网络安全之局域网ARP地址欺骗攻击的防范
本文作者(冯海朋),请您在阅读本文时尊重作者版权。
摘要:ARP协议存在很多漏洞,ARP地址欺骗将会给局域网的安全带来很多威胁。利用命令行法、工具软件法或sniffer抓包嗅探法可定位ARP地址欺骗攻击者。使用静态的IP-MAC地址解析、ARP服务器或第三层交换技术等方法可防御ARP地址欺骗的攻击。
关键词:ARP协议 ARP地址欺骗
局域网ARP地址欺骗攻击
ARP,即“地址解析协议”(Address Resolution Protocol)。MAC地址是固化在网卡上串行EEPROM中的物理地址,由48比特长(6字节),16进制的数字构成,厂家自行对0-23位进行分配,24~47位作为组织唯一的标志符能够对LAN(局域网)节点进行识别。
1 ARP的主要欺骗及攻击方式
1.1 ARP欺骗 网络欺骗是黑客常用的攻击手段之一,网络ARP欺骗分为两种,一种是对路由器ARP表的欺骗,另一种是对内网主机的网关欺骗。
1.2 中间人攻击 根据ARP协议的内容,一个主机即使不是通过自身请求来获得ARP应答,也会在自身的ARP映射表内记录MAC及IP两个地址的对应关系。虽然这有利于ARP欺骗,但能够最大限度地避免网络的ARP数据通信的产生。
2 ARP地址欺骗攻击者的定位
攻击者通过ARP协议漏洞,能够威胁到局域网整体的安全性能。因此,应该在最短的时间内采取措施,对局域网内ARP地址欺骗攻击的机器进行测定,即利用ARP病毒的基本原理将伪造的ARP欺骗广播发送出去,电脑感染病毒后自身伪装成网关,能够在最短的时间内对中毒电脑进行检测和定位。
以下对测定ARP地址欺骗攻击的途径进行了具体的分析:
2.1 命令行法 采用CMD命令系统自备的ARP命令即可。将“ARP -a'输入,以下是命令后反馈的信息:
Internet Address 00-50-56-e6-49-56 Physical Address Type 192.168.0. dynamic。
当前,因为所用电脑的ARP表的记录失准,所以,这个MAC地址是攻击者的MAC地址,并不是正确的网关MAC地址。这就需要在一般网络条件下,利用全网的IP-MAC地址对照表对攻击者的IP地址进行测定。所以,最好在网络条件正常的情况下对全网电脑的IP-MAC地址对照表作备份。可通过nbtscan工具对全网段MAC及IP两个地址进行扫描,再将其作备份。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/
24网段,即192.168.16.1-192.168.16.254);或“nbtscan 192.168.
16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192
.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“00-0d-87-0d-58-5f”的病毒主机。
①将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。②在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入或192.168.0.1-255),回车。③通过查询IP——MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。具体操作如图所示:
2.2 工具软件法
目前,网上的ARP病毒定位工具数不胜数,其中的Anti ARP Sniffer,即现在的ARP防火墙应用较广。人们通过该软件能够对ARP攻击者的MAC地址进行查找及定位,而且好不费力。现在大多数人都用360安全卫士里面自带的工具进行检查。
2.3 Sniffer抓包嗅探法
一般而言,如果局域网内出现ARP地址欺骗常伴很多ARP欺骗广播数据包,若网络的情况异常,流量检测机制能够进行测定,通过Ethereal一类的抓包工具对发送ARP广播包的机器进行定位,一般都能将其看作攻击者进行处理。
若情况异常,则可混用上述3种办法,相互印证,从而对ARP地址欺骗攻击者进行准确的定位。应立即隔离测定的攻击者,然后通过手工或杀毒软件删除攻击程序。
3 ARP地址欺骗攻击的防御及其解决办法
3.1 使用静态的IP-MAC地址解析
可通过静态的IP-MA C地址解析,来应对ARP地址欺骗攻击的网络特点,用手工的方式对主机的IP-MAC地址映射表进行维护,输入后动态更新立即停止。即使ARP攻击者在网络里进行着欺骗的ARP数据包的发送,但其他电脑也不会将自带的ARP缓存表修改,最终正确的接收者会将数据包接收。
3.2 使用ARP服务器
利用ARP服务器对自身的ARP转换表进行查找,并对其他机器的ARP广播作出响应,但一定要避免黑客攻击该ARP服务器。
3.3 使用其他交换方式
目前,由于逐步采用了IP地址变换进行路由的第三层交换机,该交换机采用的是IP路由交换协议。之前的ARP协议及MAC地址已无法发挥其作用,以致于在此种条件下制约了ARP欺骗攻击作用的发挥。但该交换机的造价比较高。
以下是解决ARP地址欺骗攻击的方法措施:
对网关正确的MAC及IP两个地址作记录,便于以后病毒主机的查找及IP-MAC绑定。可以询问单位的网管人员来获得网关MAC,或是在正常上网的机器中查找,并对网关MAC及IP两个地址进行记录,以下是具体做法:
首先,将“命令提示符”窗口打开,将ipconfig/all键入到提示符后来对网关IP地址进行查找,再将arp -a键入,以此将全部ARP高速缓存里的项目显示出来,若没有将对应网关MAC及IP两个地址的项目列出来,就先ping一下网关IP地址,然后让其将ARP高速缓存内容显示出来,网关的IP-MAC对应项就找到了。