您好, 访客   登录/注册

企业局域网防范ARP欺骗的解决方案

来源:用户上传      作者: 郭籽蔚

  摘要:结合笔者本人多年的网络、计算机管理及维护经验,介绍了个人用户如何利用计算机操作系统自带工具简单快速的防御ARP欺骗攻击;单位网管如何使用ARP防御软件实现单位内部ARP欺骗的统一防范。
  关键词:ARP欺骗;ARP防御;ARP防御软件
  中图分类号:TP393.1文献标识码:A
  1 ARP协议概述
  1.1 ARP协议简介
  ARP(Address Resolution Protocol)地址解析协议用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。
  ARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址)来确定接口的,而不是根据32位的IP地址。内核(如驱动)必须知道目的端的硬件地址才能发送数据。当然,点对点的连接是不需要ARP协议的。
  1.2 ARP协议的缺陷
  ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARP reply),都会接受并缓存。
  2 ARP欺骗的攻击过程
  假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
  A的地址为:IP:192.168.100.1MAC: AA-AA-AA-AA-AA-AA
  B的地址为:IP:192.168.100.2MAC: BB-BB-BB-BB-BB-BB
  C的地址为:IP:192.168.100.3MAC: CC-CC-CC-CC-CC-CC
  正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么。这就是典型的ARP欺骗过程。
  注意:一般情况下,ARP欺骗的某一方应该是网关。
  ARP欺骗存在两种情况:第一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;第二种是欺骗者伪装成网关只欺骗了其中一方,导致被欺骗主机直接断网。
  笔者所在公司发生的ARP欺骗攻击大多是第二种情况。
  3ARP欺骗的解决方法:
  3.1ARP欺骗发生时的现象:
  被攻击网段内的所有计算机,网络5-10分钟中断1次,然后过段时候又恢复;如果马上改IP地址,则又恢复正常通信。
  3.2ARP欺骗解决方法:
  3.2.1利用计算机操作系统自带工具:
  在“开始”“程序”“附件”菜单下调出“命令提示符”。输入并执行以下命令:
  Arp -d (清除本机的arp缓存表)
  Arp -s 00-21-5e-c4-4d-5c 192.168.1.254(绑定网关的IP地址和正确的物理地址)
  因为每次重启计算机的时候,ARP缓存信息都会被全部清除。所以将这两条命令做成一个批处理文件,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰了。
  3.2.2利用ARP防御软件:
  现在市场上的ARP防御软件有很多,笔者使用的是一款名为“arp防火墙”的软件,该软件不仅可以拦截arp攻击,还可以定位arp攻击源。可以用来统一管理单位所有的计算机。
  3.3.3利用交换机绑定IP地址和MAC地址:
  现在的交换机都有IP地址和MAC地址的绑定功能。笔者所在公司使用的是思科系列交换机。具体配置命令如下:
  Route(config)#arp192.168.1.111 0024.5b
  3d.63ed arpa
  此方法还可以防止IP地址的非法使用。
  这种方式的缺点是初期数据录入工作量大,如果终端计算机太多或者更换频繁,那么网管员将会不堪重负。所以这种方法一般用来绑定重要的服务器。
  以上三种方法,建议普通用户选择使用防御软件,网管可以将防御软件和交换机绑定相结合来管理整个单位的网络。
  4结语
  ARP欺骗攻击利用了ARP协议的漏洞,作为一种底层协议攻击,从根源上无法彻底解决。只能从防御上着手,大力普及计算机知识,提高终端用户的防范意识和计算机使用能力,才能从根本上减少攻击源。
  参考文献
  [1]许颖梅.局域网中ARP欺骗及防范[J].科技经济市场,2007-07-15.


转载注明来源:https://www.xzbu.com/8/view-1069998.htm