ARP欺騙處理方案(一)

一、 什么是ARP

   ARP（Address Resolution Protocol， 地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的低層協(xié)議， 負責(zé)將某個IP地址解析成對應(yīng)的MAC地址。

在局域網(wǎng)中， 網(wǎng)絡(luò)中實際傳輸?shù)氖?ldquo;幀”， 幀里面是有目標(biāo)主機的MAC地址的。 在以太網(wǎng)中， 一個主機要和另一個主機進行直接通信， 必須要知道目標(biāo)主機的MAC地址。 但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。 所謂‘地址解析“就是主機在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。 ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址， 查詢目標(biāo)設(shè)備的MAC地址， 以保證通信的順利進行。

二、 ARP的工作原理

   在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表， 表里的IP地址與MAC地址是一一對應(yīng)的， 在命令提示符下， 輸入“arp -a”就可以查看ARP緩存表中的內(nèi)容了：

   注：用“arp -d”命令可以刪除ARP表的內(nèi)容；用“arp -s”可以手動在ARP表中指定IP地址與MAC地址的對應(yīng)。

   我們以主機A（192.168.1.5）向主機B（192.168.1.1）發(fā)送數(shù)據(jù)為例。 當(dāng)發(fā)送數(shù)據(jù)時， 主機A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。 如果找到了， 也就知道了目標(biāo)MAC地址， 直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址， 主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播， 目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”， 這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“192.168.1.1的MAC地址是什么？”網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問， 只有主機B接收到這個幀時， 才向主機A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。 這樣， 主機A就知道了主機B的MAC地址， 它就可以向主機B發(fā)送信息了。 同時它還更新了自己的ARP緩存表， 下次再向主機B發(fā)送信息時， 直接從ARP緩存表里查找就可以了。

   ARP緩存表采用了老化機制， 在一段時間內(nèi)如果表中的某一行沒有使用， 就會被刪除， 這樣可以大大減少ARP緩存表的長度， 加快查詢速度。

   作為攻擊源的主機偽造一個ARP響應(yīng)包， 此ARP響應(yīng)包中的IP與MAC地址對與真實的IP與MAC對應(yīng)關(guān)系不同， 此偽造的ARP響應(yīng)包廣播出去后， 網(wǎng)內(nèi)其它主機ARP緩存被更新， 被欺騙主機ARP緩存中特定IP被關(guān)聯(lián)到錯誤的MAC地址， 被欺騙主機訪問特定IP的數(shù)據(jù)包將不能被發(fā)送到真實的目的主機， 目的主機不能被正常訪問。

四、 ARP欺騙的癥狀

   網(wǎng)絡(luò)時斷時通

   網(wǎng)絡(luò)中斷， 重啟網(wǎng)關(guān)設(shè)備， 網(wǎng)絡(luò)短暫連通

   內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；

   頻繁提示ＩＰ地址沖突；

   硬件設(shè)備正常， 局域網(wǎng)不通；

   特定IP網(wǎng)絡(luò)不通， 更換IP地址， 網(wǎng)絡(luò)正常；

   禁用-啟用網(wǎng)卡， 網(wǎng)絡(luò)短暫連通；

   網(wǎng)頁被重定向。

……………………

五、 ARP欺騙解決方案：

   方案A：IP-MAC綁定

   通過雙向IP-MAC綁定可以抵御ARP欺騙， 解決由于ARP欺騙造成的網(wǎng)絡(luò)掉線、IP沖突等問題， 保證網(wǎng)絡(luò)暢通。

   1、客戶機綁定網(wǎng)關(guān)IP-MAC：在客戶機設(shè)置網(wǎng)關(guān)IP與MAC為靜態(tài)映射，

將如下內(nèi)容復(fù)制到記事本中并保存為staticarp.reg， （網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC根據(jù)實際情況填寫， 例："staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05"）

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

    CurrentVersion\Run]

    "staticarp"="arp –s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC "

   將如下內(nèi)容復(fù)制到記事本并保存到與staticarp.reg相同的文件夾位置， 文件名為run.bat， （網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC根據(jù)實際情況填寫， 例："staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05"）

     @each off

    regedit /s .\runstaticarp.reg

    arp -s網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

   雙擊運行run.bat

   2、利用APC的軟件分發(fā)功能給客戶機分發(fā)IP-MAC綁定程序

將staticarp.reg、run.bat保存到同一文件夾下， 登錄Ahnlab Plicy Center Admin， 服務(wù)器管理—登錄分發(fā)軟件—添加， <要分發(fā)的文件夾>選中保存staticarp.reg、run.bat的文件夾， <執(zhí)行壓縮文件名>中輸入對所選擇的文件夾壓縮后生成的壓縮文件的名稱， <登錄包名稱>中輸入應(yīng)用程序名稱， <說明>中輸入簡單說明， <解壓縮后執(zhí)行文件>中輸入run.bat， 單擊<確定>。

   Ahnlab Plicy Center Admin—策略管理中選中需要分發(fā)的群組或客戶機， 點右鍵， 緊急安全指令-分發(fā)， 選中<一般軟件>， 選中要分發(fā)的軟件， 點擊<確認>。

   3、網(wǎng)關(guān)綁定客戶機IP-MAC：使用支持IP/MAC綁定的網(wǎng)關(guān)設(shè)備， 在網(wǎng)關(guān)設(shè)備中設(shè)置客戶機的靜態(tài)IP-MAC列表。

注：方案A可以抵御ARP欺騙， 保證網(wǎng)絡(luò)正常運行， 但不能定位及清除ARP攻擊源。

   方案B：利用ARP命令及nbtscan定位ARP攻擊源

   1、確定ARP攻擊源MAC地址

   ARP欺騙發(fā)作時， 在受到ARP欺騙的計算機命令提示符下輸入arp –a， APP緩存中網(wǎng)關(guān)IP對應(yīng)的MAC地址如果不是真實的網(wǎng)關(guān)MAC地址， 則為ARP攻擊源的MAC地址， 一個MAC地址對應(yīng)多個IP地址的為ARP攻擊源的MAC地址；在網(wǎng)關(guān)ARP緩存中一個MAC對應(yīng)多個IP的為ARP攻擊源的MAC地址。

   2、定位ARP攻擊源計算機

   已全網(wǎng)面署APC2.5的環(huán)境：在Policy Center Admin 2.5中， 查找agent， 查找ARP攻擊源的MAC地址， 定位攻擊源計算機。

未布署APC2.5的環(huán)境：運行Nbtscan MAC掃描器gui.exe， 輸入局域網(wǎng)IP地址范圍， 點擊開始， 顯示局域網(wǎng)內(nèi)IP、計算機名與MAC對應(yīng)關(guān)系， 查找ARP攻擊源MAC對應(yīng)的IP地址及計算機名， 根據(jù)IP地址及計算機名定位攻擊源計算機。