安全之道:掌握ARP協(xié)議 防范ARP攻擊(2)

在網(wǎng)絡中，當信息進行傳播的時候，通過某種方式將其截獲或者捕獲，從而進行分析處理，稱之為網(wǎng)絡監(jiān)聽。網(wǎng)絡監(jiān)聽在網(wǎng)絡中的任何一個位置模式下都可實施。用戶只需要一個協(xié)議分析軟件即可實現(xiàn)。

1)信息發(fā)送。Ethernet網(wǎng)協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)報發(fā)往連接在一起的所有主機。包頭中包括有應該接收數(shù)據(jù)報的主機的正確地址。要發(fā)送的數(shù)據(jù)報必須從TCP/IP協(xié)議的IP層交給數(shù)據(jù)鏈路層，在這個過程中，采用ARP將網(wǎng)絡地址翻譯成48bit的MAC地址。

2)信息接收。Ethernet中填寫了物理地址的幀經(jīng)網(wǎng)卡發(fā)送到物理線路上。當使用集線器的時候，發(fā)送出去的信號到達集線器，由集線器再轉(zhuǎn)發(fā)到相連接的每一條線路。當數(shù)字信號到達一臺主機的網(wǎng)絡接口時，正常狀態(tài)下，網(wǎng)絡接口對讀入數(shù)據(jù)幀進行檢查，決定是否將數(shù)據(jù)幀交給IP層軟件。但是，當主機工作在監(jiān)聽模式下時，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。以太網(wǎng)卡典型地具有一個“混合模式(Promiscuous)”選項，能夠關掉過濾功能而查看經(jīng)過它的所有數(shù)據(jù)報。這個混合模式選項恰好被數(shù)據(jù)報監(jiān)測程序利用來實現(xiàn)它們的監(jiān)聽功能。

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。

通過數(shù)據(jù)報截獲分析，系統(tǒng)探測到非法主機登錄網(wǎng)絡或者試圖訪問，系統(tǒng)將根據(jù)合法主機IP信息，構(gòu)造虛假MAC地址，使用特定線程對非法主機進行持續(xù)欺騙。根據(jù)實際運行情況，考慮到網(wǎng)絡負擔以及系統(tǒng)性能，欺騙信息連續(xù)發(fā)送時間可為2～5min，每輪間隔為10～20s。系統(tǒng)運行所得結(jié)果如下圖所示：

▲被攻擊后的ARP緩存表

ARP攻擊防范：

1、雙向綁定：

一般來說，在小規(guī)模網(wǎng)絡中，大家比較推薦使用雙向綁定，也就是在路由器和終端上都進行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，偽造網(wǎng)關和截獲數(shù)據(jù)，都具有約束的作用。這是從ARP欺騙原理上進行的防范措施，也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。

2、ARP個人防火墻：

在一些殺毒軟件中加入了ARP個人防火墻的功能，它是通過在終端電腦上對網(wǎng)關進行綁定，保證不受網(wǎng)絡中假網(wǎng)關的影響，從而保護自身數(shù)據(jù)不被竊取的措施。ARP防火墻使用范圍很廣，但也會有問題，如，它不能保證綁定的網(wǎng)關一定是正確的。如果一個網(wǎng)絡中已經(jīng)發(fā)生了ARP欺騙，有人在偽造網(wǎng)關，那么，ARP個人防火墻上來就會綁定這個錯誤的網(wǎng)關，這是具有極大風險的。

3、VLAN和交換機端口綁定：

通過劃分VLAN和交換機端口綁定，以圖防范ARP，也是常用的防范方法。做法是細致地劃分VLAN，減小廣播域的范圍，使ARP在小范圍內(nèi)起作用，而不至于發(fā)生大面積影響。同時，一些網(wǎng)管交換機具有MAC地址學習的功能，學習完成后，再關閉這個功能，就可以把對應的MAC和端口進行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中被截獲數(shù)據(jù)的風險解除了。這種方法也能起到一定的作用。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]