【摘 要】arp协议存在很多漏洞,arp地址欺骗将会给局域网的安全带来很多威胁。利用命令行法、工具软件法或sniffer抓包嗅探法可定位arp地址欺骗攻击者。使用静态的ip-mac地址解析、arp服务器或第三层交换技术等方法可防御arp地址欺骗的攻击。
【关键词】arp协议arp地址欺骗
arp,全称address resolution protocol,它是“地址解析协议的缩写。mac地址是固化在网卡上串行eeprom中的物理地址,是由48比特长(6字节),16进制的数字组成,0~23位是由厂家自己分配,24~47位叫做组织唯一标志符,是识别lan(局域网)节点的标识。
一、arp地址欺骗攻击者的定位
利用arp协议的漏洞,攻击者对整个局域网的安全造成威胁,那么,怎样才能快速检测并定位出局域网中的哪些机器在进行arp地址欺骗攻击呢?面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实,我们只要利用arp病毒的基本原理:发送伪造的arp欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的ip地址和mac地址,并且实时监控来自全网的arp数据包,当发现有某个arp数据包广播,其ip地址是正确网关的ip地址,但是其mac地址竟然是其他电脑的mac地址的时候,这时,无疑是发生了arp欺骗。对此可疑mac地址报警,再根据网络正常时候的ip一mac地址对照表查询该电脑,定位出其ip地址,这样就定位出攻击者了。
下面再介绍几种不同的检测arp地址欺骗攻击的方法。
1.命令行法
在cmd命令提示窗口中利用系统自带的arp命令即可完成。当局域网中发生arp欺骗的时候,攻击者会向全网不停地发送arp欺骗广播,这时局域网中的其他电脑就会动态更新自身的arp缓存表,将网关的mac地址记录成攻击者本身的mac地址,此时,我们只要在其受影响的电脑中使用“arp -a”命令查询一下当前网关的mac地址,就可知道攻击者的mac地址。我们输入“arp -a',命令后的返回信息如下:
internet address 00-50-56-e6-49-56 physical address type 192.168.0. dynamic。
由于当前电脑的arp表是错误的记录,因此,该mac地址不是真正网关的mac地址,而是攻击者的mac地址。这时,再根据网络正常时,全网的ip-ma c地址对照表,查找攻击者的ip地址就可以了[4]。由此可见,在网络正常的时候,保存一个全网电脑的ip-ma c地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的ip地址和mac地址,保存下来,以备后用。
2.工具软件法
现在网上有很多arp病毒定位工具,其中做得较好的是anti arp sniffer(现在已更名为arp防火墙)。利用此类软件,我们可以轻松地找到arp攻击者的mac地址。然后,我们再根据欺骗机的mac地址,对比查找全网的ip-ma c地址对照表,即可快速定位出攻击者。
r抓包嗅探法
当局域网中有arp地址欺骗时,往往伴随着大量的arp欺骗广播数据包,这时,流量检测机制应该能够很好地检测出网络的异常举动,利用ethereal之类的抓包工具找出大量发送arp广播包的机器,这基本上就可以当作攻击者进行处理。
以上3种方法有时需要结合使用,互相印证,这样可以快速、准确地将arp地址欺骗攻击者找出来。找到攻击者后,即可利用杀毒软件或手动将攻击程序删除。
二、arp地址欺骗攻击的防御及其解决办法
1.使用静态的i p-mac地址解析
针对arp地址欺骗攻击的网络特性,我们可以使用静态的ip-ma c地址解析,主机的ip-ma c地址映射表由手工维护,输人后不再动态更新。即便网络中有arp攻击者在发送欺骗的arp数据包,其他电脑也不会修改自身的arp缓存表,数据包始终发送给正确的接收者。这种防御方法中常用的是“双向绑定法”。双向绑定法,顾名思义,就是要在两端绑定ip-ma c地址,其中一端是在路由器(或交换机)中,把所有pc的ip-ma c输入到一个静态表中,这叫路由器ip-ma c绑定。另一端是局域网中的每个客户机,在客户端设置网关的静态arp信息,这叫pc机ip-ma c绑定。除此之外,很多交换机和路由器厂商也推出了各自的防御arp病毒的软硬产品,如:华为的fix ar 18-6x 系列全千兆以太网路由器就可以实现局域网中的arp病毒免疫,该路由器提供mac和ip地址绑定功能,可以根据用户的配置,在特定的ip地址和mac地址之间形成关联关系。对于声称从这个ip地址发送的报文,如果其mac地址不是指定关系对中的地址,路由器将予以丢弃,这是避免ip地址假冒攻击的一种方式。
2.使用arp服务器
通过arp服务器查找自己的arp转换表来响应其他机器的arp广播,但必须确保这台arp服务器不被黑客攻击。
3.使用其他交换方式
现在,基于ip地址变换进行路由的第三层交换机逐渐被采用,第三层交换技术用的是ip路由交换协议。以往的mac地址和arp协议已经不起作用,因而arp欺骗攻击在这种交换环境下不起作用。该方法的缺点是这种交换机价格普遍比较昂贵。
出现arp地址欺骗攻击的解决办法如下:
第一步:记住网关的正确ip地址和mac地址,为以后的ip-mac绑定做准备,也方便以后查找病毒主机。网关mac的获取,一是可以向单位的网管人员询问;二是在机器正常上网时进行查询,记下网关ip地址和mac地址,方法如下:打开“命令提示符”窗口,在提示符后键入:ipconfig/al(l用此命令先查询网关的ip地址),然后再键入:arp-a(用来显示arp高速缓存中所有项目),如果并未列出网关ip地址与mac地址的对应项,那就先ping一下网关ip地址,再显示arp高速缓存内容就能看到网关的ip-mac对应项了。第二步:发现网关mac地址有冲突后,可先用arp-d命令先清除arp高速缓存的内容,然后再用arp-a命令查看网关ip-mac项目是否正确。如果病毒不断攻击网关,那就要静态绑定网关的ip-mac。例如:网关ip地址为10.1.4.254,mac地址为00-08-20-8b-68-0a,先用arp-d命令清除arp高速缓存的内容,再在命令提示符后键入:arp-s10.1.4.254 00-08-20-8b-68-0a,这样网关ip地址和mac地址就被静态绑定了。如果用户安装了瑞星防火墙,也可以通过防火墙提供的“设置-详细设置-arp静态规则”中进行静态绑定,或是在文章最开始的防火墙提示中选择正确的mac地址后点击“添加到arp静态表中”。第三步:如果病毒不断攻击网关致使网关的ip-mac的静态绑定都无法操作,那就应该先找到病毒主机,使其断网杀毒,才能保证网段内其它机器正常上网操作。
三、结束语
由于arp协议制定时间比较早,当时对这些协议的缺陷考虑不周,使得arp攻击的破坏性比较大,但其也有局限性,比如arp攻击只局限在本地网络环境中。最根本的解决措施就是使用ipv6协议,因为在ipv6协议定义了邻机发现协议(ndp),把arp纳人ndp并运行于因特网控制报文协议(icmp)上,使arp更具有一般性,包括更多的内容。
参考文献:
[1]专家解读apr病毒.http ; //security. ccidnet. com/.
[2]马军,王岩.arp协议攻击及其解决方案.信息安全,2006,22(5-3):70-77.
本文链接:http://www.qk112.com/lwfw/jsjlw/jsjwl/239958.html
