费大量的人力, 需要做很多重复性的工作, 最为复杂的是当PC主机修改IP地址之后, 如果不进行ARP静态绑定记录就会引起局域网内的混乱。

总之, 以上方法有的易于操作, 但是效果不佳, 有的从操作过于复杂, 且容易造成混乱, 在实际中运用不多。

4.2使用Sniffer主动修复软件

在网络内任意一台主机上运行抓包软件, 捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP-Request请求包, 那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种, 行为方式有两种, 一是欺骗网关, 二是欺骗网内的所有主机。最终的结果是, 在网关的ARP缓存表中, 网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中, 网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机, 后者相反, 使得主机发往网关的数据包均发送到中毒主机。填入网关IP地址, 点击[获取网关mac地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示, 这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包, 如果您想追踪攻击来源请记住攻击者的MAC地址, 利用MAC地址扫描器可以找出IP对应的MAC地址。总之, sniffer主动修复抓包软件的广泛使用, 也催生了很多新兴的软件, 例如, 奇虎360安全卫士所携带的局域网ARP防御系统, 再比如德国小红伞嵌入式局域网ARP病毒库等。

4.3采用VLAN技术隔离端口

局域网的拓扑结构决定了局域网的稳定性, 星形结构、环形结构、总线型结构各自有各自的优势, 然而在网络环境复杂的当下, 要具体到局域网拓扑结构的节点的管理方式是较为彻底的。例如, 当局域网的网络警察和电子嗅觉狗探测的到ARP病毒发作或者入侵局域网的情况下, 网络警察或者局域网维护者通过探针技术找到受攻击用户所在的交换机或者路由器端口, 然后通过单独给受欺骗的主机进行VLAN隔离, 本质上是通过物理隔绝, 防止进一步的病毒扩散的危害。

五、结论

局域网ARP攻击防范第5篇

关键词:ARP协议;ARP地址;欺骗

ARP,全称Address Resolution Protocol,它是“地址解析协议的缩写。MAC地址是固化在网卡上串行EEPROM中的物理地址,是由48比特长(6字节),16进制的数字组成,0~23位是由厂家自己分配,24~47位叫做组织唯一标志符,是识别LAN(局域网)节点的标识。

一、ARP地址欺骗攻击者的定位

利用ARP协议的漏洞,攻击者对整个局域网的安全造成威胁,那么,怎样才能快速检测并定位出局域网中的哪些机器在进行ARP地址欺骗攻击呢?面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实,我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其他电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,再根据网络正常时候的IP—MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出攻击者了。

下面再介绍几种不同的检测ARP地址欺骗攻击的方法。

1.命令行法。

在CMD命令提示窗口中利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,攻击者会向全网不停地发送ARP欺骗广播,这时局域网中的其他电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成攻击者本身的MAC地址,此时,我们只要在其受影响的电脑中使用“ARP -a”命令查询一下当前网关的MAC地址,就可知道攻击者的MAC地址。我们输入ARP -a,命令后的返回信息如下:

Internet Address 00-50-56-e6-49-56 Physical Address Type 192.168.0. dynamic.

由于当前电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是攻击者的MAC地址。这时,再根据网络正常时,全网的IP-MAC地址对照表,查找攻击者的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP-MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。

2.工具软件法。

现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙)。利用此类软件,我们可以轻松地找到ARP攻击者的MAC地址。然后,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出攻击者。

3.Sniffer抓包嗅探法。

当局域网中有ARP地址欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好地检测出网络的异常举动,利用Ethereal之类的抓包工具找出大量发送ARP广播包的机器,这基本上就可以当作攻击者进行处理。

以上3种方法有时需要结合使用,互相印证,这样可以快速、准确地将ARP地址欺骗攻击者找出来。找到攻击者后,即可利用杀毒软件或手动将攻击程序删除。

二、ARP地址欺骗攻击的防御及其解决办法

1.使用静态的IP-MAC地址解析。

针对ARP地址欺骗攻击的网络特性,我们可以使用静态的IP-MAC地址解析,主机的IP-MAC地址映射表由手工维护,输人后不再动态更新。即便网络中有ARP攻击者在发送欺骗的ARP数据包,其他电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的接收者。这种防御方法中常用的是“双向绑定法”。双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器(或交换机)中,把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。另一端是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机IP-MAC绑定。除此之外,很多交换机和路由器厂商也推出了各自的防御ARP病毒的软硬产品,如:华为的FIX AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,这是避免IP地址假冒攻击的一种方式。

2.使用ARP服务器。

通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播,但必须确保这台ARP服务器不被黑客攻击。

3.使用其他交换方式。

现在,基于IP地址变换进行路由的第三层交换机逐渐被采用,第三层交换技术用的是IP路由交换协议。以往的MAC地址和ARP协议已经不起作用,因而ARP欺骗攻击在这种交换环境下不起作用。该方法的缺点是这种交换机价格普遍比较昂贵。

出现ARP地址欺骗攻击的解决办法如下:

第一步:记住网关的正确IP地址和MAC地址,为以后的IP-MAC绑定做准备,也方便以后查找病毒主机。网关MAC的获取,一是可以向单位的网管人员询问;二是在机器正常上网时进行查询,记下网關IP地址和MAC地址,方法如下:打开“命令提示符”窗口,在提示符后键入:ipconfig/al(l用此命令先查询网关的IP地址),然后再键入:arp-a(用来显示ARP高速缓存中所有项目),如果并未列出网关IP地址与MAC地址的对应项,那就先ping一下网关IP地址,再显示ARP高速缓存内容就能看到网关的IP-MAC对应项了。第二步:发现网关MAC地址有冲突后,可先用arp-d命令先清除ARP高速缓存的内容,然后再用arp-a命令查看网关IP-MAC项目是否正确。如果病毒不断攻击网关,那就要静态绑定网关的IP-MAC。例如:网关IP地址为10.1.4.254,MAC地址为00-08-20-8b-68-0a,先用arp-d命令清除ARP高速缓存的内容,再在命令提示符后键入:arp-s10.1.4.254 00-08-20-8b-68-0a,这样网关IP地址和MAC地址就被静态绑定了。如果用户安装了瑞星防火墙,也可以通过防火墙提供的“设置-详细设置-ARP静态规则”中进行静态绑定,或是在文章最开始的防火墙提示中选择正确的MAC地址后点击“添加到ARP静态表中”。第三步:如果病毒不断攻击网关致使网关的IP-MAC的静态绑定都无法操作,那就应该先找到病毒主机,使其断网杀毒,才能保证网段内其他机器正常上网操作。

三、结束语

由于ARP协议制定时间比较早,当时对这些协议的缺陷考虑不周,使得ARP攻击的破坏性比较大,但其也有局限性,比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPv6协议,因为在IPv6协议定义了邻机发现协议(NDP),把ARP纳人NDP并运行于因特网控制报文协议(ICMP)上,使ARP更具有一般性,包括更多的内容。

参考文献:

[1]专家解读APR病毒,http : //security. ccidnet. com/.

[2]马军,王岩.ARP协议攻击及其解决方案, 2006.

局域网中ARP攻击与防范技术分析第6篇

ARP全称为Address ResolutionProtocol, 地址解析协议。ARP病毒是一种新型的“ARP欺骗”木马病毒,

二、ARP攻击原理

ARP攻击就是通过伪造的IP地址和MAC地址, 向目标主机发出伪造的ARP响应包, 从而更改了目标主机ARP缓存中的IP-MAC条目, 欺骗目标主机对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中实现对目标主机的ARP欺骗。当局域网内有病毒主机在运行ARP欺骗的木马程序时, 就会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机, 这势必造成局域网内大面积的网络中断或中间人攻击 (也称会话劫持) , 具体表现为客户端状态频频变红、用户频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等问题, 更有甚者, 局域网的所有用户原来直接通过路由器上网, 现在转由通过病毒主机上网, 切换的时候用户会断一次线。当病毒主机上网后, 如果用户已经登陆了传奇等游戏服务器或者其他需要输入个人私密资料的重要网页, 那么病毒主机就会经常伪造断线的假象, 当用户就得重新登录服务器后, 病毒主机就可以盗号了, 从而给用户带来极大的损失。

三、ARP病毒的防御方法

1. 使用可防御ARP攻击的三层交换机, 绑定端口-MAC-IP, 限制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。

2. 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大的减少该问题的发生。

3. 在发生ARP攻击时, 及时找到病毒攻击源头, 并收集病毒信息, 可以使用趋势科技的SIC2.0, 同时收集可疑的病毒样本文件, 一起提交到趋势科技的Trend Labs进行分析, Trend Labs将以最快的速度提供病毒码文件, 从而可以进行ARP病毒的防御。

四、ARP病毒的防御技术

1. 应急处理

客户机中毒后, 可先保证网络正常运行, 方法有:

(1) 在中毒客户端主机运行arp-d, 清除arp列表, 可暂时恢复该主机正常网络通讯。

(2) 在中毒客户端主机进行针对网关的静态IP-MAC地址绑定, 命令arp-s网关ip网关mac, 为避免计算

机重启后记录失效, 可编写一个批处理文件rarp1.bat, 内容如下:

@echo off

arp-d

arp-s您自己的网关Ip地址和MAC地址

将这个批处理软件拖到“windows--开始--程序--启动”中。

(3) 编辑一个arp2.bat文件, 内容如下:arp.exe s**.**.**.** (网关ip) ************ (网关MAC地址) end, 让网络用户点击。

(4) 编辑一个注册表问题, 键值如下:Windows Registry Editor Version

5.00[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun]"MAC"="arp

s网关IP地址网关MAC地址", 然后保存成Reg文件以后在每个客户端上点击导入注册表。

(5) 写一个批处理, 定时刷新arp缓存表

脚本代码如下:

主程序arp3.bat

@echo off

cscript sleep.vbs

arp-d

exit

辅助计时程序sleep.vbs

wscript.sleep 30000

就这样, 把代码复制到记事本里, 然后分别保存为arp3.bat, 其中的30000可以改的更大些。

2、解决思路

(1) 不要把你的网络安全信任关系建立在IP基础上或MAC基础上, (RARP同样存在欺骗的问题) , 理想的关系应该建立在IP+MAC基础上。

(2) 设置静态的MAC-->IP对应表, 不要让主机刷新你设定好的转换表。

(3) 除非很有必要, 否则停止使用ARP, 将ARP做为永久条目保存在对应表中。

(4) 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

(5) 使用'proxy'代理IP的传输。

(6) 使用硬件屏蔽主机。设置好你的路由, 确保IP地址能到达合法的路径。 (静态配置路由ARP条目) , 注意, 使用交换集线器和网桥无法阻止ARP欺骗。

(7) 管理员定期用响应的IP包中获得一个rarp请求, 然后检查ARP响应的真实性。

(8) 管理员定期轮询, 检查主机上的ARP缓存。

(9) 下载使用ARP防火墙。 (2007-07-18 ARP防火墙单机版v4.2beta4发布;2007-07-11 ARP防火墙网络版v3.1.1发布)

(10) 可下载系统补丁:WINXP系统ARP病毒补丁2KB WIN2000系统ARP病毒补丁30.8MB。

摘要：现在局域网中感染ARP病毒的情况比较多, 清理和防范都比较困难, 给不少的网络管理员造成了很多的困扰。本文在分析了ARP病毒攻击原理的基础上, 提出几种简单防御技术。

局域网ARP攻击防范第7篇

关键词：网络安全,Arp,欺骗,攻击

1 ARP欺骗/攻击原理分析

1.1 AR P协议介绍

在TCP/IP网络环境下,一个IP数据包到达目的地所经过的网络路径是由路由器根据数据包的目的IP地址查找路由表决定的,但IP地址只是主机在网络层中的地址,要在实际的物理链路上传送数据包,还需要将IP数据包封装到MAC帧后才能发送到网络中。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址,同一链路上的哪台主机接收这个MAC帧是依据该MAC帧中的目的MAC地址来识别的,即除了同一链路上将网卡置为混杂模式的主机外,只有当某台主机的MAC地址和链路中传输的MAC帧的目的MAC地址相同时,该主机才会接收这个MAC帧并拆封为IP数据包交给上层模块处理。因此,每一台主机在发送链路层数据帧前都需要知道同一链路上接收方的MAC地址,地址解析协议ARP正是用来进行IP地址到MAC地址的转换的。ARP高速缓存通常是动态的,该缓存可以手工添加静态条目,由系统在一定的时间间隔后进行刷新,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

1.2 AR P欺骗/攻击原理

针对交换机根据目的MAC地址来决定数据包转发端口的特点,ARP欺骗的实现:假设主机C为实施ARP欺骗的攻击者,其目的是截获主机B和主机A之间的通数据,且主机C在实施ARP欺骗前已经预先知道A和B的IP地址。这时C先发送ARP包获得主机B的MAC地址,然后向B发送ARP Re ply数据包,其中源IP地址为A的IP地址,但是源MAC地址却是主机C的MAC地址。主机B收到该ARP Re ply后,将根据新的IP地址与MAC映射对更新ARP缓存。这以后当B给A发送数据包时,目标MAC地址将使用C的MAC地址,因此交换机根据C的MAC地址就将数据包转发到攻击者C所在的端口。同理,攻击者C发送ARPReply使主机A确信主机B的MAC地址为C的MAC地址。在间歇的发送虚假ARP Reply的同时,攻击者C打开本地主机的路由功能,将被劫持的数据包转发到正确的目的主机,这时攻击者对主机A和B来说是完全透明的,通信不会出现异常,但实际上数据包却被C非法截获,攻击者C成为了“中间人”。

2 ARP欺骗/攻击的分类及危害

2.1 AR P欺骗/攻击类型

1)简单欺骗攻击:这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由(网关)和目标主机,让目标主机认为这是一个合法的主机。便完成了欺骗。这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由。2)交换环境的嗅探:在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据。现在的网络多是交换环境,网络内数据的传输被锁定的特定目标。既已确定的目标通信主机。在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。3)MAC Flooding:这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信。

2.2 AR P欺骗/攻击判断方法

由于各种ARP欺骗/攻击的目的、对象和手段各不相同,要想准确判断出局域网内是否存在ARP欺骗/攻击,就必须通过多种手段,从不同侧面进行检测。

首先,观察网络表现,如果存在下列两种情况之一,则初步判断存在ARP欺骗/攻击。一是网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常;二是局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常。

其次,察看本地机器和路由器的特定信息或应用专业软件进行准确判断,常用的方法有:使用“ARP-a”命令察看本地计算机ARP表信息变化,如果发现某个IP(特别是网关)对应的MAC地址发生了变化,则可判定局域网内存在ARP欺骗/攻击;察看路由器的“系统历史记录”,如果看到“MAC Chged 10.128.103.124 MAC Old00016c36d17f MAC Ne w 00055d60c718”消息代表用户的MAC地址发生了变化,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址);三是使用ARPSniffer或ARP防火墙等专业软件进行抓包分析,具体方法可以参见相关软件的操作手册。

2.3 AR P欺骗/攻击危害

ARP欺骗的危害的表现主要有两种形式:

一是窃取信息,欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据。出现这种情况的可能原因有:木马病毒、嗅探、人为操作。

二是破坏网络,让被欺骗主机直接断网。出现这种情况的可能原因有:木马病毒、人为破坏、一些网管软件的控制功能。

3 ARP欺骗/攻击防范方法

ARP欺骗攻击的关键是要铲除ARP欺骗攻击产生的根源,

作为网络管理员,除了要做到以上八个方面外,还可以采取以下措施:一是做好基础资料的收集,如:建立正确的IP-MAC对应表,可以在发现问题是更快速地进行问题来源定位。二是如果计算机数量不是太多,建议在交换机和客户端上进行IP-MAC双向绑定,这样可使局域网免疫ARP病毒。三是定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。四是定期轮询,检查主机和交换机上的ARP缓存。如果发现IP-MAC表中出现1对多或多对一的情况,则说明网内存在ARP欺骗攻击。五是充分发挥交换机的潜力,正确配置ACL,禁止以网关IP作为源地址的ARP包通过,允许以网关MAC地址为源地址的ARP包通过,从而实现ARP欺骗攻击的防范,授篇幅限制,具体方法请参考实际交换机的配置手册。

4 结语

ARP本身不能造成多大的危害,一旦被结合利用,其危险性就不可估量了。由于ARP本身的问题,使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯。更多新技术的应用将会使ARP欺骗攻击的防范简便易行。

参考文献

局域网ARP攻击防范第8篇

随着网络通信技术的发展, 互联网协议已经发展到了IPV6版本, 在使用互联网协议的过程中, 虽然IPV4版本还有许多不完善的地方, 但在IPV6代替IPV4版本之前, IPV4仍然在互联网通信的过程中还在起着主流的作用。在IPV4版本中, ARP作为地址解析协议, 是IPV4不可剥离的一种协议, 起着它应有的作用。由于IPV4版本设计之初没有考虑到ARP协议安全性的不足之处, 随着网络技术的不断发展, ARP协议在安全上逐渐暴露出它的脆弱性, 就有人针对ARP协议的漏洞产生了欺骗性的攻击, 导致局域网上网用户的隐私泄露或上网行为受到干扰。ARP欺骗作为一种典型的欺骗类攻击手段, 它包括产生伪造ARP请求和ARP应答包。攻击主机通过发送伪造的ARP应答来更新目标主机的ARP缓存, 从而使自身获得目标主机的信任。然后再实施有效攻击或非法监听网络数据包, 造成目标主机被攻破或机密信息泄露等一系列灾难性后果。

ARP协议在IPV4的作用

ARP是Address Resolution Protocol的英文缩写, 是地址解析协议的意思, 而所谓“地址解析”就是将主机在发送信息前将目标主机的IP地址转换成目标MAC地址, 保证通信的顺畅。

在IPV4版本的局域网中, 一个局域网构成是由许多主机连接而组成的, 这些主机在出厂时每块网卡都已有了唯一的MAC地址。而网络传输信息主要是以“帧”的方式传输, 帧里含有目标主机的MAC地址。如果一台主机要和另一台主机要进行通信, 就必须要知道目标主机的MAC地址, 要获得MAC地址就必须通过地址解析协议获得。怎样能够快速而又准确的记住每台主机上的MAC地址与IP地址的对应关系呢?这就需要ARP缓存表来进行记录。例如, 在局域网中有A、B两台主机通过交换机相连接, 当A主机需要向B主机的IP发送数据时, A主机需要先查看本机的ARP缓存表里是否存在目标主机的IP地址和对应的MAC地址, 如果存在就直接发送。如果不存在, A主机就向整个局域网发送广播, 请求使用这个IP地址的主机进行响应, 这时, B主机收到广播信息后就会向A主机返回一个响应信息, 将自己的IP地址对应的MAC地址告知给A主机, 当A主机收到B主机返回的对应信息后, 就将这个IP地址和MAC地址记录在ARP缓存表中, 当以后再需要发送信息, 就可以直接从ARP缓存表中查找并发送。

从上述可以看出, 在局域网中, 各主机之间进行通信时, 表面上看是通过IP地址相互识别, 但实质上最终都需要MAC地址, 而这正是ARP协议所能做到的, 所以ARP协议在局域网的通信中是不可或缺的。我们在windows操作系统的“命令提示符”窗口中输入ARP–a可以查看本机的ARP缓存表的信息, 如图1所示。

ARP存在的隐患

IPV4版本的局域网里, 每台主机都会每隔一定的时间或接到应答时, 都会再次更新自己的ARP缓存记录表。由于ARP是一个无状态的协议, 所以对于大多数操作系统, 如果每接到一个请求/应答, ARP不管自己是否在此之前曾经发出请求, 都会重更新本地的ARP缓存记录表, 如果有人发送一个自己伪造的ARP请求/应答, 就有可能为系统安全留下隐患。

ARP攻击原理

ARP攻击主要有两种类型:ARP请求风暴和ARP欺骗。

ARP请求暴

ARP请求风暴主要表现在在局域网里不断的发送请求/应答广播包, 几乎是对在同一段网的所有主机进行扫描, 不断的发送请求/应答, 这样的广播包会占用大量的网络带宽资源, 导致正常的通信网速下降, 这种现象是ARP初期攻击的状况。

ARP的欺骗

假设一个网络环境里有三台主机, 分别为A主机、B主机、C主机。正常情况下三台主机都能相互之间直接进行通信。如图2所示。

当C主机向A主机发送一个自己伪装的ARP请求/应答时, 而这个请求/应答中的信息为发送方的IP地址是192.168.202.22 (B主机的IP地址) , MAC地址是C3-7A-50-43-36 (而B主机的MAC地址应该是B2-2B-24-68-26) , 而这个MAC地址是C主机的, C主机已伪装成B主机了。当A主机接收到C主机伪装的ARP请求/应答, 就会更新修改本地ARP缓存记录表, A主机就会认为这是目的B主机的IP地址和MAC地址的对应, A主机就被欺骗了。同理, C主机也向B主机发送一个自己伪装的ARP请求/应答, B主机也象A主机那样认为伪装的C主机是A主机。这样A主机与B主机相互间通信的数据全部经过了C主机, 在C主机上就可以完全知晓A主机与B主机之间通信的所有信息。这个过程就是典型的ARP欺骗。[1,2]如图3所示。

但在现实中, ARP的欺骗方法主要是伪装成网关。如图4所示。

通过上述ARP欺骗原理, 不难看出图4这个局域网里的主机要访问Internet网络必然要经过路由器, 而这个局域网的网关就是路由器, 如果C主机伪装成路由器作为局域网的网关, 那么局域网里的其它主机都必须经过C主机才能访问Internet网, 在C主机上就能窃取局域网中其他主机访问Internet网络通信的所有信息。

受ARP攻击后产生的情况

在局域网中, 受到ARP攻击后主要表现两种情况:

一种是作为中间人攻击, 欺骗主机向被欺骗的主机发送大量的ARP请求/应答包进行欺骗, 当通信双方都被欺骗成功后, 自己作为中间人的身份, 保证被欺骗的主机之间能够通过中间人正常进行通信, 在通信过程中的信息很容易被中间人窃取。

另一种欺骗是只欺骗了其中的一方主机, 如图4, C主机伪装成成局域网中的网关, 通过ARP欺骗改变其它主机的网关地址, 甚至网关地址与原有的路由器的地址都不一样, 实质上这样就造成局域网的其他主机只跟C主机通信, 而没有跟路由器 (网关) 通信, 无法通过路由器 (网关) 访问Internet。用户在上Internet网时, 是处在断网状态, 是无法上网的。

应对的防范措施

在IPV4中的局域网中ARP协议是不可或缺的协议, 为了应对有人利用ARP的漏洞进行攻击, 可以采取多种综合防范措施。

IP地址与MAC地址静态绑定

不要把网络安全信任关系建立在IP基础上或MAC基础上, 理想的关系应该是建立在IP绑定MAC的基础上。设置静态的MAC与IP的对应表, 不要让主机刷新已设置好的转换表。

在windows系统的命令字符界面用ARP命令实现本机的网关IP地址与MAC地址的静态绑定。[3]

格式为:arp–s网关的IP地址网关的MAC地址

例如:局域网中的网关的IP地址是192.168.202.1, MAC地址是00-05-3b-80-60-e8, 那么要在本机上实现静态绑定, 操作如下:

(1) 先清除ARP缓存记录表的信息

这时, 用arp–a命令可以查看ARP缓存里已没有任何记录。

(2) 绑定地址

当设置完成后, 可以用arp–a命令查看绑定的信息。

当Type下的参数显示的是static, 说明已是静态的对应关系, 即使主机的ARP缓存记录表重新刷新也不会改变这个地址的对应关系。

为了防止绑定信息在主机重启后消失, 可以将上述步骤编成一个批处理文件 (.bat) 放在windows操作系统的“开始”菜单里的“启动”项, 每次开机后都会自动加载启动项目, 地址也就实现静态绑定。

添加注册表方法

先用记事本编辑如下信息:

保存为一个.Reg文件, 然后将其导入到每个主机的注册表里。

使用防ARP欺骗攻击的软件

在用户主机上安装防ARP攻击的软件, 比如, Comodo防火墙、360安全卫生士的ARP防火墙、瑞星个人防火墙等软件都能起到一定的作用。

查找ARP攻击源

利用ARP病毒的基本原理:发送伪造的ARP欺骗广播, 中毒电脑自身伪装成网关的特性, 就可以快速锁定中毒电脑。在网络正常的时候, 使用NBTSCAN工具扫描全网段的IP地址和MAC地址, 保存下一个全网段电脑的IP-MAC地址对照表, 记录下正确网关的IP地址和MAC地址。当局域网里出现ARP攻击现象时, 通过查询IP-MAC地址对照表就可查出带病毒的主机。[4]

局域网ARP攻击防范第9篇

关键词：网络安全,ARP协议,ARP欺骗,安全防范

0 引言

ARP欺骗是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段。2007年6月初, 国家计算机病毒应急处理中心预报一种新型“地址解析协议欺骗” (简称ARP欺骗) 的恶意木马程序正在互联网络中传播。从此, ARP欺骗逐渐在校园网、小区网、企业网以及网吧等局域网中蔓延, 严重影响了正常网络通讯。

1 ARP及其工作原理

1.1 ARP概述

在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。这个目标MAC地址就是通过地址解析协议获得的。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

1.2 ARP工作原理

首先, 每台主机都会在自己的ARP缓冲区中建立一个ARP列表, 以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时, 会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址。如果有, 就直接将数据包发送到这个MAC地址;如果没有, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的MAC地址。网络中所有的主机收到这个ARP请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后, 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中, 并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包, 表示ARP查询失败。

2 ARP欺骗的原理

第一步:假设这样一个网络, 一个Hub或交换机连接了3台机器, 依次是计算机A、B、C。

第二步:正常情况下在A计算机上运行ARP-A查询ARP缓存表应该出现如下信息。

第三步:在计算机B上运行ARP欺骗程序, 来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.1.3 (C的IP地址) , MAC地址是DD-DD-DD-DD-DD-DD (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了) 。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A可不知道被伪造了) 。而且A不知道其实是从B发送过来的, A这里只有192.168.1.3 (C的IP地址) 和无效的DD-DD-DD-DD-DD-DD mac地址。

第四步:欺骗完毕我们在A计算机上运行ARP-A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

3 ARP欺骗的模拟

下面使用科来网络分析系统进行模拟。

1) 首先使用科来物理地址扫描主机IP与MAC地址;

2) 使用科来网络分析系统捕获一个ARP的响应数据包;

这里最简单的办法就是用ping命令去ping一台主机, 在科来网络分析系统系统中设置过滤器仅捕获ARP协议;

3) 把捕获到的ARP响应发送到数据包构造器并进行修改;

4) 发送该数据包。

发送前用ARP-A命令在受害者主机上看一下正确网关的IP与MAC的对应关系。然后发送数据包。发送后再用ARP-A命令在受害者主机上查看。受害者的网关的IP地址已经被映射到了黑客主机上了, 受害者主机也不能再上网。至此, 整个实验结束。

4 结论

文中通过分析ARP协议的工作原理, 探讨了ARP协议从IP地址到MAC地址解析过程中的安全性, 给出了ARP欺骗的实现过程。ARP协议自身的缺陷给网络安全, 尤其是局域网络的安全带来很大的隐患, 所以我们要高度重视。总之, 对于ARP欺骗的网络攻击, 只要掌握了它的基本原理, 就可以从多方面下手, 杜绝隐患。

参考文献

[1][美]赖利 (Riley, C.) , 等著.ISCO网络核心技术解析[M].江魁, 等译.北京:水利水电出版社, 2005.

[2]楮建立, 马雪松.局域网arp欺骗防范技术探讨[J].网络安全技术与应用, 2007.

[3]孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术, 2005 (5) :41-44.

浅论ARP攻击的原理与防范方式第10篇

关键词：ARP协议攻击防范

中图分类号：TP3文献标识码：A文章编号：1007-3973(2010)09-038-02

近年来，ARP病毒在各级各类局域网中泛滥成了一个普遍的现象，特别是些诸如QQ、网络游戏等木马盗号病毒。这些病毒使得中毒局域网中的计算机掉线，严重影响了计算机的正常使用。虽然目前各类杀毒软件对ARP病毒都能进行一定程度的查杀，但病毒的更新传播速度也快。而且杀毒软件只能有效防护PC，对网关设备几乎没有保护作用。所以我们有必要从ARP协议的原理入手，找出切实有效的防范方法。

1、ARP协议

IP地址是局域网中计算机的标识，但MAC(MadiaAccessContr01)才在数据的网络传输中起到真正的地址作用。物理地址MAC地址一般是在生产过程中由厂家录制到网卡的EPROM中，每个计算机的网卡物理地址是唯一的。

计算机I要和计算机II通信，计算机I就一定要知道目标汁算机II的MAC地址。地址解析协议ARP(Address Res．olution Protoc01)，就是通过目标计算机II的IP地址来查询它的MAC地址，从而实现通信。

2、ARP的工作原理

这里可以举例说明：计算机I(IP地址：192.168.10.1)要向计算机II(IP地址：192.168.10.2)通信，第一步就是在本机的ARP缓存表中查询计算机II的IP地址所对应的MAC地址。如果能够找到计算机II的MAC地址XX-XX-XX-XX-XX-XX，就进行通信，如果没有查询到，那么计算机I就要运行一个广播请求．目标MAC地址是FF-FF-FF-FF-FF-FF。请求IP地址为192.168.10.2的计算机II告知其IP地址所对应的MAC地址。此时与计算机I和计算机II同处一个局域网的所有计算机都能收到这个ARP请求，但只有拥有该IP地址的计算机11会向计算机I发回一个ARP响应，告知其MAC地址。计算机I收到计算机II的回复后，会把自己的ARP缓存更新．再向计算机II的MAC地址发送数据。

3、ARP的攻击原理

同样举上面的例子．根据ARP协议，发送请求的计算机I(IP地址：192.168.10.1)在收到ARP应答时都会更新自己的ARP缓存，而不是仅在发送了ARP请求后才接收。所以，当同处一个局域网的计算机III(IP地址：192.168.10.3)仿冒目标计算机II的IP，即以192.168.10.2的IP地址向发送计算机I回复一个伪造的ARP应答YY-YY-YY-YY-YY-YY，即MAC地址YY-YY-YY-YY-YY-YY是计算机III虚构的，而IP却是计算机II的IP，此时计算机I同样会更新自己的ARP缓存，并认为IP地址并来改变，仍为192.168.10.2的汁算机II的MAC地址已经更改了，由XX-XX-XX-XX-XX-XX变为YY-YY-YY-YY-YY-YY。因为局域网中数据的流通是以MAC地址为基准的，所以这个改变了计算机I ARP缓存的不存在的MAC地址YY-YY-YY-YY-YY-YY就会造成网络堵塞，致使计算机I找不到目标计算机II，形成一个简单的ARP欺骗现象。

4、ARP攻击的目的

如果某局域网中有一台计算机III被ARP病毒攻击后．它就会欺骗同属一个局域网的所有的计算机及路由器，改变它们的上网路径，由以前的通过路由器上网改为通过中毒的计算机IⅡ上网，计算机m便控制了这个局域网，可以轻易的盗取诸如密码、帐户等私人信息。

5、ARP协议的漏洞

在设计ARP协议时，认定的前提是网络是绝对安全的。这也使得ARP协议存在着明显的缺陷。

(1)任何一台计算机的IP应答到发送计算机I的ARP缓存后，计算机I都会在检验其MAC地址的真实性前自动认定其是可信的。这样会造成多个IP地址拥有同一个MAC地址，这是ARP协议的首要缺陷。

(2)任何一台计算机做的ARP应答都没有经过认定而自动确定为合法，任何一台计算机在任何时候甚至没有收到请求的时候都可以应答，并且可以应答一个随意的哪怕事实上并不存在的MAC地址，这样会造成后续的局域网通信失败或者发送延时。

(3)计算机会一直响应局域网内的所有ARP请求，而且将应答的MAC地址改写为本局域网网关的物理地址。网关本身起到转发IP地址的作用，这就会使局域网内的数据传输都要在网关转发一次，使得网关负荷大幅增加，以致崩盘。

(4)目前，大多局域网采用二层交换机，其本身有一个ARP缓存用来维护和映射MAC地址对应的端口。但这个缓存的容量是有限的，如果局域网用户大量发送ARP数据包，就会造成交换机无法正常工作，影响整个局域网的运行．甚至瘫痪。

6、ARP攻击现象

目前，以下几种现象是局域网计算机遭受ARP攻击的常见情形：

(1)局域网的链接正常，但计算机无法访问外部网络，将路由器重启后这种现象消失，但过一段时间后有重复出现相同问题。

(2)计算机用户的密码、账号等私人信息失窃。

(3)局域网内突然出现ARP广播包大量增加的情形。查询时发现大量的可疑MAC地址或根本就是错误的MAC地址，甚至有多个IP地址对应一个MAC地址的情形。局域网内通信堵塞，严重时部分网络设备都被系统视为了计算机。

除了这些现象之外，我们还可以通过检测程序来判定计算机是否被ARP病毒攻击。还是以计算机I(IP地址：192.168.10.1)和计算机II(IP地址：192.168.10.2)所在的局域网为例，输入ARP-a的命令，如果看到如下情况

Interface 192.168.10.1.....0X2

Interact Aldrcss physical Aoldrcss

192.168.10.2XX-XX-XX-XX-XX-XX

192.168.10.3 YY-YY-YY-yY-YY-YY

192.168.10.1 XX-XX-XX-XX-XX-XX

这就显示有计算机的MAC地址与网关的MAC地址相同，则能够确定此局域网受到了ARP攻击。

7、防范方式

目前ARP攻击的途径主要有三种：一是欺骗路由器的ARP缓存表，二是欺骗局域网内计算机自身的ARP缓存表，三是同时进行上述两种攻击。局域网遭到ARP攻击后，网内计算机和路由器都会向错误的MAC地址发送数据信息。

7.1ARP双绑

ARP绑定就是把计算机的MAC地址与IP地址进行绑定。前面已经说过，ARP攻击有欺骗路由器ARP缓存表和欺

骗计算机ARP缓存表两种，所以ARP绑定也有MAC地址和路由器ARP缓存表及计算机自身的ARP缓存表的绑定两种。这种双向的绑定是必不可少的。如果MAC地址只和路由器的ARP缓存表绑定而没有和计算机自身的ARP缓存表绑定的话，局域网内计算机的ARP缓存表被病毒攻击后就不会发送数据给路由器，而是发给一个病毒提供的假的MAC地址。使得路由器无法访问而造成网络瘫痪。在这里要强调一点，所谓的双向绑定事实上是要绑定三个地方，即本机的IP地址和MAC地址、网关的IP和MAC地址、客户机的IP和MAC地址。现在，常用的绑定程序就是ARP-s网关IP地址网关MAC地址。但这样设置需要在每次重启后都重新输入命令。所以下面这个批处理程序也经常使用。例如我们要绑定的网关IP为198.168.10.1，MAC地址为XX-XX-XX-XX-XX-XX，那么可运行如下批处理命令：@echo offhrp－hrp-s 192.168.10.1 XX-XX-XX-XX-XX-XX。将其拖到计算机开始程序中的启动项中即可。

7.2假网关

因为ARP攻击是通过计算机的网关进行的。所以我们可以虚构设置一条防病毒的网关路由，并将其优先级别定的很低，再设置一条路由为真正的网关，并将其优先级别定的比前面用来防病毒设置的网关高，这样也能够欺骗一般的ARP病毒。

7.3更新设备

现阶段各专业服务厂家都能提供专门防范ARP攻击的设备，用户可以选择配备。

(1)ARP路由器。该路由器专门配备有防范ARP攻击程序，能够十分有效的防止ARP病毒。但这个设备的价格比较昂贵，需要一定的资金投入

(2)IP地址服务器。可以购买一个IP地址服务器用来管理IP地址。该服务器能够接收局域网内所有计算机发出的ARP广播，当它接收到ARP报文时，会自动执行一个防护程序，从而有效的阻止ARP攻击。但这个lP地址服务器有个缺点，就是对于IP地址被盗用的问题无能为力。

(3)ARP服务器。这个服务器能够通过自身的ARP转换表来回复其它计算机发出的ARP广播报文，给ARP攻击增加难度，但ARP服务器自身也容易受到新型病毒的攻击。

(4)DAI交换机。DAI即Dynanic ARP Insptlo的简写，意思是动态ARP监测交换机。它能够动态绑定IP地址和MAC地址，其设计基础是DHCP绑定表。如果计算机没有使用DHCP服务器，则可静态添加ARP访问。DAI交换机还能够监控端口的ARP报文情况，防止ARP病毒。

7.4其它方式

除了上述两种主要的防范方式之外，下列方法也能有效防范ARP病毒攻击。

(1)及时升级局域网中的所有计算机的系统补丁程序，完善计算机自身的防范能力；

(2)注重监控局域网，及时发现感染了ARP病毒的计算机，重装系统或者进行杀毒，消除攻击源：

(3)在局域网中安装瑞星、卡巴斯基等网络防火墙软件，并及时升级，定期查杀；

(4)网络管理人员注重提高用户密码的安全性，设置密码要复杂，不宜破解，而且要定期更换，不给病毒可乘之机；

(5)谨慎处理一些不是必须的共享程序，删除一些不是必须的网络服务。

本文分析了ARP攻击的基本原理与主要的防范方式，可以有效的帮助局域网用户防范ARP病毒的攻击，但是任何事务都是发展的。ARP病毒也不例外，随着防毒程序与手段的不断提升，ARP病毒也在不断的更新与升级。它仍然攻击着防范工作不到位的局域网用户。所以，广大局域网用户要重视ARP病毒的防范工作，不要随意下载不明软件，定期升级杀毒软件，结合本文介绍的方法切实减少ARP病毒的危害。

参考文献：

[1]崔东．计算机网络基础[M]北京：高教出版社,2007

[2]郑志勇．ARP攻击原理与防御[J]．电脑迷,2007．6

[3]任侠，吕述望．ARP协议欺骗原理分析与抵御方法[J]．计算机工程,2003．9

局域网ARP攻击防范第11篇

1 ARP协议简介

ARP(Address Resolution Protocol)即地址解析协议的缩写,该协议将网络层的IP地址转换为数据链路层地址。TCP IP协议中规定,IP地址为32位,由网络号和网络内的主机号构成,每一台接入局域网或者Internet的主机都要配置一个IP地址。在以太网中,源主机和目的主机通信时,源主机不仅要知道目的主机的IP地址,还要知道目的主机的数据链路层地址,即网卡的MAC地址,同时规定MAC地址为48位。ARP协议所做的工作就是查询目的主机的IP地址所对应的MAC地址,并实现双方通信。

2 ARP协议的工作原理

源主机在传输数据前,首先要对初始数据进行封装,在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段,我们能够知道目的主机的IP地址,而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内,源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址,以及目的主机的IP地址。当该报文通过广播方式到达目的主机时,目的主机会响应该请求,并返回ARP响应报文从而源主机可以获取目的主机的地址同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内,源主机发出的IP数据包会送到交换机的默认网关,而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后,主机会在缓存中保存IP地址和MAC地址的映射条目,此后再进行数据交换时只要从缓存中读取映射条目即可。ARP协议工作原理详见图1和图2。

3 ARP病毒的症状

局域网内一旦有ARP的攻击存在,会欺骗局域网内所有主机和网关,让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网,现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包,会造成网络拥塞。

综上所述在用户方面表现为计算机有时候无法正常上网,有时候又好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;网管员会发现局域网内的ARP包爆增,使用Arp查询的时候会发现不正常的Mac地址,或者是错误的Mac地址对应,还有就是一个Mac地址对应多个IP的情况也会有出现。

在网络设备上来说由于ARP病毒机使用网关IP地址和自己的MAC地址向本网段主机广播,所以必然会在三层交换机的日志上出现IP地址冲突的记录。同时病毒机还会和所有主机冲突,造成网段内计算机出现依次瞬断,时断时续的现象出现,当然这也会在三层交换机的日志中留下相应的记录。

4 ARP欺骗攻击的实现过程

4.1 网段内的ARP欺骗攻击

ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射对,并以此更新目标主机缓存。设在同一网段的三台主机分别为A,B,C,详见表1。

假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,可以发现B的漏洞,使B暂时无法工作,然后C发送包含自己MAC地址的ARP应答给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP和MAC地址映射对,即B的IP地址10.10.100.2对应了C的MAC地址00-E0 4C-33-33-33。这样,导致A将发往B的数据包发向了C,但A和B却对此全然不知,因此C就实现对A和B的监听。

4.2 跨网段的ARP欺骗攻击

跨网段的ARP欺骗比同一网段的ARP欺骗要复杂得多,它需要把ARP欺骗与ICMP重定向攻击结合在一起。假设A和B在同一网段,C在另一网段,详见表2。

首先攻击方C修改IP包的生存时间,将其延长,以便做充足的广播。然后和上面提到的一样,寻找主机B的漏洞,攻击此漏洞,使主机B暂时无法工作。此后,攻击方C发送IP地址为B的IP地址10.10.100.2,MAC地址为C的MAC地址00-E0-4C-3333-33的ARP应答给A。A接收到应答后,更新其ARP缓存。这样,在主机A上B的IP地址就对应C的MAC地址。但是,A在发数据包给B时,仍然会在局域网内寻找10.10.100.2的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告诉主机A到10.10.100.2的最短路径不是局域网,而是路由,请主机重定向路由路径,把所有到10.10.100.2的包发给路由器。主机A在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对10.10.100.2的数据包都发给路由器。这样攻击方C就能得到来自内部网段的数据包。

5 ARP欺骗攻击安全防范策略

5.1 用户端绑定

在用户端计算机上绑定交换机网关的IP和MAC地址。

1)首先,要求用户获得交换机网关的IP地址和MAC地址,用户在DOS提示符下执行arp-a命令,具体如下:

其中10.10.100.254和00-30-6d-bc-9c-d7分别为网关的IP地址和MAC地址,因用户所在的区域、楼体和交换机不同,其对应网关的IP地址和MAC地址也不相同。

2)编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,内容如下:

用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址,填入arp-s后面即可,同时需要将这个批处理软件拖到“windows开始程序启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。

5.2 网管交换机端绑定

在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

1)IP和MAC地址的绑定。在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。具体实现方法如下(以AVAYA三层交换机为例):

2)MAC地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。具体操作如下(以AVAYA二层边缘交换机为例):

5.3 采用VLAN技术隔离端口

局域网的网络管理员可根据本单位网络的拓卜结构,具体规划出若干个VLAN,当管理员发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可利用技术手段首先查找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离,以避免对其它用户的影响。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响,从而达到安全防范的目的。

6 局域网内ARP病毒捕杀实例

某学校的局域网总是不稳定,连连出现断网的现象。网段10.218.102.129--10.218.102.254。根据局域网内计算机频繁掉线的现象,分析认为分场内的某台电脑可能中了“ARP”的病毒,于是便在局域网内展开了ARP病毒捕杀过程。

6.1 找出病毒的根源

首先登陆到核心三层交换机上,由于是星形网络,所有网关地址都集中在三层交换机上,通过查看交换机日志就可以看见IP冲突记录。ARP病毒一旦开始攻击会导致局域网中多数计算机都不能上网,当然也不能登录交换机(不在同一

VLAN),通过交换机日志远程查找病毒源是最快捷有效的方法。

通过日志可以明显看出有一个MAC地址是0050-BAA4-4B10的计算机和10.218.102网段内的计算机挨着冲突,此MAC地址应该就是病毒机的网卡地址。处理办法如下:首先打开局域网一台电脑,在客户端使用arp命令绑定网关的真实MAC地址命令如下:

Arp-d(先清除错误的ARP表)

arp s 10.218.102.254 00-e0-03-03-03-03(静态指定网关的MAC地址)

随后下载了一款名为“Anti Arp Sniffer”的工具,这是一款ARP防火墙软件,该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。此外,该软件能有效拦截ARP病毒的攻击,保障该电脑数据流向正确。使用“Anti Arp Sniffer”查找感染毒电脑时,启动该程序,随后在右侧的“网关地址”项中输入该局域网内的网关IP,随后单击“枚取MAC”这是该出现会自动获取到网关电脑网卡的MAC地址。MAC获取后单击“自动保护”按钮,这样“Anti Arp Sniffer”便开始监视通过该网关上网的所有电脑了。片刻功夫,看到系统的任务栏中的“Anti Arp Sniffer”图标上弹出一个“ARP欺骗数据包”提示信息。这就说明该软件已经侦测到ARP病毒。于是打开“Anti Arp Sniffer”程序的主窗口,在程序的“欺骗数据详细记录”列表中看到一条信息,这就是“Anti Arp Sniffer”程序捕获的ARP病毒信息。其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的的真实地址,后面的欺骗机MAC地址就是中ARP病毒的MAC地址。ARP病毒将该局域网的网关指向了这个IP地址,导致其他电脑无法上网。

6.2 获取欺骗机IP

知道MAC地址后,就可直接通过IP地址工具查看寻找IP及计算机名。

6.3 清除ARP病毒

顺藤摸瓜,通过IP地址有找到了感染病毒的电脑,首先就是将这台电脑断网,随后在该电脑上运行“ARP病毒专杀”包中的“TSC.EXE”程序,该程序运行后,自动扫描电脑中的ARP病毒,功夫不大就将该电脑上的ARP病毒清除了。

6.4 ARP病毒预防措施

对于计算机来说,预防措施是保证自己计算机正常运行的主要手段,在日常工作中我们要作到以下几个方面才能更有效的遏制病毒的蔓延,保护我们工作的正常进行。

1)及时升级客户端的操作系统和应用程式补丁;

2)安装和更新杀毒软件。

3)如果网络规模较少,尽量使用手动指定IP设置,而不是使用DHCP来分配IP地址。

4)如果交换机支持,在交换机上绑定MAC地址与IP地址。(不过这个实在不是好主意)

5)网络管理员定期对网络设备进行巡检,对与日志中的IP冲突记录要多加注意。

6)在路由器上做IP地址与MAC地址的静态绑定。

7)最主要是要提高用户的安全意识,养成良好的安全习惯,包括:及时安装系统补丁程序;为系统设置强壮的密码;安装防火墙;安装有效的杀毒软件并及时升级病毒库;不主动进行网络攻击,不随便运行不受信任的软件。

7 结束语

网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者带来了严峻的考验。ARP欺骗是一种典型的欺骗攻击类型,它利用了ARP协议存在的安全隐患,并使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理,探讨了ARP协议从IP地址到MAC地址解析过程中的安全性,给出了网段内和跨网段ARP欺骗的实现过程,提出了几种常规可行的解决方案,如在用户计算机上绑定交换机网关的IP地址和MAC地址、在交换机上绑定用户主机的IP地址和网卡的MAC地址或绑定用户计算机网卡的MAC地址和交换机端口、VLAN隔离等技术。如果多种方案配合使用,就可以最大限度的杜绝ARP欺骗攻击的出现。总之,对ARP欺骗的网络攻击,不仅需要用户自身做好防范工作之外,更需要网络管理员应该时刻保持高度警惕,并不断跟踪防范欺骗类攻击的最新技术,做到防范于未然。

摘要：介绍ARP地址解析协议的含义和工作原理,分析ARP协议所存在的安全漏洞,给出了网段内和跨网段ARP欺骗的实现过程。结合网络管理的实际工作,重点介绍了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等几种技术能够有效防御ARP欺骗攻击的安全防范策略,并通过实验验证了该安全策略的有效性。

关键词：ARP协议,ARP欺骗,MAC地址,IP地址,网络安全

参考文献

[1]邓清华,陈松乔.ARP欺骗攻击及其防范[J].微机发展,2004,14(8):126-128.

[2]孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术,2005,(5):41-44.

[3]徐功文,陈曙,时研会.ARP协议攻击原理及其防范措施[J].网络与信息安全,2005,(1):4-6.

[4]张海燕.ARP漏洞及其防范技术[J].网络安全,2005,(4):40～42.