ARP欺骗与防御手段

ARP欺骗与防御手段神州数码网络公司

目录

1. ARP欺骗 (3)

1.1. ARP协议工作原理 (3)

1.2. ARP协议的缺陷 (3)

1.3. ARP协议报文格式 (4)

1.4. ARP攻击的种类 (5)

1.4.1. ARP网关欺骗 (5)

1.4.2. ARP主机欺骗 (6)

1.4.3. 网段扫描 (8)

1.ARP欺骗

在与用户的沟通过程中，感觉到用户的网络管理人员最头痛也是频繁出现的问题就是ARP的病毒攻击问题。在一个没有防御的网络当中暴发的ARP病毒带来的影响是非常严重的，会造成网络丢包、不能访问网关、IP地址冲突等等。多台设备短时间内发送大量ARP 报文还会引起设备的CPU利用率上升，严重时可能会引起核心设备的宕机。

如何解决ARP攻击的问题呢？首先要从ARP攻击的原理开始分析。

1.1. ARP协议工作原理

在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC 地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。

TCP/IP协议栈维护着一个ARP cache表，在构造网络数据包时，首先从ARP表中找目标IP对应的MAC地址，如果找不到，就发一个ARP request广播包，请求具有该IP地址的主机报告它的MAC地址，当收到目标IP所有者的ARP reply后，更新ARP cache。ARP cache有老化机制。

1.2. ARP协议的缺陷

ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。

1.3. ARP协议报文格式

报文的前两个字段分别为目地MAC地址和源MAC地址，长度共12个字节。当报文中，目地MAC地址为全1（FF:FF:FF:FF:FF:FF）时候，代表为二层广播报文。同一个广播域的主机均会收到。

第三个字段是帧类型，长度2个字节。对于ARP报文，这个字段的值为“0806”。

接下来两个2字节的字段表示硬件地址类型和对应映射的协议类型。

硬件地址类型值为“0001”代表以太网地址。协议类型值为“0800”代表IP地址。

后跟两个1字节的字段表示硬件地址长度和协议地址长度。这两个字段具体数值分别为“6”和“4”代表硬件地址长度使用6字节表示和协议地址长度使用4字节表示。

类型字段，长度2个字节。这个字段的值表示出ARP报文属于那种操作。ARP请求（值为“01”，ARP应答（值为“02”），RARP请求（值为“03”）和RARP应答（值为“04”）。

最后四个字段为发送端MAC地址、发送端IP地址、接收端MAC地址、接收端IP地址。（其中，发送端MAC地址与字段2的源MAC地址重复。）

1.4. ARP攻击的种类

针对ARP攻击的不同目地，可以把ARP攻击分为网关欺骗、主机欺骗、MAC地址扫描几类。下面分析一下每种ARP攻击使用的方法和报文格式。

1.4.1.ARP网关欺骗

在ARP的攻击中，网关欺骗是一种比较常见的攻击方法。通过伪装的ARP Request报文或Reply报文到修改PC机网关的MAC-IP对照表的目地。造成PC机不能访问网关，将本应发向网关的数据报文发往被修改的MAC地址。

网关欺骗的报文格式：

主要参数：

Destination Address ：00:0B:CD:61:C1:26（被欺骗主机的MAC地址）

Source Address ：00:01:01:01:01:01 （网关更改的虚假MAC地址）Type ：1 （ARP的请求报文）

Source Physics ：00:01:01:01:01:01

Source IP ：211.68.199.1

Destination Physics ：00:0B:CD:61:C1:26

Destination IP ：211.68.99.101

按上面的格式制作的数据包会对MAC地址为00:0B:CD:61:C1:26的主机发起网关欺骗，将这台PC机的网关211.68.199.1对应的MAC地址修改为00:01:01:01:01:01这个伪装的MAC 地址。

可以看到，上面这个网关欺骗的报文为单播ARP请求报文（Reply类同，在此不做详细介绍）。直接针对目地主机。对于这样的报文，唯有将它在进入端口的时候丢弃，才能保证网络当中的PC机不会受到这样的攻击。

1.4.

2.ARP主机欺骗

ARP主机欺骗的最终目地是修改PC机或交换机设备的MAC表项。将原本正确的表项修改为错误的MAC地址。最终导致PC机不能访问网络。

ARP主机欺骗可以使用单播报文实现也可以使用广播报文实现。

使用单播报文：

主要参数：

Destination Address ：00:10:C6:DD:A6:28（被欺骗主机的MAC地址）

Source Address ：00:01:01:01:01:01 （101更改的虚假MAC地址）

Type ：2 （ARP的应答报文）

Source Physics ：00:01:01:01:01:01

Source IP ：211.68.199.101

Destination Physics ：00:10:C6:DD:A6:28