水利局域网常见的ARP攻击及防范

喻 勇，高广利

（1.新疆维吾尔自治区水利厅头屯河流域管理处，新疆昌吉831100；2.北京金水信息技术发展有限公司，北京 100053）

水利局域网常见的ARP攻击及防范

喻 勇1，高广利2

（1.新疆维吾尔自治区水利厅头屯河流域管理处，新疆昌吉831100；2.北京金水信息技术发展有限公司，北京 100053）

近年来水利局域网的日益普及，网络安全的问题日益突出，特别是最具典型的ARP欺骗和ARP病毒造成的网络异常事件频频发生，严重影响了网络的正常使用，为水利防汛抗旱工作造成一定隐患。本文从网络管理人角度角度分析了ARP攻击产生的原因，并初步提出了解决办法。

ARP攻击；网络安全；水利局域网

1　概述

随着水利信息化的快速发展，计算机网络已经成为水利事业的重要基础设施，大部分水利单位都建成了自己的局域网，并且对网络的稳定性、安全性和可靠性的依赖程度与日俱增。但由于计算机病毒、黑客和木马对网络的攻击不可避免，使得水利局域网的稳定性、安全性和可靠性受到了严重的威胁，特别是近年来特别典型的ARP欺骗和ARP病毒造成的网络异常事件频频发生，其安全问题带来的影响愈发明显，已经逐步影响到水利业务的开展和部署。

在水利局域网中ARP欺骗和ARP病毒导致的网络异常事件主要包括水利站点网页挂马、网络中断、IP地址冲突和帐号密码丢失等现象。中毒后会导致水利局域网时断时续或者无法打开网页等现象，同时该病毒还会下载多款网游木马，QQ木马，网银大盗等恶性木马，给水利局域网用户的网上办公安全带来严重的威胁。相对与通常其他的病毒攻击ARP病毒的更大危害在于：黑客可以最大化地利用ARP欺骗原理，将其与其他攻击方法组合后运用于多种攻击，如侦听、拒绝服务、挂载病毒等，从而达到多种攻击目的，如窃取水利敏感信息、病毒传播、破坏水利网络路由，暴力广告等等。

2　ARP欺骗攻击形成原因

2.1ARP请求以广播方式进行

当源主机要和目的主机通信而没有目的主机的MAC地址时，便会向整个水利局域网广播ARP请求数据包。这使得攻击者可以伪装ARP应答数据报文，与真正的目的主机展开竞争，并由此确定子网内机器什么时候刷新ARP缓存，以实现最大限度的假冒和欺骗。

2.2ARP高速缓存表动态更新

当主机收到一个ARP报文时，会自动用新报文中的IP-MAC对应关系更新原有的IP-MAC对应关系，这使得假冒者可以随时发送ARP欺骗报文修改其它主机的ARP缓存表。

2.3ARP响应无控制和无认证

ARP协议是局域网协议，设计之初，为了获得较高的传输效率，在数据链路层没有做安全上的防范，在使用ARP协议时无需认证，使用ARP协议的水利局域网假设通信双方是相互信任和相互独立的。由于ARP协议是无状态的，任何主机即使在没有请求的时候也可以做出应答。ARP协议并未规定，主机在未受到查询时不能发送ARP应答包，这是ARP协议的一个安全隐患。任何时候只要接收到ARP应答包，主机就会自动更新ARP缓存。这样攻击者就可以向目标主机发送假冒的ARP数据包进行欺骗，以达到监听的目的。许多系统会接收未请求的ARP响应，并用新信息更新ARP缓存。操作系统在动态维护列表时并没有检测本机是否发出了请求包，而是只要接收了应答包就进行列表维护操作。如果有人故意发送包含错误MAC地址的应答包，就会造成用错误列表的更新和对应。一台主机的IP地址映射在另一台主机的ARP协议缓存后，它就会被当作可信任的计算机，但并未提供验证IP和MAC地址一致性和真实性的验证机制。大多数主机保存了通过ARP得到的映射，没有考虑有效性，也没有维护一致性。这样，ARP表就有可能把几个不同的IP地址映射到同一MAC地址上。

ARP是建立在网内所有主机之间相互信任的基础上，具有无状态、无连接的特征，协议本身不作任何安全检测，当主机收到ARP请求报文和ARP应答报文时，都会无条件地更新自己的ARP缓存。虽然实现了简单和高效传输，但是却存在严重的安全隐患。

2.4ARP欺骗攻击的原理和欺骗报文的分析

在正常情况下，水利局域网内计算机通信数据流向是网关→主机或主机→网关，而当水利局域网内存在感染ARP病毒的主机时，它会自动连续发出伪造的ARP报文，使目标主机接收报文中伪造的IP-MAC之间的映射关系，从而更改目标主机或网关的ARP缓存表中的IP-MAC记录。由于ARP攻击的一般意图是截获所在网络内其他主机的通信信息，所以伪造的IP-MAC记录使数据流向改变为网关→ARP攻击者→主机或主机→ARP攻击者→网关，使主机与网关之间的所有通信数据都流经ARP攻击者即感染ARP病毒的计算机。同时，因网络中存在大量的ARP响应包，导致了网络堵塞。

可见，ARP欺骗攻击的核心就是向目标主机或网关发送伪造的ARP报文，并以此来更新目标主机的ARP缓存表。

3　防御ARP攻击的措施

3.1设置静态ARP缓存表

ARP欺骗攻击最根本的原理就是改变IP地址与MAC地址的正确对应关系，所以可以采取静态ARP表来防范，就是在目标主机的ARP缓存中设置静态地址映射记录。当主机A向主机B发送数据前就不需要通过向所在的水利局域网广播ARP请求来获得B的MAC地址，它会直接查询ARP静态记录表来获得B的MAC地址，攻击者也就没有机会向A发送ARP应答。但是，攻击者在未接收到ARP请求的情况下仍凭空伪造ARP应答发送给A，A将拒绝用伪造的数据更新ARP缓存中的静态记录。这种方法的缺点很明显，就是在经常更换IP地址的水利局域网环境里，由于每个主机都采用ARP静态记录，手工维护十分繁琐，工作量很大，增加网络维护的成本，这种方法在实际上应用中很少采用。

3.2设置ARPServer

为了解决上述方法中维护静态记录的工作分散的缺点，可以采用在水利局域网内部指定一台机器作为ARP服务器来集中管理，专门保存和维护一个相对可信的水利局域网环境下所有主机的IP－MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录，并以被查询主机的名义来响应水利局域网内部的ARP请求。按照一定的时间间隔广播网段内所有正确的IP—MAC地址表，同时可以设置水利局域网内部的其它主机只使用来自ARP服务器的ARP响应。但如何将1台主机配置成只相信来自ARP服务器的ARP响应，目前还是很困难的。

3.3在交换机上绑定交换机端口IP地址

设置交换机的每个端口与主机IP地址相对应，一旦来自该端口的IP地址发生变动，交换机将不为来自该端口的主机转发数据。这样，攻击者就无法发送伪造ARP数据帧，从而阻止了ARP欺骗的发生，这种方法的缺点是不灵活。

3.4禁用ARP解析

在操作系统中禁用ARP解析后，必须做静态ARP协议设置 （因为对方不会响应ARP请求报文），工作繁琐，因而实际网络管理中无法采用。

3.5数据加密传输

通常情况下，ARP欺骗攻击导致数据包从源主机流向攻击方，使得网络通信被非法截取和监听。尽可能地加密水利局域网内传输的数据，可使损失相对减小。但在实际应用中，往往要求替换掉采用明文传输数据的服务，如用ssh、sftp替换telnet、ftp、rsh等。

3.6广播正确的IP-MAC映射关系的ARP报文

不间断地广播ARP报文，发送正确的IP地址与MAC地址映射关系，以覆盖网络中存在的ARP欺骗报文，代价则是增加了网络带宽的开销和网络存在的广播风暴的风险。

3.7安装ARP防火墙

安装ARP防火墙拦截虚假ARP数据包，以获取中毒计算机的IP地址和MAC地址，从而防御ARP欺骗攻击。防火墙最大的优点是既可以防3.8改进ARP协议

止ARP欺骗攻击，还可以防止本机对网内同网段的计算机发送ARP欺骗。但这种方法需要在整个网络内的每台计算机安装ARP防火墙软件，实现起来难度增大。

由于ARP攻击是由ARP协议本身缺陷而引起的安全问题，因此可通过对协议运行机制的改进，弥补协议的漏洞。改进主要是针对ARP协议“无状态”的特点，具体算法是对接收到的ARP请求，不更新缓存表，只接收有发送请求的ARP应答报文，其它的都丢弃。该方法主要是针对单个的主机系统，修改其内核的TCP/IP函数源代码或编写底层驱动程序实现中间件。该方法虽然能有效防范ARP欺骗，但由于采用了复杂的数据结构，且需要对ARP应答报文进行更多的处理，使得改进后的协议运行效率降低，实际的应用中存在较大的局限性。

4　结语

从上述防御ARP欺骗攻击所使用的技术来看，有些管理工作量大且不够灵活（如设置静态ARP缓存表），有些解决方案中需要提供理想状态的数据（如数据库中预先存储端口绑定的IP），这在一定程序上限制了解决方案的使用。真正从网络管理角度解决中小型水利局域网ARP攻击引起的网络异常事件问题，还需结合自身网络实际情况采用合适的方案。

［1］陈婉如，赵仕伟，王津.校园网中的ARP欺骗原理及防范措施［J］.成都航空职业技术学院学报，2008，24（3）：52—57.

［2］王增波.ARP欺骗原理及防范方案设计［J］.科技风，2008（5）：57.

［3］傅伟，谢宜辰.基于ARP协议的欺骗攻击及安全防御策略［J］湘潭师范学院学报（自然科学版），2007，29（4）：49—53.

［4］WilliamStallings.SNMP网络管理［M］.北京：中国电力出版社出版，2001.

TP393.1

B

1002－0624（2015）12－0042－02

2015-09-29