安全之道:掌握ARP协议 防范ARP攻击(2)

在网络中，当信息进行传播的时候，通过某种方式将其截获或者捕获，从而进行分析处理，称之为网络监听。网络监听在网络中的任何一个位置模式下都可实施。用户只需要一个协议分析软件即可实现。

1)信息发送。Ethernet网协议的工作方式是将要发送的数据报发往连接在一起的所有主机。包头中包括有应该接收数据报的主机的正确地址。要发送的数据报必须从TCP/IP协议的IP层交给数据链路层，在这个过程中，采用ARP将网络地址翻译成48bit的MAC地址。

2)信息接收。Ethernet中填写了物理地址的帧经网卡发送到物理线路上。当使用集线器的时候，发送出去的信号到达集线器，由集线器再转发到相连接的每一条线路。当数字信号到达一台主机的网络接口时，正常状态下，网络接口对读入数据帧进行检查，决定是否将数据帧交给IP层软件。但是，当主机工作在监听模式下时，所有的数据帧都将被交给上层协议软件处理。以太网卡典型地具有一个“混合模式(Promiscuous)”选项，能够关掉过滤功能而查看经过它的所有数据报。这个混合模式选项恰好被数据报监测程序利用来实现它们的监听功能。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

通过数据报截获分析，系统探测到非法主机登录网络或者试图访问，系统将根据合法主机IP信息，构造虚假MAC地址，使用特定线程对非法主机进行持续欺骗。根据实际运行情况，考虑到网络负担以及系统性能，欺骗信息连续发送时间可为2～5min，每轮间隔为10～20s。系统运行所得结果如下图所示：

▲被攻击后的ARP缓存表

ARP攻击防范：

1、双向绑定：

一般来说，在小规模网络中，大家比较推荐使用双向绑定，也就是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。

2、ARP个人防火墙：

在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，但也会有问题，如，它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。

3、VLAN和交换机端口绑定：

通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。这种方法也能起到一定的作用。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]