爱华网1.ARP协议简介 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。它是通过地址解析协议(AddressResolution Protoco,l ARP)获得的。ARP协议是一个网络层子协议,它用于将网络中的IP地址解析为硬件地址(MAC地址),以保证通信的顺利进行。 2.ARP协议的工作原理 在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表1所示。 表1 IP地址与MAC地址对照表 以主机H(192. 168. 1. 5)向主机A(192. 168. 1.1)发送数据为例。当发送数据时,主机H会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机H就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:192. 168. 1. 1的MAC地址是什么。网络上其他主机并不响应ARP询问,只有主机A接收到这个帧时,才向主机H做出这样的回应: 192. 168. 1. 1的MAC地址是00-aa-00-62-c6-09。这样,主机H就知道了主机A的MAC地址,它就可以向主机A发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机A发送信息时,直接从ARP缓存表里查找就可以了。
ARP协议安全缺陷。在TCP/IP协议的网络环境下, ARP工作时,送出一个含有所希望的IP地址的以太网广播数据报。一个IP数据报走到哪里,要怎么走主要是靠路由表定义。但是,当IP数据包到达该网络后,哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别。也就是说,只有机器的硬件MAC地址和该IP包中的硬MAC地址相同的机器才会应答这个IP包,所以,在每台主机的内存中,都有一个ARP→硬件MAC地址的转换表。通常是动态的转换表(该ARP表可以手工添加静态条目)。 ARP欺骗原理。典型的ARP欺骗过程如下: 假设局域网分别有IP地址为192.168.1.1、192.168.1.2和192.168.1.3的A、B、C三台主机,假如A和C之间正在进行通讯,此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB,当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中为发送方IP地址192.168.1.1(A的IP地址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存,这时B又伪装成了A。这时主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B,主机B完全劫持目标主机与其他主机的会话。 ARP欺骗一般分为两种:主机型ARP欺骗。欺骗过程:A欺骗B,A告诉B,我(A)就是C,当然告诉的是真IP地址和假MAC地址,使B不能与C连接。若C是网关,B就不能上外网Internet了。 网关型ARP欺骗。欺骗过程:B充当中间人角色向两个方向发送ARP欺骗包,使A的上网数据包经过B再到C,又使C的返回数据经过B再到A,卡在中间,以达到窃取数据的目的。B发送ARP欺骗包给A,B告诉A,我(B)就是网关;同时,B又发送ARP欺骗包给真正的网关C,告诉真正的网关C,我(B)就是A,这样B就欺骗了双方,接着B通过劫持A和C之间的通信会话,就可以窃听数据了。 从影响网络连接通畅的方式来看,ARP欺骗分为两种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 3.ARP欺骗防范措施 建立DHCP服务器,另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的或手工清除PC和网关ARP表项,从新学习正确的ARP信息。ARP欺骗发生后的PC和网关设备的ARP表被篡改了,这样我们可以通过手工方式来清除ARP表项,然后让双方重新学习。 主机:arp–d 网关:clear arp。 建立MAC数据库,把局域网内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案,PC机上静态绑定网关MAC地址,防止对主机的欺骗。在主机上可以使用静态的ARP绑定网关的IP地址和网关的MAC地址,比如在PC机上配置autoexec.bat批处理文件:[email protected] off arp–d arp–s主机ip地址主机mac地址//mac地址格式为xx-xx- xx-xx-xx-xx。 网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使ARP欺骗攻击网关的话,对网关也是没有用的,因此可以确保主机安全。网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下: 192. 168. 2. 32 08: 00: 4E:B0: 24: 47然后在/etcrc. d/rc. local最后添加: arp -f生效即可。 网关监听网络安全。网关上面使用抓包程序截取每个ARP程序包,用脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配,或者ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道哪台机器在发起攻击了。 使用支持端口隔离的二层交换机。通过端口隔离特性,可以将不同用户的端口划分到同一个VLAN,不同用户之间不能互通,从而增强了网络的安全性,阻止了ARP病毒源的机器对网络的影响,提供了灵活的组网方案,同时节省了大量的VLAN资源。 安装杀毒软件,及时升级病毒库,定期全网杀毒。 参考文献: [1]陈 明.网络协议教程[M].北京:清华大学出版社, 2004 [2]杨义先等.网络安全理论与技术[M].北京:人民邮电出版社2003 [3]龚 俭,杨 望.计算机网络安全导论(第二版)[M].南京:东南大学版社, 2007
