网络中ARP攻击的发现与定位以及防御方法

admin管理员组

文章数量:1537402

2024年1月13日发(作者：)

网络中ARP攻击的发现与定位以及防御方法

【摘要】本文首先介绍了ARP协议，其次探讨了ARP攻击原理及ARP攻击类型及ARP攻击的发现与定位，最后提出ARP攻击防御策略。本文的讨论不仅推动网络的发展，而且可以提高人们信息的安全。

【关键词】网络；ARP攻击；发现；定位；防御；方法

一、前言

当今社会是一个信息时代，网络的发展对人类的贡献是巨大的。网络的普及在让人类享受好处的同时，也带来不少的安全问题，例如ARP的病毒就是一项对局域网攻击的内容，其危害是巨大的。因此，我们应该加强对ARP的学习，掌握其相关的知识，达到更好阻止ARP的效果。

二、ARP协议简介

ARP，即地址解析协议（Address Resolution Protocol），通过IP地址来得到MAC地址。因为在TCP/IP网络环境中，每个主机都分配有一个32位的IP地址。但是以太网协议中规定，主机之间进行通信，源主机必须知道目标主机的MAC地址，即物理地址。TCP/IP协议分为四层，最上层为应用层，往下依次是传输层、网络层和数据链路层。在TCP/IP协议栈中，网络层和传输层只是关心目标主机的IP地址，因此，当主机之间进行通信的时候，数据链路层的以太网协议接到上层的IP协议提供的数据中，只包含有目标主机的IP地址。这个时候，就需要一种方法，将目标主机的32位IP地址转换成48位的MAC地址，ARP协议应运而生。一台主机安装有TCP/IP协议之后，就会在主机里面形成一个ARP缓存表，在这个缓存表中，IP地址和MAC地址是一一对应的。

三、ARP攻击原理及ARP攻击类型

1、ARP攻击原理

ARP在当初设计时，并没有在数据链层上进行安全防范，之所以这样做是为了能够获得更高的传输效率。因此，在使用 ARP 协议时，是不需要通过认证，而局域网在使用 ARP 协议时是假定相互通信的双方是值得信赖和相互独立的，因此任何主机在没有得到请求时，也是可以做出应答的，这时，一旦其接受到

ARP 应答包，就会对缓存中的内容进行更改刷新。因此，ARP 欺骗手段就是通过将伪造的ARP应答发送到目标主机，使目标主机接收伪造应。答中的IP与MAC的对应关系，达到改变目标主机的ARP缓存。

2、由于ARP协议设计之初，并没有考虑到网络中主机的不安全性，因此，在ARP协议中存在着一些不安全因素，主要体现在以下四个方面，无连接性、无认证性、无状态性和广播性。

（1）IP地址冲突攻击

因为IP地址对主机来说相当于一个唯一的身份证号码，每台主机的IP地址都不能相同，如果，有IP地址相同的两台主机，就会导致IP地址冲突。一台主机检测自身IP地址是否与网络中其他主机IP地址冲突的方法是向网络中发送广播，将目标主机的IP地址设为自身的IP地址，如果收到应答则证明网络中存在于自身IP地址相同的主机，这时，本机上会弹出IP地址冲突的警告。很多ARP攻击者利用这一原理，将ARP数据包中的源主机IP地址和目标主机IP地址均设置为被攻击者的IP地址，将目标主机的MAC地址设置为被攻击者的MAC地址，被攻击者收到这个数据包之后，就会以为IP地址存在冲突，从而释放掉自身的IP地址，导致无法正常通信。

（2）ARP泛洪攻击

在网络中的每一个网络设备中都存在着一张ARP表，ARP表的大小是固定的，攻击者不断的发送伪造的ARP广播数据包，让交换机不停的处理广播数据包，耗尽了带宽，另外，大量虚假的MAC地址填充了整个ARP表，从而让网络设备无法根据ARP表进行正常的通信。

（3）ARP欺骗

ARP协议并不只有在发送了ARP请求之后才接收ARP应答，当主机接收到一个ARP应答数据包之后，它就会更新自己的ARP缓存表。如果攻击者伪造一个ARP应答，主机也会将这个伪造的IP地址和MAC地址的映射存入ARP缓存表中，从而可能让网络出现问题。ARP欺骗分为两种，一种是攻击者将自己伪装成主机，给网关发送一系列错误的MAC地址，并且按照一定的频率不断进行，让真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送到错误的MAC地址，从而导致主机无法正常收到信息。第二种是伪造网关，即建立假网关，让被它欺骗的主机向假网关发送数据，从而截获了这些信息。

四、ARP攻击的发现与定位

要定位感染 ARP木马电脑的MAC地址有三种方法可供选择：

方法一：可以查看三层交换机网段里面的ARP信息（如 cisco 6509 中可以输入show ARP|include网段相同部分），如果发现里面存在有不同 IP 对应相同

MAC列表的情况，就可以肯定该网段内有 ARP 欺骗，这个MAC地址就是感染 ARP木马的电脑 MAC。

方法二：用户端可以通过输入命令的方式，输入 arp- a 命令即可显示与该电脑直连设备的 MAC，就会发现电脑网关所对应的MAC 地址是否被修改，如果被修改就可判定该电脑感染了 ARP木马程序。

方法三：安装网络检测软件的用户，如果网段中有ARP攻击，检测软件会

有报警，如antiARP 软件会自动弹出攻击者的 MAC 地址，网络执法官则会显示一个与 MAC 地址对应的两个 IP 地址，其中一个IP必然为网关，那该 MAC

对应电脑就是攻击者了。如果确定了 MAC 的攻击者，还需要进行物理位置定位来确定该电脑的使用者，以便及时通知对方进行处理，现在高校用户大部分使用真实 IP 地址进行上网，只要找到该 IP地址就等于找到了该用户。为大家介绍两种方法来通过 MAC 地址查找 IP地址。

方法一：命令法。下载 nbtscan DOS软件，在虚网中任意主机运行

nbtsacn218.197.57.0/24 就可以得到该段内所在的用户的 IP 对应的MAC，通过

MAC查询，就可以得到该机的 IP。

方法二：软件法。利用网络执法官软件保存该网段内所有 IP 所对应的MAC，当发现攻击电脑 MAC 时就可找到该 IP，从而定位到该电脑。

另外，对于采用 DHCP服务器进行 IP 地址分配的网络，由于每台没有固定IP，很难通过IP直接定位，那需要我们利用IP冲突查找，只要将网内某台电脑IP 修改为该感染ARP 木马的电脑IP,该电脑上面就会出IP冲突的提示，只要有用户打电话反映IP有冲突，那台电脑就是攻击者。

五、ARP攻击防御策略

由于ARP攻击是利用ARP协议本身的漏洞来开展的，要从根本上解决这个问题需要对修改ARP协议的认证体系，但是，修改协议从现阶段来说是不太可能实现的。在目前的情况下，我们可以采取以下几种措施来防御ARP攻击。

1、利用交换机对VLAN进行合理的分段，同时将VLAN和交换机绑定这种方式首先是将VLAN进行细分，从而有效减少广播域的范围，ARP的影响只会在很小的范围以内，不会产生很大很恶劣的影响；然后将与交换机连接的主机的IP地址与MAC地址的映射及其对应端口保存在交换机中，当交换机的某个端口收到ARP数据包的时候，就将包中的源地址与交换机中保存的源地址进行比较，一旦发现两者不符合，则会禁止该端口发来的所有数据包。

2、将IP地址和MAC地址进行绑定

很多ARP攻击者就是利用ARP缓存表会进行动态更新的特点来发动攻击的，因此，只要将ARP缓存表中的IP地址与MAC地址的映射绑定后且不允许刷新，就能够有效防止ARP攻击。不过，这种方法也有明显的确定，第一是重启之后必须重新绑定IP地址和MAC地址，十分麻烦；第二，这种绑定方法不灵活，一旦主机有变更，就需要重新对IP地址和MAC地址进行绑定，对于那种主机数量很多的局域网来说，这种方式是不可取的。

3、利用Sniffer等监听软件对局域网中的ARP数据包进行监听因为正常的主机在一定时间内发送和接收的数据包是一定的，只有那些ARP攻击者会在短时间内发送大量的数据包，因此，通过监听软件我们可以发现哪些主机在短时间

内发送了大量数据包，从而对这些主机进行排查。

4、在网关和主机上安装ARP防火墙

ARP防火墙通过在系统内核层拦截虚假的ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者。从而保证通讯数据安全和网络畅通、保证数据不受第三者控制。ARP防火墙包括拦截ARP攻击、拦截IP地址冲突、DOS攻击抑制和ARP数据分析的功能。

六、结束语

随着网络的发展，给人类的生活及事业都带来了巨大的发展，像资源共享，数据连接等。但是，网络同时也存在很多安全问题，ARP病毒是常攻击局域网的病毒，对网络安全带来威胁，需要我们了解相关的内容，并阻止ARP的攻击。

参考文献

[1]胡清桂.一种新的ARP协议改进方案[J.陕西科技大学学报（自然科学版），2011，30(05)：84—89.

[2]潘晓君.基于缓存超时的ARP欺骗攻击协议的研究[J].计算机技术与发展，2009,19(10):173—175.

[3]徐功文,陈曙.ARP 协议攻击原理及其防范措施[J].网络与信息安全,2005.

本文标签： 攻击IP地址地址网络进行