ARP欺騙的解決辦法論文

ARP欺騙具有隱蔽性、隨機性的特點, 在Internet上隨處可下載的ARP欺騙工具使ARP欺騙更加普遍。攻擊者可以利用ARP欺騙進行拒絕服務攻擊 (Do S) 或中間人攻擊, 造成網絡通信中斷或數據被截取和竄改, 嚴重影響網絡的安全。目前利用ARP欺騙的木馬病毒在局域網中廣泛傳播, 給網絡安全運行帶來巨大隱患, 是局域網安全的首要威脅。如何有效地監測和防范ARP欺騙攻擊成為當前網絡管理者所面臨的嚴峻挑戰。由于ARP欺騙問題的嚴重性, 研究者已經提出許多針對ARP欺騙的安全防范技術。

1 ARP欺騙原理

A R P協議即地址解析協議 (a d d r e s s resolution protocol) , 是網絡層中的一個重要協議。地址解析是指在IP地址和采用不同網絡技術的硬件地址之間提供的動態映射。A R P協議是建立在信任局域網內所有節點的基礎上, 雖然高效卻并不安全。ARP協議是一種無狀態的協議, 它不會檢查自己是否發過請求報文, 也不管 (其實也不知道) 是否是合法應答, 只要接收到目標MAC是自己的ARP廣播報文, 都會接收并更新緩存, 這就為ARP欺騙提供了可能。

假設局域網分別有IP地址為192.168.0.1、192.168.0.2和192.168.0.3的A、B、C三臺主機, 假如A和C之間正在進行通此時B向A發送一個自己偽造的ARP應答, 而這個應答中的數據為發送方IP地址是192.168.0.3, MAC地址是BB-BB-BB-BB-BB-BB, 當A接收到B偽造的ARP應答, 就會更新本地的ARP緩存, 這時B就偽裝成C了。同時, B同樣向C發送一個ARP應答, 應答包中為發送方IP地址192.168.0.1, MAC地址BB-BB-BB-BB-BB-BB, 當C收到B偽造的ARP應答, 也會更新本地ARP緩存, 這時B又偽裝成了A。這時主機A和C都被主機B欺騙, A和C之間通的數據都經過了B, 主機B完全劫持目標主機與其他主機的會話。

2 ARP欺騙的防御技術與解決辦法

2.1 ARP欺騙監測技術

2.1.1 手動監測

網絡管理員可以通過命令查看主機的ARP表或路由器ARP表, 也可以利用Ethereal等Sniffer工具進行抓包, 發現可疑的〈IP, MAC〉地址映射, 分析可能存在的ARP欺騙并判斷欺騙類型。例如當利用命令查看路由器ARP表時發現有多個IP地址對應一個MAC的現象, 這就說明該局域網內存在欺騙網關類型的A R P欺騙。

2.1.2 動態監測

它可以分為被動監測和主動監測兩種。例如ARPWatch和ARP-Guard屬于被動監測, 僅監測網絡中是否存在ARP欺騙, 并不主動向外發送A R P報文;A R P防火墻則屬于主動監測, 在監測網絡是否存在ARP欺騙的同時, 還主動向外發送A R P報文, 防止對本機進行ARP欺騙。ARP防火墻是一種安裝在用戶主機上的ARP欺騙監測軟件, 能夠動態監測局域網內針對本主機和針對網關的A R P欺騙。但是如果設置錯誤, 主動監測的ARP防火墻會向局域網內發送大量A R P報文, 造成A R P報文的廣播風暴, 影響網絡通信。因此ARP防火墻的應用具有兩面性。

2.2 ARP欺騙防御技術

2.2.1 手動防御

防御ARP欺騙的簡單方法是網絡管理員分別在主機和路由器上靜態綁定〈IP, MAC〉地址映射。這種方法非常有效, 但僅適用于小規模的局域網。隨著網絡規模的擴大, 即使有相關軟件協助進行〈IP, MAC〉地址映射的綁定, 手動添加的方法也會使工作量迅速增加。而且這種方法不適用于DHCP自動分配地址的情況, 也不能適應網絡的動態變化。另一種有效的手動防御方法是在局域網中增加V L A N的數目, 減少VLAN中的主機數量。這種方法能夠縮小ARP欺騙影響的網絡范圍;缺點同樣是增加了網絡維護的復雜度, 也無法自動適應網絡的動態變化。

2.2.2 動態防御

M A C偽裝是A R P欺騙的一個變種。Port-Security是思科交換機支持的一種防御MAC偽裝的技術。使能Port-Security的交換機端口只允許學習有限數量的MAC地址, 如果設置為1, 則只允許一個合法的主機連接網絡, 偽裝的MAC地址就無法通過交換機。這種方式對防御M A C偽裝非常有效, 但不能解決其他類型的ARP欺騙問題。

(1) A R P欺騙監測。根據不同類型的ARP欺騙的表現特征, 分別采取端口鏡像監聽網絡、報文分析、分析路由器日志和分析路由器ARP表等方法, 動態發現網絡中可能存在的ARP欺騙。這種方法需要收集局域網內所有主機的IP和MAC地址, 這也由該軟件自動采集完成, 克服了手動防御中需要手動綁定〈IP, MAC〉地址映射的缺點。 (2) ARP欺騙主機定位。在監測到ARP欺騙后, 首先需要確定發起ARP欺騙主機的MAC地址, 然后對連接該主機的交換機設備定位;最后再對連接該主機的交換機端口進行定位, 定位操作主要通過SNMP協議完成。 (3) 關閉該主機連接。在完成主機和交換機端口定位后, 利用SNMP協議關閉連接該主機的交換機端口, 并以郵件或網頁的形式通知用戶。動態的監測與防御系統可以根據ARP欺騙類型分別采取相應的監測方法, 對發起ARP欺騙的主機及時定位并斷開連接, 準確率較高, 能夠有效地避免ARP欺騙的擴散, 在一定程度上緩解了局域網內A R P欺騙的問題。但是該系統只是在監測到ARP欺騙之后進行處理, 不能從根本上解決ARP欺騙的問題。另外, 局域網中大規模爆發的ARP欺騙在系統監測到問題前就已經使網絡不能正常通信, 影響系統的監測效果, 只能由網絡管理員參與處理。

3 ARP欺騙避免技術

ARP欺騙是由于ARP協議的安全缺陷以及信任局域網內主機造成的。要徹底避免發生A R P欺騙, 必須對A R P協議進行改進, 增強其安全特性。為與上面總結的ARP欺騙防御技術相區別, 本文稱之為ARP欺騙避免技術。

3.1 加密與認證技術

ARP協議建立在信任局域網內主機的基礎上, 對ARP報文不作任何加密和認證, 這是ARP欺騙產生的重要原因。文獻[2~5]分別提出利用加密認證技術來改進A R P協議, 通過對ARP報文進行認證避免發生AR P欺騙。Gouda等人[2]提出一種新的地址解析架構, 它包括一個安全服務器和兩種新協議:邀請—接受和請求—應答。邀請—接受協議用于主機向安全服務器注冊其〈IP, M AC〉地址映射;請求—應答協議用于主機向安全服務器請求局域網中其他主機的M AC地址。這種架構與標準的ARP協議不兼容, 且安全服務器存在單點故障問題。但是它為利用安全認證技術改進ARP協議提供了很好的借鑒。安全ARP協議 (S-ARP) 是由Brushi等人[3]于2003年提出的一種ARP協議改進方案。其主要思想是利用非對稱加密技術來對ARP報文進行認證, 避免發生AR P欺騙。安全ARP協議需要在局域網中增加一個權威密鑰分發服務器 (authoritative k ey distributor, AKD) , 用來保存局域網中每臺主機的IP地址和公鑰。運行安全ARP協議的主機需要連接到AKD服務器獲取發送ARP報文主機的公鑰, 對接收到的A R P報文進行驗證, 同時主機緩存該公鑰以提高運行效率。安全ARP協議只需在標準A R P報文的尾部增加一個認證字段用于攜帶發送主機的數字簽名, 因此與ARP協議相兼容。安全A R P協議的優點是利用非對稱加密技術驗證A R P報文的合法性, 與A R P協議相兼容, 但仍存在AKD服務器單點故障和重放攻擊等缺點, 而且安全ARP協議存在的認證過程影響了運行效率。文獻[4]基于安全A R P協議的架構提出一種改進方案, 采用將數字簽名與基于哈希鏈的一次性密碼技術相結合的方法來驗證ARP報文, 提高安全ARP協議的運行效率。票據ARP協議 (ticket-ARP) [5]是利用加密認證技術提出的另外一種改進方案。它通過在A R P消息中發布集中產生的〈IP, MAC〉地址映射證明 (稱之為票據) , 實現ARP報文的驗證。這些票據由一個本地票據代理 (local tickets a gent, LTA) 集中產生和標記, 發送主機在A RP報文中附加上票據以便接收者進行驗證。對于TARP協議的詳細工作過程請參考文獻[5]。TARP協議與ARP協議兼容, 但與安全A R P協議一樣, 也面臨著L T A服務器單點故障和重放攻擊的問題。

3.2 與DHCP協議相結合

還有一種與DHCP協議相結合的安全單播ARP (S-UARP) 協議, 將基于廣播的安全ARP協議 (S-ARP) 改進成一種單播協議。當局域網內的一臺主機想與其他主機通信時, 首先向支持安全單播ARP協議的DHCP服務器 (稱之為DHCP+) 發送S-UARP請求報文, DHCP+服務器查找它所分配的〈IP, MAC〉地址映射, 發回相應的S-UARP應答報文;主機在收到應答報文后再向DHCP+服務器發送確認報文, 安全單播ARP協議采用類似三次握手的方式完成I P地址和MAC地址的解析。為支持安全單播ARP協議, DHCP代理也需要進行相應的修改。S-UARP協議的優點是改進的單播協議避免了A R P欺騙的發生, 減輕了局域網的A R P廣播流量;缺點是為支持安全單播ARP協議, 不僅需要改變A R P協議, 還需要改進DHCP服務器和DHCP代理, 實現比較復雜。而且DHCP服務器也面臨著許多安全問題, 首先需要保證DHCP服務器的安全。交換機首先進行DHCP snooping監聽, 將主機從DHCP服務器獲得的IP地址及其MAC地址保存到數據庫 (或文件) 中, 在接收到ARP請求報文時取出報文中的源IP地址與數據庫中的記錄進行比較, 丟棄無效的ARP報文。D A I技術無須修改A R P協議和D H C P服務器, 但是需要部署支持DHCP snooping功能的交換機, 經濟成本比較高。目前其他廠家的交換機也具有利用DHCP snooping技術來避免發生ARP欺騙的功能。

4 現有技術的比較

通過比較也可以看出, 常規的ARP欺騙監測和防御技術由于方法簡單, 已經在局域網中得到應用, 但是效果并不明顯, 不能從根本上避免A R P欺騙的發生。改進A R P協議的A R P欺騙避免技術則比較復雜, 應用需求也比較多, 其中基于中間件的方法需要修改系統內核, 對于已經部署的數量龐大的主機和網絡設備來說采用這種方法并不現實;采用安全認證技術的方法需要在局域網中增加集中式的安全服務器, 這種方法具有一定的可行性, 但是目前還沒有得到實用;與DHCP服務相結合的方法則需要DHCP服務器和交換機的支持, 由于這種方法得到了廠商的支持, 在一些局域網中已經得到了部分應用。A R P欺騙避免技術對于主機、交換機和服務器的需求都很高, 因此部署難度比較大, 仍然需要進一步的研究和改進。

5 結語

本文簡要介紹了A R P協議的工作流程, 闡述了ARP欺騙產生的原理以及攻擊形式, 并對已有的針對ARP欺騙的監測、防御與避免技術進行分類和總結;著重介紹了其工作原理和優缺點, 并提出研究改進ARP協議需要綜合考慮的因素。下一步工作將重點研究改進ARP協議, 探討可信任的安全局域網的設計與實現。

摘要：近年來, 大學校園網或多或少的會受到ARP欺騙的侵擾, 這在一定程度上干擾了正常的教學秩序和工作秩序。本文通過ARP協議原理分析揭示ARP協議欺騙, 并給出相應的防御措施及解決辦法。

關鍵詞：ARP,欺騙,防御

參考文獻

[1] Ethereal a network protocol analyzer[EB/OL]. (200605) [2008-04-10].http://www.ethereal.com.

[2] GOUDA M G, HUANG C T.A secureaddress resolution protocol[J].ComputerNetworks, 2003, 41 (1) :57～71.

[3] BRUSCHI D, ORNAGHI A, ROSTI E.S-ARP:a secure address resolutionprotocol[C]//Proc of the 19th Com-puter Security Applications Conference.Washington DC:IEEE Computer Society, 2003:66～74.

[4] GOYAL V, ABRAHAM A.An effi-cient solution to the ARP cache poi-soning problem[C]//Proc of the 10thAustralasian Conference on Informa-tion Security and Privacy.Berlin:Springer, 2005:40～51.

[5] LOOTAHW, ENCKW, Mc DANIEL P.TARP:ticket-based address resolutionprotocol[C]//Proc of the 21stAnnualComputer Security Applications Conference.2005:106～116.

[6] 楊名川.利用華為交換機防止ARP欺騙[J].現代計算機, 2007 (2) :110～112.

[7] 陳偉斌, 薛芳, 任勤生.ARP欺騙攻擊的整網解決方案研究[J].廈門大學學報:自然科學版, 2007, 46 (S-2) :100～103.

[8] 徐丹黎, 俊偉, 高傳善.基于Ethernet的網絡監聽以及ARP欺騙[J].計算機應用與軟件, 2005, 22 (11) :105～107.

[9] 吳小平, 周建中, 方曉惠.基于SNMP的ARP欺騙主動防御機制[J].華中師范大學學報:自然科學版, 2007, 41 (4) :512～514.

[10] 陳文波, 李善璽.針對ARP欺騙的動態檢測防御系統[J].中國教育網絡, 2007 (8) :76～77.

[11] 陳輝, 陶洋.基于Wincap實現對ARP欺騙的檢測和恢復[J].計算機應用, 2004, 24 (10) :65～67, 85.