ARP攻击防御在企业网络安全管理中的应用.docVIP

ARP攻击防御在企业网络安全管理中的应用 　　摘要： 针对现有企业网络中经常遇到的ARP攻击问题，分析攻击时现象，对ARP的原理和缺陷进行分析。针对不同的攻击方式提出不同的防御方法。经过在企业网络中的实施，结果表明提出的防御措施能有效的防御ARP攻击。 　　关键词： ARP；网关；网络安全 　　中图分类号：TN219文献标识码：A文章编号：1671－7597（2011）0720149－01 　　 　　0 引言 　　网络在企业中发挥越来越重要的作用，推进了企业管理的现代化、信息化。网络的稳定、安全、高效的运行是网络管理的重要任务。然而，现实的网络安全问题却日趋严重，近来的ARP木马出现，给企业的网络带来诸多安全问题。应用中具体表现如下：网络连接正常但经常掉线；无法打开网页；局域网时断时续而且网速较慢；局域网内的部分PC机能正常工作，部分无法访问Internet连接；严重时局域网内大面积发生异常，直接影响到企业的办公秩序。 　　1 ARP现象分析 　　在无法正常上网时，查看本机的arp信息。通过在“运行”中输入cmd命令，在命令提示行下执行“arp-a”来查询本机的相关MAC地址列表，则将返回本机的arp缓存信息。其中有一个或多个是错误的MAC地址。造成这种结果的原因，可能是因为局域网内有一台或若干台计算机在进行ARP攻击，大多数情况下是局域网内的机器感染了ARP地址欺骗类的病毒。感染病毒的主机变成了攻击者，这样企业网络就会出现瞬间掉线或大面积的断网的现象。 　　2 ARP协议分析 　　ARP（Address Resolution Protocol）地址解析协议是TCP/IP体系机构中的一种协议，主要用于将计算机的IP地址转化为MAC地址。换句话说就是通过目标设备的IP地址，查询目标设备的MAC地址，从而保证通信的顺利进行。安装有TCP/IP协议的任意一台计算机里都有一个ARP缓存表，网络通信过程使用IP地址，但在终端部分或设备之间都需要MAC地址来提交。ARP缓存表里的IP地址与MAC地址是一一对应的，如果计算机中的ARP缓存表被修改，或者有主机向路由器通知一系列错误的内网IP，甚至伪造虚假网关进行欺骗时，网络就会出现大面积的掉线问题。ARP协议是建立在信任所有结点的基础上的，属于无状态的协议，ARP协议不会检查自己是否发送过请求包，也不管是否是合法的应答包。只要收到目标MAC是与自己相关的都会接受并缓存。这样从ARP协议本身的漏洞就为欺骗提供了可能。所以在企业网络中ARP攻击频频出现，如何有效的防范ARP攻击，确保网络畅通，已经成为企业网络管理的一个重要内容。 　　3 ARP攻击过程分析 　　假设局域网的同一网段内有两台PC进行通讯，一台PC B，另一台PC A。通信过程中PC B首先需要知道PC A的MAC地址，PC B就查找自己缓存中存贮的ARP表，如果查找到就继续进行，否则发送广播信息进行查找。当网络中有主机改变IP地址或其它协议允许情况时，其它主机接收到改变信息后也会自动刷新自己的ARP缓存表。按照RFC的规定，PC在发ARP响应时不需要先收到ARP请求报文，局域网中任何一台PC都可以向网络内其它PC发送ARP通告：声称自己就是PC X和MAC X的对应关系（X为任意IP地址和对应的MAC地址），这给攻击者带来可乘之机。攻击者很容易发送虚假的ARP响应报文来扰乱局域网中被攻击主机的ARP缓存表，从而使得网络中的合法主机无法正常上网。 　　假设现在有三台合法主机A，B，C位于同一个交换式局域网中，主机B，C正在进行正常通信，主机A想监听到BC的通信数据，于是A就可以伪装成C对B做ARP欺骗。向主机B发送伪造的ARP应答包，应答包中的地址为C的IP地址而MAC地址为A的MAC地址，让主机B误认为A就是C，也就是主机B把C的IP地址映射到的MAC地址为主机A的MAC地址。这样主机B想要发送给主机C的数据实际上却发送给了主机A，攻击者就达到了嗅探数据的目的。 　　从攻击过程看，ARP欺骗可以分为二种：一种是对路由器交换机ARP表的欺骗；另一种是对局域网内PC的网关和主机地址欺骗。第一种ARP欺骗的原理是通知路由器一系列错误的内网MAC地址，使真实的地址信息无法保存在路由器中，造成路由器将所有数据发送给错误的MAC地址，而正常合法的用户无法收到信息。第二种ARP欺骗的原理是伪造通信网关。通过建立虚假网关让被欺骗的PC向虚假网关发送数据，而不是通过正常的路由器发送数据，这样无法完成通信。在PC看来，即为网络掉线。如果用户发送了账户密码信息，则会被伪造的网关所截获，会给用户带来许多安全隐患，甚至会带来经济损失。 　　4 ARP攻击防御 　　当发生ARP攻击后，可以通过Sniffer等网络工具，监控网