ARP攻击原理与防御措施

来源:用户上传      作者:

　　摘要：当前网络与生活工作息息相关，通畅的网络环境给广大用户单位提供了良好的运行环境。但是由于网络病毒的肆意攻击，给网络用户带来巨大的危害。而网络安全中的ARP安全问题尤其困扰着普通用户的生活和工作，本文结合自身实际工作经验浅谈网络安全中的ARP攻击问题和防御手段。
　　关键词：网络安全;ARP攻击;ARP防御
　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2020）02-0181-02
　　0 引言
　　当前时期网络安全问题突出，ARP病毒攻击不仅会断开用户的网络，还会造成用户信息和数据的泄露。如何正确地防范ARP攻击，防止个人和单位遭受重大损失是本文主要解决的问题，本文在计算机网络协议、IP和MAC地址的基础上对ARP的工作原理和攻击方式进行分析，以及针对ARP攻击所采取的防御措施，以此来达到加强网络安全防范的目的。
　　1 ARP协议的工作原理
　　1.1 ARP协议的含义及作用
　　ARP是“address resolution protocol”的缩写，全称“地址解析协议”。在网络通信中，通信主机之间直接通过IP地址进行相互识别，而数据传输必须要依靠網卡的物理地址进行寻址。ARP的主要作用就是将IP地址转换成MAC地址，保障网络层和数据链路层之间的正常通信[1]。
　　根据国际标准化组织（ISO）和国际电报电话咨询委员会（CCITT）联合制定的开放系统互连参考模型系统（OSI）定义的功能框架，ARP协议工作在其定义的第三层网络层，而网络层要和它的下一层数据链路层进行通信必须要依靠ARP协议。
　　1.2 ARP报文格式（表1）
　　硬件类型：表示ARP协议可以在某种类型的网络上传输，其长度为2个字节，值为1的时候表示以太网地址类型。
　　上层协议类型：表示硬件地址要映射的协议地址类型，其长度为2个字节，值为0x800表示映射的是IP协议。
　　MAC地址长度：表示MAC地址的长度，其长度为1个字节，ARP协议中此值为6。
　　IP地址长度：表示IP地址的长度，其长度为1个字节，ARP协议中此值为4。
　　操作类型：表示本次ARP报文类型，其长度为2个字节，值为1时表示ARP请求报文，值为2时表示ARP应答报文。
　　源MAC地址：表示发送设备的MAC地址，其长度为6个字节。
　　源IP地址：表示发送设备的IP地址，其长度为4个字节。
　　目的MAC地址：表示接收设备的MAC地址，其长度为6个字节。
　　目的IP地址：表示接收设备的IP地址，其长度为4个字节。
　　1.3 ARP地址映射表
　　硬件设备正常使用ARP协议工作离不开设备中的ARP映射表，ARP映射表中是IP和MAC地址的一一对应关系。表1中可以看到ARP协议的工作离不开IP地址和MAC地址，图1中可以看到每个IP地址对应一个MAC地址，设备通过ARP协议解析把数据交付给目标MAC设备，本机随之更新ARP映射表，增加目标设备的IP和MAC记录，用于后续同一设备的数据帧的转发。
　　2 ARP协议的攻击原理
　　ARP映射表更新方式：ARP映射表设计之初遵循的工作方式就是“后到优先”原则，即动态的ARP映射都是以最新的地址映射表唯一。
　　ARP欺骗过程：以图2中PC3为ARP病毒宿主机为例，当PC1和PC2通信开始之前，PC1发送ARP请求包，请求包经过交换机进行广播之后分别到达PC2和PC3。PC2和PC3同时向PC1返回ARP应答包。PC2的应答包地址映射为IP2-MAC2，而此时中了ARP病毒的PC3的应答包地址映射却为IP2-MAC3， PC2的IP地址被PC3伪造，并且发送大量的应答包覆盖PC2的数据包，PC1在本地ARP映射表中记录映射地址为IP2-MAC3。PC3截断所有去向PC2的数据包，达到ARP攻击的目的。反之，PC3同样攻击PC1，造成PC1和PC2之间的通信全部经过PC3。PC3通过丢弃收到的数据包达到断网的目的[2]。
　　ARP攻击方式：一是网关伪造攻击。PC3发送伪造的内部网关的ARP报文，欺骗同网段内的PC1和PC2。PC1和PC2一旦访问网关，所有的数据流量被重定向到PC3的MAC3地址，导致PC1和PC2无法访问局域网外部网络。二是网关欺骗攻击。PC3虚假伪造的ARP报文欺骗内部网关。网关和PC1、PC2通信时，发给用户的所有数据流量全部重定向到PC3的MAC3地址，导致PC1和PC2无法访问局域网外部网络。三是用户欺骗攻击。PC1和PC2请求通信时，PC3伪造虚假的ARP报文欺骗PC1，PC1所有的数据重新定向到PC3的MAC3地址，PC3可以监控、拦截甚至篡改数据，导致PC2数据泄露、断网风险。反之，PC3可以同样伪造虚假的ARP报文欺骗PC2。四是ARP泛洪攻击。PC3伪造大量不同的ARP报文在次网段内进行广播，导致PC1和PC2的ARP映射表项被占满，无法及时正常地学习更新本身地址映射表，从而导致PC1和PC2无法访问局域网外部网络。
　　3 ARP攻击防御措施
　　网络安全设备防御：开启ARP防火墙功能，配置ARP安全防护策略，ARP防火墙能够及时拦截虚假ARP数据包并且主动通告网关本机正确的MAC地址，从而保证数据定向正确，保证数据安全、网络畅通[3]。
　　网络传输设备防御：一是针对网关防御，进行ARP绑定，防御网关被欺骗;同时采取ARP报文数量限制策略，防御ARP泛洪攻击。二是接入设备防御，进行对终端的IP和MAC进行绑定，防过滤伪造网关报文[4]。三是采用VLAN隔离技术，VLAN隔离技术可以最大限度的减小ARP攻击造成的危害，实现快速缩小查找ARP攻击范围和解决攻击的难题。 　　用戶客户端防御：一是安装杀毒软件，开启防护功能，市场主流的杀毒软件可以有效地控制ARP病毒的攻击。二是配置静态网关地址，可以有效的抵制网络抵制的欺骗，为终端的网络通常提供有效的保障。三是绑定网关地址，使用ARP-S命令可以绑定网关地址，有效防御ARP攻击。
　　4 结语
　　综上所述，通过对ARP协议的工作原理阐述以及ARP攻击方式的分析，采取合理可行的防御对策，以此达到针对ARP攻击的有效防御目的，确保网络运行通畅，数据信息安全、保密。
　　参考文献
　　[1] 何显文.基于ARP协议的网络欺骗与防范[J].通化师范学院学报，2011（06）：22-24.
　　[2] 郑森森.基于ARP欺骗的数据截获与高速转发技术研究[D].成都：四川师范大学，2015.
　　[3] 温卓然.ARP防御系统的设计与实现[D].北京：北京邮电大学，2009.
　　[4] 于夫.ARP病毒在局域网中的防治研究[J].网络安全技术与应用，2014（06）：173-175.
　　ARP Attack Principle and Defense Measures
　　WANG Yong-sheng
　　（Naval Petty Officer school， Bengbu  Anhui  233012）
　　Abstract：At present， the network is closely related to life and work， and the smooth network environment provides a good running environment for the majority of users. But because of the network virus's wanton attack， brings the huge harm to the network user. The ARP security problem in network security especially perplexes the ordinary user's life and the work， this article unifies own actual work experience to talk about the ARP attack problem and the defense means in network security.
　　Key words：network security;ARP attack;ARP defense
转载注明来源:https://www.xzbu.com/8/view-15192162.htm