ARP欺骗的防范

页面分类: ARP欺骗

天下维客，你可以修改的网络知识库

ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

ARP欺骗的原理

• 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。
• 第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

→更多相关内容请参见ARP欺骗原理

域网可采用IP与MAC绑定

在PC上IP+MAC绑，网络设备上IP+MAC+端口绑。但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1（现在大多都已经打过了）等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。

如果网络设备上只做IP+MAC绑定，其实也是不安全的，假如同一二层下的某台机器发伪造的arp reply（源ip和源mac都填欲攻击的那台机子的）给网关，还是会造成网关把流量送到欺骗者所连的那个（物理）端口从而造成网络不通。

ARP绑定

ARP绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及地址记下来，再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表，因此完全不会受到有心人士的干扰，能有效地完成工作。在这种情况下，无论如何都可以防止因受到攻击而掉线的情况发生。 →设定前请先阅读确定网络中IP地址被ARP协议欺骗盗用的方法

• 但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。

1. 即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；
2. 必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。

• 双向绑定的解决方法，最为网管不喜欢的就是必须一台一台加以绑定，增加工作量。但是从以上的说明可知道，只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫，可以较全面性地解决现在及未来ARP攻击的问题，网管为了一时的省事，而采取片面的ARP echo解决方式，未来还是要回来解决这个问题。

另外，对于有自动通过局域网安装软件的网络，例如网吧的收费系统、无盘系统，都可以透过自动的批次档，自动在开机时完成绑定的工作，网管只要撰写一个统一的批次文件程序即可，不必一一配置。

双向绑定

以上以思想不坚定的快递员情况，说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚，只有以培训的方式让ARP协议的意志坚定，明白正确的工作方法，才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法，但是没有能从快递员意志不坚的特点着手，就好像只管不教，最终大家都很累，但是效果仍有限。

面对这种新兴攻击，取巧用省事的方式准备，最后的结果可能是费事又不管用，必须重新来过。ARP双向绑定虽然对网管带来一定的工作量，但是其效果确是从根本上有效，而且网管也可参考自动批次档的作法，加快配置自动化的进行，更有效地对抗ARP攻击。

→绑定方法请参见路由器配置-IP与MAC绑定的方法

使用ARP防护软件

比较常用的ARP工具主要有：

• 欣向ARP工具
• ARP防火墙

它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。→更多相关内容请参见ARP病毒专杀工具

采用具有ARP防护功能的路由器

• 对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。

不能解决问题的原因：

ARP的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。

• 可能你会有疑问：

我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息。

面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响。

运营商可采用Super VLAN或PVLAN技术

所谓Super VLAN也叫VLAN聚合，这种技术在同一个子网中化出多个Sub VLAN，而将整个IP子网指定为一个VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默认网关IP地址，不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。

PVLAN即私有VLAN（Private VLAN） ，PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

PVLAN和SuperVLAN技术都可以实现端口隔离，但实现方式、出发点不同。PVLAN是为了节省VLAN，而SuperVlan的初衷是节省IP地址。

ARPGuard的原理

ARPGuard可以保护主机和网关的通讯不受ARP欺骗的影响。

1. 第一次运行（或检测到网关IP改变）时获取网关对应的MAC地址，将网卡信息、网关IP、网关MAC等信息保存到配置文件中，其他时候直接使用配置文件。
2. 移去原默认路由（当前网卡的）
3. 产生一个随机IP，将它添加成默认网关。
4. 默认网关IP 和网关的MAC绑定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表项）
5. 周期性检测ARP Cache中原默认网关（不是随机IP那个） 网关的MAC在ARP Cache的值是否被改写，若被改写就报警。
6. 针对有些攻击程序只给网关设备（如路由器或三层交换机）发欺骗包的情况。由于此时本机ARP Cache中网关MAC并未被改变，因此只有主动防护，即默认每秒发10个ARP reply包来维持网关设备的ARP Cache（可选）
7. 程序结束时恢复默认网关和路由。

值得说明的是程序中限定了发包间隔不低于100ms，主要是怕过量的包对网络设备造成负担。如果你遭受的攻击太猛烈，你也可以去掉这个限制，设定一个更小的数值，保证你的通讯正常。

ARP echo

• 一种被淘汰的方法,建议不使用。只做简要介绍。

现在，这个方法不但面对攻击没有防制效果，还会降低局域网运作的效能，但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说，ARP echo的作法，等于是时时用电话提醒快递员正确的发送对象及地址，减低他被邻近的各种信息干扰的情况。

这种作法的明显不足：

1. 即使时时提醒，但由于快递员意志不坚定，仍会有部份的信件因为要发出时刚好收到错误的信息，以错误的方式送出去；这种情况如果是错误的信息频率特高，例如有一个人时时在快递员身边连续提供信息，即使打电话提醒也立刻被覆盖，效果就不好；
2. 由于必须时时提醒，而且为了保证提醒的效果好，还要加大提醒的间隔时间，以防止被覆盖，就好比快递员一直忙于接听总部打来的电话，根本就没有时间可以发送信件，耽误了正事；
3. 还要专门指派一位人时时打电话给快递员提醒，等于要多派一个人手负责，而且持续地提醒，这个人的工作也很繁重。

以ARP echo方式对应ARP攻击，也会发生相似的情况。

1. 面对高频率的新式ARP攻击，ARP echo发挥不了效果，掉线断网的情况仍旧会发生。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果，但碰到最近以攻击为手段的攻击软件则公认是没有效果的。
2. ARP echo手段必须在局域网上持续发出广播网络包，占用局域网带宽，使得局域网工作的能力降低，整个局域网的计算机及交换机时时都在处理ARP echo广播包，还没受到攻击局域网就开始卡了。
3. 必须在局域网有一台负责负责发ARP echo广播包的设备，不管是路由器、服务器或是计算机，由于发包是以一秒数以百计的方式来发送，对该设备都是很大的负担。

常见的ARP echo处理手法

1. 一种是由路由器持续发送
2. 另一则是在计算机或服务器安装软件发送。

• 路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，被覆盖掉的机会很大，因此面对新型的ARP攻击防制效果小。因此，有些解决方法，就是拿ARP攻击的软件来用，只是持续发出正确的网关、服务器对照表，安装在服务器或是计算机上，由于服务器或是计算机运算能力较强，可以同一时间内发出更多广播包，效果较大，但是这种作法一则大幅影响局域网工作，因为整个局域网都被广播包占据，另则攻击软件通常会设定更高频率的广播包，误导局域网计算机，效果仍然有限。

此外，ARP echo一般是发送网关及私服的对照信息，对于防止局域网计算机被骗有效果，对于路由器没有效果，仍需作绑定的动作才可。

一些整理，希望有帮助

外部防护

此防护区域使用独立网关，从电信路由层以独立VLAN的物理结构方式接入，与其他非防护区域服务器完全隔离

内部防护

1. 防护专区中心交换机以机柜为单位划分VLAN，保证机柜之间无法直接通信，防止机柜之间的ARP 欺骗攻击。防护专区中心交换机进行 IP段—MAC---交换机端口 配对绑定，服务器只能在指定交换机机柜和指定交换机端口使用,防止内部ARP攻击机截获网关数据，进行欺骗攻击。
2. 机柜交换机进行 IP—MAC—交换机端口 配对绑定，服务器只能在指定交换机端口使用，防止内部ARP攻击机发送虚假IP 地址，虚假MAC地址，伪造网关，进行欺骗攻击。
3. 机柜交换机进行 网关IP—网关MAC 静态绑定，为机柜内部服务器提供静态的网关MaC地址解析。

相关知识

相关条目

局域网 - MAC - ARP - 局域网安全 - TCP/IP协议

外部链接

http://www.qqread.com/z/network/arp/ 巧巧读书ARP专题