【正文】 量MAC 地址不重復的ARP 數據包，就有可能造成交換機拒絕服務，不能正常轉發(fā)數據包。然后攻擊者就可以將自己的IP地址與MAC 地址分別改為目標主機的IP 地址與MAC 地址，這樣攻擊者的主機就變成了與目標主機一樣的副本。(5)ARP 應答畸形包攻擊：如果我們自己精心構造一個小于正常ARP 報文大小的ARP 應答報文，由于目前的網絡交換設備沒有充分考慮到這種情況的出現(xiàn)，當網絡上連續(xù)出現(xiàn)這種畸形報文達到一定數量的時候，交換機的MAC 緩存表就無法正常刷新，常用的操作系統(tǒng)對這種畸形報文暫時沒有很好的處理方法，其嚴重后果就是導致整個局域網癱瘓。如果進一步采用分布式攻擊，可以由一臺進攻主機控制遠端幾臺中間主機發(fā)動進攻，這樣攻擊可以取得更好的效果。同時，被感染主機感染ARP 病毒后，也會向本網段內所有其他主機發(fā)送ARP 欺騙報文，謊稱自己是這個網段的網關設備，讓原本流向網關的數據流改道流向染毒主機，致使受害者雖然能構正常進行網絡通訊，但信息卻被竊取了。(2)用戶端可以通過在命令窗口輸入命令的方式，輸入arp a 命令即可顯示在該局域網內，與該電腦曾進行過通信的主機MAC 地址，這樣就會發(fā)現(xiàn)電腦網關所對應的MAC 地址是否被修改，如果被修改，即可判定該電腦感染了ARP病毒。(4) 另外，ARP 欺騙需要不停地向外發(fā)送ARP 應答包，因此容易造成網絡擁塞。此外，利用三層交換機設備可檢查其三層交換機設備上的ARP 表?？赏ㄟ^下連的二層交換機的轉發(fā)表查到此對應的交換機端口，從而定位出有問題的計算機，進而采取進一步的行動。如果有一3 個IP 地址對應的MAC 地址與網關的MAC地址相同，那么這個IP 地址和MAC 地址就是中了ARP 病毒計算機的IP 地址和MAC 地址。因此，重點應放在目標主機拒絕偽造ARP 應答上。(1)設置靜態(tài)ARP 緩存表：ARP 協(xié)議攻擊最根本的原理就是改變IP 地址與MAC 地址的正確對應關系。這樣，當主機A 向主機B 發(fā)送數據前，就不需要通過向所在的局域網廣播ARP 請求來獲得B 的MAC 地址，它會直接查詢ARP 靜態(tài)記錄表來獲得B 的MAC地址。但是，攻擊者在未接收到ARP 請求的情況下仍會憑空偽造ARP 應答發(fā)送給主機A，主機A 將拒絕用偽造的數據更新ARP 緩存中的靜態(tài)記錄。(2)設置ARP 服務器：為了解決上述方法中維護靜態(tài)記錄工作分散的缺點,可以采用在局域網內部指定一臺機器作為ARP 服務器來集中管理，專門保存和維護一個相對可信的局域網環(huán)境下所有主機的IPMAC 地址映射記錄。按照一定的時間間隔廣播網段內所有正確的IPMAC 地址表，同時可以設置局域網內部的其它主機只使用來自該ARP 服務器的ARP 響應。(3)交換機上綁定端口和MAC 地址：設置交換機的每個端口與唯一的MAC地址相對應，一旦來自該端口的MAC 地址發(fā)生變動，就自動封鎖該端口，使主機無法連接到局域網。但該方法的缺點是不夠靈活。例如手工輸入“arp s IP 地址 MAC 地址”。對于Linux 操作系統(tǒng)，其靜態(tài)ARP緩存表不會被動態(tài)刷新，在Linux 下使用ifconfig –arp，可以使網卡驅動程序停止使用ARP 協(xié)議，因此不需要“禁用網絡接口做ARP 解析”即可對抗ARP 欺騙的攻擊。因此可以使用數據加密傳輸方法，即使攻擊方得到發(fā)送的通信數據包，也不能解密獲得有價值的信息。如應用于遠程登錄的SSH(Secure Shell)，用于Email 保密的PGP(Pretty Good Privacy) 和S/MIME(Secure MIME) ， 用于WWW 服務的SSL(Secure Sockets Layer)等。它采用隧道技術，將內部專網的數據加密封裝后，透過虛擬的公網隧道進行傳輸，從而防止敏感數據被竊。比如用于增強Telnet 和FTP 安全性的Stanford SRP(Secure RemotePassword) 。但第三層交換機的價格比較昂貴。SARP協(xié)議是建立在ARP協(xié)議基礎之上的，為保證SARP協(xié)議對ARP協(xié)議的兼容性，于是在標準ARP協(xié)議的信息頭部插入額外的認證信息。但在安全ARP協(xié)議網絡中，網絡中的所有主機都應該執(zhí)行SARP協(xié)議。一般不推薦建立混合傳統(tǒng)ARP與SARP協(xié)議的網絡環(huán)境，因為在這樣的網絡環(huán)境中，執(zhí)行傳統(tǒng)ARP協(xié)議的主機仍舊會受到ARP病毒的感染。通信的每臺主機都有一個公鑰/私鑰對，用一個簡單的驗證提供了主機身份與其公鑰的對應關系。SARP 采用數字簽名算法作為其簽名技術。鄰居發(fā)現(xiàn)協(xié)議使用特殊的安全要求來控制對網絡的訪問，訪問者需要有權限才能把主機接入網絡，并且控制一些消息的認證，避免把數據發(fā)送到錯誤的地址，檢驗從一個經審定的路由發(fā)出的宣告信息，從一個授權主機發(fā)出的鄰居宣告消息和從原始包發(fā)送的路由發(fā)出的重定向消息。可配置這個組的SA(Security Association，安全關聯(lián))，鄰居宣告消息發(fā)送給地址配送中心，鄰居與地址配送中心先連接，后建立SA，主機和群之間也沒有SA，由于有些SA 算法只保護組不受外界攻擊，而密鑰在組內是公開的，節(jié)點可能偽裝成組內的任何一臺路由器，不過這個問題可由SA 算法本身來解決。首先詳細介紹了ARP 協(xié)議的原理、工作機制以及ARP 協(xié)議的詳細應用，在對ARP 欺騙進行了詳細的介紹之后，又分析了對ARP 欺騙攻擊的具體檢測方法，并總結出了對ARP欺騙攻擊的各種防御措施。在整個網絡感染病毒的初期，由于網絡中僅有幾臺電腦被 ARP 病毒侵襲，因此網絡中偶爾出現(xiàn)網速緩慢的現(xiàn)象，但不時會有主機提示IP 地址沖突，起初這種現(xiàn)象并未引起大家的重視，僅當做一般的IP 地址沖突來處理。同時，中ARP 病毒的主機系統(tǒng)運行非常緩慢，主機的本地連接顯示發(fā)送數據不斷迅速增大，而接收數據卻少之又少。如果 ARP 病毒是對網關進行欺騙，它會偽造本網段內一系列IP 地址以及它們所對應的假的MAC 地址去刷新網關的ARP 緩存表，該行為會按照一定的頻率不間斷進行，使真實的地址信息無法保存在網關的ARP 緩存表中，因此網關所有的數據都只能發(fā)送給錯誤的MAC 地址，造成網絡內部的主機因無法收到信息而不能上網，該類欺騙不會對網絡用戶造成其他的影響。欺騙者可以利用一些嗅探工具或抓包工具，獲得被欺騙主機的保密信息及其他的訪問信息。當網關回應時，它根本不會找被欺騙者主機，而是直接將回應的信息發(fā)送給欺騙者主機，這樣的話被欺騙者與外部的一切通信完全在欺騙者的監(jiān)視下，欺騙者可采用任何手段管理被欺騙者，包括流量的限制等，因此用戶會明顯感覺上網的速度變慢。該方式ARP 病毒發(fā)作時，影響的范圍僅限在同網段內上網的主機。圖 正常情況下ARP 的請求數據包和應答數據包根據ARP 協(xié)議的描述，在正常狀態(tài)下，當兩臺主機要進行通信時，主機A必須知道主機B 的MAC 地址。創(chuàng)建好之后，源主機A 在它所處的局域網內廣播ARP請求信息。除主機B 之外，其他所有主機收到該請求包之后都檢查數據包中的目的IP 地址是否與自己的IP 地址相同，若不相同則將該信息丟棄。那么在ARP 應答信息中，源IP 地址為主機B 的IP ，源MAC 地址為主機B的MAC地址00061BD410A6，目標IP 地址為主機A的IP ，目標MAC 地址為主機A 的MAC 地址001696130924。 ARP 欺騙數據包的捕獲與分析將IP ，MAC 地址為00CB8C546027 的主機C 加入到通信環(huán)境中來作為進行ARP 欺騙的主機。在正常情況下，局域網內的主機上網要通過網關將信息發(fā)送出去。欺騙者主機可在收到信息后利用一些嗅探工具或抓包工具捕獲被欺騙主機的一系列信息，如明文密碼或訪問信息等。任何 ARP 響應都是合法的，ARP 應答無需認證。欺騙者利用ARP 協(xié)議的漏洞，欺騙主機C 在沒收到主機A 發(fā)送的ARP 請求信息的情況下，偽造ARP 應答信息發(fā)送給主機A，信息中IP (網關IP 地址)，MAC 地址為00CB8C546027(主機C 的IP 地址)。另外，協(xié)議中并未規(guī)定必須提出請求之后才會產生響應，因此ARP 應答數據包是必須接受的。 中可以看到，源IP 地址為網關的IP 地址()，源MAC 地址為欺騙主機C 的MAC 地址(00CB8C546027)，目的IP 地址為主機A 的IP 地址()，目的MAC 地址為主機A 的MAC 地址001696130924。在檢測分析的過程中，ARP 欺騙體現(xiàn)出如下特點：用戶在上網過程中時斷時續(xù)；網關中會出現(xiàn)一個MAC 地址對應多個IP 地址的現(xiàn)象；用戶密碼容易丟失；用戶的網卡處于混雜模式等。因此，防御的重點應該是目標主機拒絕偽造ARP 應答包，從而保持本機ARP 緩存表的正確性。 針對網關 ARP 欺騙的防御局域網用戶很多，但相對集中，一般以建筑物為中心，每個建筑物中存在一至兩個號段的IP 地址，所以我們按照建筑物將交換機的端口進行VLAN 劃分，該劃分方法屬于基于IP 地址的VLAN 劃分。因為不同公司生產的交換機品牌不同，不同品牌的交換機有各自的命令，我們以Huawei3COM 公司的Quidway S5516 交換機為例，為每個主機都添加IP 地址與MAC 地址對應關系的靜態(tài)地址表項。DHCP SECURITY 的綁定功能加載到某個VLAN 中，通過對DHCP 分配的IP 地址和相應的MAC地址一對一綁定，能夠實現(xiàn)網關可以靜態(tài)認定主機IP 與其MAC地址的對應關系，可通過此方法杜絕攻擊主機對網關進行的ARP 欺騙。因為在華為交換機中，對二層信息進行相應處理的訪問控制列表(ACL)序號取值范圍為4000~4999，且對主機的ARP 協(xié)議具有非常好的訪問控制功能。其命令如下：acl number 4000rule 12 deny arp ingress 欺騙者主機的MAC 地址 egress anypacketfilter linkgroup 4000 rule 12通過以上的方法，我們對剛開始出現(xiàn)并不十分頻繁的ARP 欺騙進行簡單的人工防御。因此，我們要建立強烈的安全意識，不能僅把網絡安全的信任關系建立在單一的IP 地址基礎上或單純的MAC 地址基礎上，最理想的網絡安全信任關系應該建立在IP 地址與MAC 地址綜合基礎之上。以Windows 操作系統(tǒng)為例，在進行此操作前一定要確保自己的主機是安全的，即本機沒有被ARP 欺騙病毒攻擊過，然后打開命令提示符窗口，輸入命令：arp a，通過該命令可獲得本機所在網絡的網關MAC 地址。arp s 網關的IP 地址網關的 MAC 地址，該命令將網關的IP 地址與MAC地址綁定，并寫入本機的ARP 緩存表中。 ARP 欺騙防御方法的改進由于ARP 病毒感染范圍的不斷擴大，僅使用人工維護進行ARP 欺騙的防御已經非常吃力。因此為了防止ARP 病毒進步一擴大對局域網的危害，我們對人工防御的方法進行了適當的改進。系統(tǒng)每5 分鐘自動搜索是否在表項中存在新分配下去的IP 地址，若存在新分配下去的IP 地址，則根據新分配的IP 地址，在表中讀取出相應新上報的MAC 地址，形成新的地址對進行綁定，由系統(tǒng)使用如下命令進行批處理：dhcpsecurity static IP 地址 MAC 地址通過該方法不僅節(jié)省了大量的人力，而且方便快捷，能夠及時且快速的綁定新加入到局域網的客戶端主機，為局域網提供了安全潔凈的環(huán)境。其中將ARP 欺騙按照針對網關與針對客戶端主機制定了兩種防御方案?？偨Y本文通過對ARP 協(xié)議的學習，以以太網的信息安全和管理作為切入點，圍繞ARP 欺騙攻擊防御相關技術進行了深入研究。在深入學習ARP 協(xié)議的原理以及相關應用之后，詳細分析了ARP 欺騙攻擊的主要特點。(3)根據局域網發(fā)生ARP 欺騙攻擊的實際情況，總結了局域網遭受ARP 欺騙攻擊時的具體現(xiàn)象，詳細分析了局域網中發(fā)生ARP 欺騙的原因，并針對ARP欺騙攻擊的現(xiàn)象制定出一套檢測與防御的方法，有效的制止了ARP 欺騙病毒在局域網中的蔓延，同時對該檢測防御方法進行了改進。參考文獻[1] [J].哈爾濱商業(yè)大學,2010（09）:838[2] [J].同絡矗訊及安,2008(05):869871. [3] 沖突的研究[J].軟件導刊,2010(02):111112. [4] [J].電腦知識與技術,2009(05):53635364. [5] 馬鴻雁,宋海歌. 淺析ARP病毒原理及防范措施[J].電腦學習報,2009(06):143145. [6] 欺騙網頁劫持攻擊分析[J].清華大學信息網絡工程研究中,2007(11). [7] 項寧,管群ARP 漏洞及其ARP 攻擊防范[J]. 軟件導刊,2009(11):175177. [8] [M].北京:清華大學出版社,2004. [9] [M].北京:中央廣播電視大學出版社,2000.39