掌握ARP协议防范ARP攻击
开篇:润墨网以专业的文秘视角,为您筛选了一篇掌握ARP协议防范ARP攻击范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要: ARP协议是IPV4网络中不可或缺的重要组成部分,由于设计初没有太多考虑到网络安全因素,使得ARP协议的工作原理成为以太网的安全隐患,黑客根据ARP原理的缺陷设计ARP病毒,病毒在互联网络迅速扩散后成为全球以太局域网故障的重要原因之一,作为网管人员掌握arp协议设计原理,才能成功防范arp攻击。
关键词: ARP协议;ARP攻击;ARP防范;以太局域网故障
计算机网络是人类最伟大发明之一,网络给人们带来便利,创造了价值,提高了效率,提供了快乐。不知不觉中, 我们的工作生活中已离不开网络。网络可以让你我随心所欲地浏览全世界的资讯新闻,快捷地收发邮件信息,与远在千里之外的人分享资源,坐在家里买卖商品,使地球村成为可能,这些都已经成为了很多人生活的一部分。但人们在发明计算机网络之初,只是考虑到了网络的互联互通,极少考虑其安全性。ARP是IPV4局域网中非常重要的协议,没有它,IPV4网络就无法正常工作,但很多安全问题又因它而起。笔者就对ARP协议做一些介绍,提出常用的ARP病毒的防范方法,希望能为从事网管人员提供帮助。
1 ARP协议
为了工作需要,很多企业、政府、事业单位等都会建立自己的内部局域网,在这种网络中有两种地址,一种是IP地址,它是由网络服务系统分配的或是手工指定的,可以改变,工作于OSI参考模型的网络层;另一种是MAC地址,也称为网卡地址,是生产厂家出厂时就设置好的,不可改变,工作于OSI参考模型的数据链路层。局域网中的每一台计算机都具有这两种地址。
按照OSI封装、解封装的工作过程,必须实现这两种地址之间的转换,这中间需要用到ARP以及RARP协议。
ARP协议,又称为地址解析协议,全称是(Address Resolution Protocol),属于TCP/IP协议族,主要作用是网络地址转换。
在局域网中,当一台主机把以太网数据帧发送到另一台主机时,是根据48bit以太网地址来确定目的接口的。网络中实际传输的每一帧里包含有目标主机的介质访问控制子层MAC(Media Access Control)地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。而MAC地址可以通过地址解析协议获得。所谓地址解析就是在IP地址和采用不同网络技术的硬件地址之间提供的动态映射。ARP协议就是从IP数据包中用来获取目的主机的MAC地址。
另外一个协议是反向地址解析协议RARP(Reverse Address Resolution Protocol,RARP),其作用是将MAC地址转换为IP地址。
2 ARP缓存表
为了提高通信效率,网络上每台主机都有一个ARP缓存表,这也是ARP高效运行的关键所在。缓存表中存放了最近的Internet地址到硬件地址之间的映射记录。用户可以使用arp-a命令查看本机ARP缓存内容。以主机A向主机B发送数据为例,当发送数据时,主机A会在本机的ARP缓存表中寻找是否有目标IP地址。如寻找到,将目标主机MAC地址写入以太网帧首部加入到输出队列等候发送;否则,主机A就会在网络上发送一个ARP请求广播,询问同一网段内主机B的MAC地址。网络上其他主机并不响应该ARP询问,只有主机B的ARP层收到这份报文后,才会向主机A发送一个ARP应答,告知其MAC地址。
此时,主机A将获得主机B的MAC地址,就可以向主机B发送信息。在发送信息的同时更新本机的ARP缓存表,以便下次再向主机B发送信息时,直接从ARP缓存表里查找。每台在第一次登录网络建立网络连接时,都要发送ARP广播包;如果要访问的主机的IP地址和MAC地址在本机ARP缓存表中不存在,也将向网络发送ARP请求。由此可以根据每个用户的既定访问权限信息对主机的ARP缓存表作相应改变,从而达到访问控制的目的。
但考虑到网络的实时变化,ARP高速缓存中的记录不是一承不变的,而是是动态变化的,每当发送一个指定地点的数据报且高速缓存中不存在当前项目时,ARP便会自动添加当前项目。ARP缓存采用老化机制,在一段时间内如果表中的某一行没有被使用,该行就会被删除,如此可以大大缩小ARP缓存表的长度,加快查询速度。因此,访问控制要求所进行的ARP缓存改变必须进行定时刷新,从而适应ARP缓存老化机制。
3 ARP攻击
在网络中,当信息进行传播的时候,ARP病毒可以根据以太网工作原理截获或者捕获,从而进行分析处理,称之为网络监听。网络监听在网络中的任何一个位置模式下都可实施。这一过程用户可使用协议抓包分析软件即可实现网络监听模拟。
1)信息发送。以太网网协议的工作方式是将要发送的数据报发往连接在一起的所有主机。包头中包括有应该接收数据报的主机的正确地址。要发送的数据报必须从TCP/IP协议的IP层交给数据链路层,在这个过程中,采用ARP将网络地址翻译成48bit的MAC地址。
2)信息接收。以太网中填写了物理地址的数据帧经网卡发送到物理线路上。当使用集线器的时候,发送出去的信号到达集线器,由集线器再转发到相连接的每一条线路。当数字信号到达一台主机的网络接口时,正常状态下,网络接口对读入数据帧进行检查,决定是否将数据帧交给IP层软件。但是,当主机工作在监听模式下时,所有的数据帧都将被交给上层协议软件处理。以太网卡典型地具有一个混合模式(Promiscuous)
选项,能够关掉过滤功能而查看经过它的所有数据报。这个混合模式选项恰好被数据报监测程序利用来实现它们的监听功能。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过ARP欺骗手段截获所在网
络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
通过数据报截获分析,系统探测到非法主机登录网络或者试图访问,系统将根据合法主机IP信息,构造虚假MAC地址,使用特定线程对非法主机进行持续欺骗。根据实际运行情况,考虑到网络负担以及系统性能,欺骗信息连续发送时间可为2~5min,每轮间隔为10~20s。
4 ARP攻击防范
4.1 双向绑定
一般来说,在小规模网络中,大家比较推荐使用双向绑定,也就是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。
4.2 ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,但也会有问题,如,它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。
4.3 VLAN和交换机端口绑定
通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。做法是细致地划分VLAN,减小广播域范围,使ARP在小范围内起作用,而不至于发生大面积故障。同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。也就是说,把ARP攻击中被截获数据的风险解除了。这种方法也能起到一定的作用。
当了解ARP的原理后,防范ARP攻击也并非难事,目前网络设备的IOS系统大多都已集成ARP防攻击的功能,除此之外用户端主机也可以通过软件防火墙设置来防止ARP攻击,总之勤杀毒,多途径防范,才能尽可能防止ARP攻击,减少网络故障发生。
参考文献:
[1]吴红伟,浅析ARP协议工作原理及ARP病毒的预防[J].商情,2012,20:209-209.
[2]黎兆武,论局域网ARP攻击及防御[J].软件导刊,2012,11:119-120.