基于ARP协议的网络攻防技术实践

术交流　基于ＡＲＰ协议的网络攻防技术实践　马钺　中国人民陆军工程大学杨旭大连理工大学　摘要：ＡＥＰ协议是网络通信中的一个基础协议，但本身却存在较明显的安全缺陷。本文分析了ＡＲＰ协议的工作原理和安全隐患，总结了　几种针对ＡＥＰ协议攻击的原理，进行了模拟攻击实践，进而提出了有针对性的防护策略，以此为做好网络安全防范提供决策和思考。　关■调：网络安全ＡＥＰ攻击防护策略　１引１－｜　（３）硬件地址长度和协议地址长度分别指出硬件地址　随着计算机互联网应用的飞速发展，人们对网络越来越　和协议地址的长度，以字节为单位。对于以太网上ＩＰ地址　依赖，而网络信息安全也随之成为当今社会关注的热点问题。　的ＡＲＰ请求或应答来说，它们的值分别为６和４；　深刻了解网络攻击原理，并针对攻击手段来做好网络安全防　（４）ＯＰ（操作类型）：１表示ＡＲＰ请求，２表示ＡＲＰ　护，就显得非常重要。　应答；　常见的网络攻击手段包括网络扫描、口令攻击、缓冲区　（５）发送端ＭＡＣ地址：发送方设备的硬件地址；　溢出攻击、网络监听、网络协议攻击、拒绝服务攻击、木马　（６）发送端ＩＰ地址：发送方设备的ＩＰ地址；　攻击等。其中，利用网络协议的缺陷或漏洞进行攻击是很常　（７）目标ＭＡＣ地址：接收方设备的硬件地址；　见的一种手段。ＡＲＰ是局域网中必不可少的基础协议，但　（８）目标Ｉｐ地址：接收方设备的ＩＰ地址。　因自身存在的明显缺陷，也成为了黑客实施网络攻击的重点　２．２ＡＲＰ地址解析过程　目标。　假设局域网中的主机Ａ要向主机Ｂ发送信息，根据Ａ　２ＡＲＰ协议与工作愿理　与Ｂ是否在同一网段，可分为两种情况。　２．１ＡＲＰ协议　如果Ａ（１９２．１６８．１．１）与Ｂ（１９２．１６８．１．２）在同一网段，　ＡＲ．Ｐ是地址解析协议（Ａｄｄｒｅｓｓ　Ｒｅｓｏｌｕｔｉｏｎ　Ｐｒｏｔｏｃｏ１）的　Ａ＿Ｒ．Ｐ地址解析过程如下：　英文缩写，它是一个链路层协议，用于在局域网中根据ＩＰ　（１）主机Ａ首先查看自己的ＡＲＰ缓存，确定其中是否包　地址获取物理地址。　含有主机Ｂ对应的ＡＲＰ缓存项。如果找到了对应的ＭＡＣ　在局域网中，当主机或其它网络设备有数据要发送给另　地址，则主机Ａ直接利用ＡＲＰ缓存中的ＭＡＣ地址，对ＩＰ　一个主机或设备时，它不仅需要知道对方的ＩＰ地址，还必　数据包进行帧封装，并将数据包发送给主机Ｂ。　须知道对方的以太网ＭＡＣ地址。因为二层的以太网交换设　（２）如果主机Ａ在ＡＲＰ缓存中找不到对应的ＭＡＣ地址，　备并不能识别３２位的ＩＰ地址，它们是以４８位以太网ＭＡＣ　则将缓存该数据报文，然后以广播方式发送一个ＡＲＰ请求　地址来识别对方的。必须将网络层的ＩＰ数据报文填上源和　报文。ＡＲＰ请求报文中的发送端ＩＰ地址和发送端ＭＡＣ地　目的的ＭＡＣ地址，封装成以太网数据帧才能在链路层传输，　址为主机Ａ的Ｉｐ地址和ＭＡＣ地址，目标Ｉｐ地址和目标　因此主机要知道目标ＩＰ地址与ＭＡＣ地址的映射关系。　ＭＡＣ地址为主机Ｂ的ＩＰ地址和全０的ＭＡＣ地址。由于　ＡＲＰ协议就是用于根据ＩＰ获取到ＭＡＣ地址，来完成　ＡＲＰ请求报文以广播方式发送，该网段上的所有主机都可以　ＩＰ到ＭＡＣ地址映射的协议。主机可以通过发送和接收ＡＲＰ　接收到该请求，但是并不是所有的主机都会回复这个ＡＲＰ　报文来询问和获取目的ＭＡＣ地址，并将这种映射关系保存　请求包，只有当接收者的ｌＰ地址与Ａ＿Ｒ．Ｐ请求包中的Ｔａｒｇｅｔ　在本地ＡＫＰ缓存中，以便下回使用。　ＩＰ　ａｄｄｒｅｓｓ中标识的目的ＩＰ地址一致时才会进行回复。其他　ＡＲ．Ｐ协议报文分为ＡＲＰ请求和ＡＲＰ应答报文，报文　主机收到该请求报文后，发现自己的ｌＰ地址和ＡＲＰ请求报　格式如图１所示。　文中的目标ＩＰ地址不相同，则丢弃该报文，不予响应。　（３）主机Ｂ发现自己的ＩＰ地址和ＡＲＰ请求报文中的目　标ＩＰ地址相同，则将ＡＫＰ请求报文中的发送端（即主机Ａ）　的ＩＰ地址和ＭＡＣ地址存入自己的ＡＲＰ缓存中。之后以　单播方式发送ＡＲＰ响应报文给主机Ａ，其中包含了自己的　圈１　ＡＩＲＰ报文格式　ＭＡＣ地址。　（１）硬件类型：表示硬件地址的类型。它的值为１表　（４）主机Ａ收到ＡＫＰ响应报文后，将主机Ｂ的ＭＡＣ地　示以太网地址；　址加入到自己的ＡＲＰ缓存中以用于后续报文的转发，同时　（２）协议类型：表示要映射的协议地址类型。它的值　将ＩＰ数据包进行封装后发送出去。　为０ｘ０８００即表示ＩＰ地址；　Ｄｉｇｉｔａｌ　Ｓｐａｃｅ　Ｐ．３２３　技术交流　利用ＡＲＰ缓存投毒，攻击者可以发起很多类型的攻击，　◆　。　包括ＡＲＰ泛洪、ＡＲＰ欺骗和中间人攻击等。这些攻击可以　干扰局域网内的正常通信，导致用户流量受限，直至断网，　也可以窃取通信数据，非法获取用户帐号和密码，造成经济　上的重大损失。　ｌ　Ｌ匮　羹薹霾　Ｊ　ｌ　圈２同网段主机ＡＲＰ地址解析过程　ＡＲＰ泛洪：网络设备在处理ＡＲＰ报文时需要占用系统　资源，同时因为系统内存和查找ＡＲＰ缓存效率的要求，　一如果主机Ａ和主机Ｂ不在同一网段时，主机Ａ就会先　般网络设备会ＡＲＰ缓存的大小。攻击者就利用这一　向网关发出ＡＲＰ请求，ＡＲＰ请求报文中的目标ＩＰ地址为　网关的Ｉｐ地址。当主机Ａ从收到的响应报文中获得网关的　ＭＡＣ地址后，将报文封装并发给网关。如果网关没有主机　Ｂ的ＭＡｃ地址，网关会广播ＡＲＰ请求，目标ＩＰ地址为主　机Ｂ的ＩＰ地址，当网关从收到的响应报文中获得主机Ｂ的　ＭＡＣ地址后，就可以将报文发给主机Ｂ；如果网关已经有　主机Ｂ的ＭＡＣ地址，网关直接把报文发给主机Ｂ。　可以看出，在局域网通信中，ＡＲＰ协议扮演着不可缺　少的角色。　２．５ＡＲ，Ｐ缓存　为了避免每次通信都进行ＡＲＰ广播，主机使用一个　ＡＲ．Ｐ高速缓存，存放最新的ＩＰ地址到ＭＡＣ硬件地址之间　的映射记录。主机获取到目的ＭＡＣ地址后，将会在自己的　ＡＲＰ缓存中增加一条目的主机ＩＰ和ＭＡＣ地址的映射表项，　以用于后续到同一目的地报文的转发。　ＡＲＰ缓存中的表项分为动态ＡＲＰ表项和静态ＡＲＰ表　项。动态ＡＲＰ表项由ＡＲＰ协议通过ＡＲＰ报文自动生成和　维护，定期老化，当到达系统预设的老化时间时，相应的动　态ＡＲＰ表项会被删除。动态表项也可以被新收到的ＡＲＰ报　文更新，遵循“后到优先”的更新原则。当主机收到来自某　ＩＰ的ＡＲＰ报文时，就会更新现有ＡＲ．Ｐ表项中已经存在该　ＩＰ对应的ＡＲＰ表项。　静态　表项通过手工配置和维护，不会老化和更新。　３ＡＲＰ攻击原理　ＡＲＰ协议有一个明显的安全缺陷，即默认通信双方都　是绝对安全可信的。只要主机接收到一个ＡＲ．Ｐ报文，即使　该报文不是该主机所请求的对方主机发出的应答报文，该主　机也会将ＡＲＰ报文中的发送者的ＭＡＣ地址和ＩＰ地址加入　或更新到ＡＲＰ缓存中。更甚至，许多操作系统在自己没有　发出任何ＡＲ．Ｐ请求时，仍然接受来自其他设备的ＡＲＰ响应　报文，并更新ＡＲＰ缓存。这种不做任何验证和判断的缓存　更新机制，使得ＡＲＰ攻击成为局域网中一种常见又危害巨　大的攻击手段。　攻击者可以在ＡＲＰ报文中填入不正确或虚假的ＭＡＣ　地址，并在局域网中主动大量发送伪造的ＡＲＰ报文，促　使网内其他主机或网关更新ＡＲＰ缓存，记录错误的ＩＰ和　ＭＡＣ映射关系，从而不能将数据发往正确的目标。这称为　ＡＲＰ缓存投毒。　数码世界Ｒ３２４　点，通过伪造大量源ＩＰ地址变化的ＡＲＰ报文，使设备ＡＲＰ　缓存不断刷新，直至溢出，正常主机的ＡＲＰ报文不能生成　有效的ＡＲＰ表项，导致正常通信中断。　ＡＲＰ欺骗：攻击者伪造一个ＡＲＰ响应报文，在源ＩＰ　地址位置填入真实网关的ＩＰ，伪造一个错误或是不存在的　ＭＡＣ地址填入源ＭＡＣ地址，将受害者的ｌＰ地址和ＭＡＣ　地址填入目的地址，并在局域网中大量发送该报文。当受害　主机接收到这些伪造的ＡＲＰ报文时，就会更新自己的ＡＲＰ　缓存中网关ＩＰ所映射的ＭＡＣ地址，从而将本应该发给网关　的数据发向了一个错误或不存在的ＭＡＣ地址，导致主机无　法访问其他网段的主机或网络服务。（见图３）　豳　一　圈３仿■罔关ＡＲＰ撒骗　中间人攻击：如果攻击者在ＡＲＰ响应报文的源ＭＡＣ　中填入自己的ＭＡＣ地址，就可以将自己伪装成其他ＩＰ的主　机或网关，从而截取到其他主机发来的数据包。如果既对受　害者主机伪装成网关，同时又对网关伪装成受害者，那么攻　击者就可以变成受害主机和网关之间通信的“中间人”，可　以窃听获取、甚至修改伪造正常通信数据。　４ＡＲＰ攻击演示　４．１ＡＲＰ欺骗　演示环境：　主　角色　ＩＰ　网关　操作系统　机　攻击者　１９２．１６８．７５．１３１　１９２．１６８．７５．１　Ｋａｌｉ　ＬｉｍＬｘ　Ａ　受害者　１９２．１６８．７５．１３５　１９２．１６８．７５．１　Ｗｉｎｄｏｗｓ　ＸＰ　Ｂ　攻击步骤：　在主机Ａ上寻找目标主机Ｂ，可以使用ｆｐｉｎｇ命令探嗅　本地局域网内部机器ＩＰ，而后选择对该主机实施ＡＲＰ欺骗。　在主机Ａ上对主机Ｂ实施网关ＡＲＰ欺骗。使用命令　ａｒｐｓｐｏｏｆ—ｉ　ｅｔｈＯ—ｔ　１９２．１６８．７５．１３５　１９２．１６８．７５．１　ａｒｐｓｐｏｏｆ是一个可用于ＡＲＰ欺骗的开源工具。该　命令作用是对主机Ｂ发送ＡＲＰ报文，其中源ＩＰ为网关　技术交流　１９２．１６８．７５．１，源ＭＡＣ地址为网络接口ｅｔｈ０的ＭＡＣ地址。　、安装ＡＲＰ防火墙。其工作原理一般有两种：第一种是　主机Ｂ收到大量来自Ａ的ＡＲＰ报文，Ｂ的ＡＲＰ缓存表　定期广播ＡＲＰ报文，宣告正确的本地ＩＰ地址和ＭＡＣ地址，　意攻击篡改本机的ＡＲＰ缓存表项，尤其是网关的ＭＡＣ地址。　网络交换和路由设备上的防范主要从两个方面考虑：建　中网关１９２．１６８．７５．１对应的ＭＡＣ地址被刷新成了Ａ的ＭＡＣ　以保持其他设备中正确的ＡＲＰ缓存表项。第二种是防止恶　地址，Ｂ发往网关的数据包将被错误地发往Ａ。　由于主机Ａ默认未开启ＩＰ数据包转发功能，Ｂ发往网　以看到主机Ｂ无法正常连接网络。　关的数据包被错误的发往Ａ，达到不了真正的网关，此时可　立正确的ＡＲＰ映射关系、检测并过滤伪造的ＡＲＰ报文，　保证经过其转发的ＡＲＰ报文正确合法；抑制短时间内大量　ＡＲＰ报文的冲击。在交换机上可配置的一些安全策略包括：　ＡＲＰ报文有效性检查。设备收到ＡＲＰ报文时，对以太　报文头中的源、目的ＭＡＣ地址和ＡＲＰ报文数据区中的源、　目的ＭＡＣ地址进行一致性检查。如果以太报文头中的源、　目的ＭＡＣ地址和ＡＲＰ报文数据区中的源、目的ＭＡＣ地址　圈４　ＡＲＰ欺骗成功。目标机器无法连接网络　４．２中间人攻击　不一致，则直接丢弃该ＡＲＰ报文。否则允许该Ａｐ．Ｐ￣文通过。　禁止接口学习ＡＲＰ表项的功能。在设备上禁止指定接　（１）在主机Ａ上对网关实施主机ＡＲＰ欺骗。使用命令　口学习ＡＲＰ表项的功能，可以有效应对ＡＲＰ泛洪攻击，防　ａｒｐｓｐｏｏｆ—ｉ　ｅｔｈ０一ｔ　１９２．１６８．７５．１　１９２．１６８．７５．１３５　止ＡＲＰ表项溢出。　ＡＲＰ表项严格学习。设备仅学习自己发送的ＡＲＰ请求　该命令将对网关发送ＡＲＰ报文，其中源Ｉｐ为主机Ｂ的　网关发往Ｂ的数据将被发往Ａ。　（２）在主机Ａ上开启端口转发，允许主机Ａ像路由器　１９２．１６８．７５．１３５，源ＭＡＣ地址为网络接口ｅｔｈ０的ＭＡＣ地址。　报文的应答报文，并不学习其它设备向路由器发送的ＡＲＰ　请求报文，即可以拒绝掉大部分的ＡＲＰ请求报文攻击。　ＡＲＰ表项。设备基于接口学习ＡＲＰ表项的总　数目，可以有效的防止ＡＲＰ表项溢出。　＿那样转发数据包。　ｅｃｈｏ　１＞／ｐｒｏｃ／ｓｙｓ／ｎｅｔ／ｉｐｖ４／ｉｐｆｏｒｗａｒｄ　ＡＲＰ报文限速。设备对ＡＲ．Ｐ报文进行数量统计，在　一（３）由于Ａ开启了ＩＰ数据包转发，主机Ｂ和网关之间　定时间内，如果ＡＲｐ报文数量超出了配置的阈值，超出　传输的数据包可经由Ａ的转发到达对方。此时Ａ成为Ｂ与　部分的ＡＲＰ报文将被忽略，设备不作任何处理，有效防止　网关之间通信的中间人。　ＡＲｐ表项溢出。　（４）在Ａ上另外打开一个终端，键人命令　ｄｒｉｆｔｎｅｔ－ｉ　ｅｔｈ０　当在局域网中部署了如上较完整的安全策略之后，基本　可以防范绝大部分的ＡＲＰ攻击。　６总结　ｄｒｉｆｔｎｅｔ是一款图片捕获工具，可以在网络数据包中抓取　图片。由于此时Ｂ和网关之间的数据包都经由Ａ转发，Ａ即　标Ｂ的信息。（见图５和图６）　由于ＡＲＰ协议自身存在明显的安全缺陷，在局域网中　在了解了Ｐｄ＇￣Ｐ攻击的原理后，只要在终端主机和网络交换　设备上部署相应的安全策略，就基本可以防范绝大部分的　可截取Ｂ网络应用中的图片，Ａ通过ＡＲＰ欺骗成功获取目　很容易实施ＡＲＰ攻击，会对网络信息安全造成很大的影响。　ＡＲＰ攻击。　∞　…　＝…　…■●一　固『１　　ｌｌ　　：羲　瓣穗镕曩■Ｉ■　圈５被攻击机曩洲览罔页圈６欺鞠成功（左一终螬进行欺骗。　右　终螭读取圈片信息）　参考文献　【１】凯文Ｒ．福尔（Ｋｅｖｉｎ　Ｒ．Ｆａｌ１）．ＴＣＰ／ＩＰ详解卷１：协议　【Ｍ】．机械工业出版社出版，２０ｌ６一Ｏ７一Ｏ１　【２１郭会茹，杨斌，牛立全．ＡＲＰ攻击原理分析及其安全防　５ＡＲＰ攻击的防范　范措施【Ｊ】．网络安全技术与应用，２０１５年，０６期　【３】顾静．局域网环境下的ＡＲＰ攻击行为与防御措施【Ｊ】．信　ＡＲＰ攻击是局域网中很容易实施的攻击。在了解攻击　原理之后，可以在终端主机和网络交换设备上部署一些针对　性的防范措拖。　在终端主机上，防护重点是保护本地ＡＲＰ缓存，可配　置的防护手段包括：　患系统工程，２０１６年，１０期　【４靳燕．ＡＲＰ攻击实验仿真及防范技术分析【４】Ｊ】．网络安全技　术与应用。２０１６年，０７期　作者简介　配置静态ＡＲＰ缓存表项。将网关和常用的通信主机的　马钺（１９９５－－　），江苏省南京市泰淮区海福巷１号陆军工　ＩＰ和ＭＡＣ地址绑定为静态表项，不允许ＡＲＰ解析更新。　程大学信息安全专业。　Ｄｉｇｉｔａｌ　Ｓｐａｃｅ　Ｒ３２５