防范局域網(wǎng)內(nèi)的ARP攻擊、ARP病毒

ARP定義

ARP（address Resolution Protocol， 地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的底層協(xié)議， 負責將某個IP地址解析成對應(yīng)的MAC地址。

ARP攻擊、ARP病毒的原理

ARP攻擊、ARP病毒的原理就是通過廣播機制向局域網(wǎng)的其他電腦廣播一個偽造的網(wǎng)關(guān)的IP地址和MAC地址對照表， 局域網(wǎng)其他電腦的受到這個偽造的信息之后就會更新自己的ARP表。 這樣， 當被控制的電腦向外發(fā)送報文時雖然會根據(jù)正確的網(wǎng)關(guān)的IP地址發(fā)包， 但是實際上卻發(fā)送到了一個錯誤的MAC地址上， 導(dǎo)致數(shù)據(jù)報文無法發(fā)送出去， 從而出現(xiàn)無法上網(wǎng)、掉線的情況。 同時， ARP攻擊還有更進一步的攻擊方式， 就是發(fā)送偽造整個局域網(wǎng)的IP地址對應(yīng)的MAC地址， 這樣局域網(wǎng)所有的電腦的ARP表格存儲的網(wǎng)關(guān)、其他電腦的IP和MAC地址對應(yīng)關(guān)系都發(fā)生變化， 這樣被攻擊的電腦不但不能訪問公網(wǎng)， 而且還不能訪問局域網(wǎng)， 就好似每個電腦都被隔離一樣。 上述這兩種ARP攻擊方式會給局域網(wǎng)帶來巨大的危害。 當前一些局域網(wǎng)攻擊軟件， 如局域網(wǎng)終結(jié)者、網(wǎng)絡(luò)執(zhí)法官、網(wǎng)絡(luò)剪刀手都是采用這種攻擊方式。

因此， 有效地防止ARP病毒、防御ARP攻擊是當前網(wǎng)絡(luò)管理中一個非常重要的課題。

如何防止ARP攻擊、ARP病毒？

當前國內(nèi)有一些形形色色的防止ARP攻擊的解決方案， 例如當前流行的ARP防火墻。 其實現(xiàn)原理就是讀取本機ARP緩存表里面的網(wǎng)關(guān)的IP和對應(yīng)的MAC地址， 然后加以靜態(tài)綁定， 不再接受廣播收到的ARP信息， 但是這種防御機制有很大的弊端， 因為可能在ARP防火墻在讀取ARP緩存表之前， 本機已經(jīng)被ARP攻擊了， 就是ARP緩存表里面存儲的網(wǎng)關(guān)的MAC地址本來就是錯誤的， 這樣使得ARP防火墻讀取到的網(wǎng)關(guān)的MAC地址就是錯誤的， 所以不但不能防御ARP攻擊， 還可能直接導(dǎo)致本機無法上網(wǎng)。 同時， ARP防火墻的機制， 也只能防御ARP攻擊中的“網(wǎng)關(guān)欺騙”。 但是隨著ARP攻擊水平的不斷提高， 他們可以轉(zhuǎn)而攻擊局域網(wǎng)的路由器、防火墻等網(wǎng)關(guān)設(shè)備， 這種攻擊也就是常見的“會話劫持”， 從而同樣會導(dǎo)致局域網(wǎng)的電腦出現(xiàn)斷網(wǎng)、掉線等情況。 這種情況下， ARP防火墻形同虛設(shè)， 沒有任何作用了。

針對當前ARP攻擊的復(fù)雜性， 大勢至(北京)軟件工程有限公司公司（官方網(wǎng)址：http://www.grablan.com/）推出了新一代的聚生網(wǎng)管系統(tǒng)， 通過在局域網(wǎng)內(nèi)的ARP信息進行深度的檢測， 可以實時探測局域網(wǎng)內(nèi)的ARP廣播情況， 一旦發(fā)現(xiàn)局域網(wǎng)內(nèi)有ARP攻擊行為， 聚生網(wǎng)管系統(tǒng)會自動識別ARP欺騙的攻擊源主機， 并將相關(guān)信息輸出給網(wǎng)絡(luò)管理員；同時， 聚生網(wǎng)管系統(tǒng)還會自動啟用ARP欺騙免疫機制， 向局域網(wǎng)的電腦廣播正確的網(wǎng)關(guān)的IP和MAC地址， 并可以在特定情況下為被控制的電腦提供代理上網(wǎng)機制， 以保證局域網(wǎng)被控制電腦的上網(wǎng)一直保持暢通狀態(tài)， 將ARP攻擊、ARP欺騙、ARP病毒的危害降低到最小。