ARP攻擊

ARP（Address Resolution Protocol），即地址解析協議，是根據IP地址解析物理地址的一個TCP/IP協議。主機將包含目標IP地址信息的ARP請求廣播到網絡中的所有主機，並接收返回消息，以此確定目標IP地址的物理地址；收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，以便下次請求時直接查詢ARP緩存以節約資源。 ^[2] 

在局域網中，主機和主機之間的通訊是通過MAC地址來實現的，而主機的MAC地址是通過ARP協議獲取的。ARP負責將網絡中的IP地址轉換為MAC地址，來保證局域網中的正常通訊。在局域網中實際傳輸的是“幀”，裏面包含目標主機的MAC地址。每個安裝以太網和TCP/IP的計算機都有一個ARP緩存表，緩存表裏保存的IP地址和MAC地址是相互對應的。ARP協議的基本功能就是執行地址解析，以保證通信的順利進行。 ^[1] 

ARP病毒並不是某一種真正的病毒，而是對利用ARP協議的漏洞進行傳播的一類病毒的總稱。ARP協議是TCP/IP協議組的一個協議，這個協議是建立在局域網上主機相互信任的基礎上的，局域網中的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性並直接將其記入本機ARP緩存。ARP緩存表採用的是機械制原理，如果表中的某一列長時間不使用，就會被刪除。也就是説ARP的緩存表是可以被更改的。表中的IP地址和MAC地址也是隨時可以修改，這樣在局域網中很容易被ARP欺騙。通常此類攻擊的手段有兩種：路由欺騙和網關欺騙。 ^[1] 

ARP攻擊是利用ARP協議設計時缺乏安全驗證漏洞來實現的，通過偽造ARP數據包來竊取合法用户的通信數據，造成影響網絡傳輸速率和盜取用户隱私信息等嚴重危害。 ^[3] 

ARP攻擊主要是存在於局域網網絡中，局域網中若有一台計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，並因此造成網內其它計算機的通信故障。

局域網中比較常見的ARP攻擊包括：上網時斷時續，拷貝文件無法完成，局域網內的ARP包激增。出現不正常的MAC地址，MAC地址對應多個IP地址，網絡數據發不出去了，網上發送信息被竊取，個人PC中毒局域網內MAC地址泛洪使MAC地址緩存表溢出等問題。數據包的協議地址不匹配，從而在網絡中產生大量的ARP。 ^[4] 

在局域網環境中，ARP攻擊是主要的安全威脅，在傳統網絡中主要是通過靜態綁定的方式來解決，但是這種方式限制了網絡擴展的易用性。 ^[5] 

ARP攻擊主要是通過偽造IP地址和MAC地址進行欺騙。使以太網數據包的源地址、目標地址和ARP通信數量劇增導致網絡中斷或中間人攻擊。ARP攻擊主要存在於局域網中。若其中一台計算機感染ARP病毒。就會試圖通過ARP欺騙截獲局域網內其他計算機的信息，造成局域網內的計算機通信故障。 ^[4] 

1、交換網絡的嗅探

假設有台主機A，B，C位於同一個交換式局域網中，監聽者主機為A，而主機B、C正在進行通信，A希望能嗅探到B與C之間的通信數據，於是A就可以偽裝成C對B做ARP欺騙，向B發送偽造的ARP應答包，在這個偽造的應答包中，IP地址為C的IP地址，而MAC地址為A的MAC地址：B在接收到這個應答包後，會刷新它的ARP緩存，這樣在B的ARP緩存表中就出現了C的IP地址對應的是A的MAC地址，説詳細點，就是讓B認為C的IP地址映射到的MAC地址為主機A的MAC地址，這樣，B想要發送給C的數據實際上卻發送給了A，這樣就達到了嗅探的目的。黑客就可以利用這種手段盜取網絡上的重要信息。 ^[6] 

2、IP地址衝突

當網絡內部有計算機中了ARP病毒，網絡內其他計算機就會經常彈出IP地址衝突的警告：這是怎麼產生的呢?比如某主機B規定IP地址為192.168.1.18，如果它處於開機狀態，那麼其他主機D也把它的IP地址改為192.168.1.18就會造成IP地址衝突。其原理就是：主機D在連接網絡（或更改IP地址）的時候它就會向網絡內部發送ARP廣播包，告訴其他計算機自己的IP地址。如果網絡內部存在相同IP地址的主機B，那麼B就會通過ARP來作出應答，當D接收到這個應答數據包後，D就會跳出IP地址衝突的警告，B也會彈出IP地址衝突警告：因此用ARP欺騙可以來偽造這個ARPReply，使目標主機一直受到IP地址衝突警告的困擾。 ^[6] 

3、阻止目標的數據包通過網關

比如在一個局域網內通過網關上網，那麼局域網內部的計算機上的ARP緩存中就存在網關IP-MAC對應記錄。如果該記錄被ARP病毒更改，那麼該計算機向外發送的數據包就會發送到了錯誤的網關硬件地址上。這樣，該計算機就無法上網了。 ^[6] 

1、ARP泛洪攻擊

通過向網關發送大量ARP報文，導致網關無法正常響應。首先發送大量的ARP請求報文，然後又發送大量虛假的ARP響應報文，從而造成網關部分的CPU利用率上升難以響應正常服務請求，而且網關還會被錯誤的ARP表充滿導致無法更新維護正常ARP表，消耗網絡帶寬資源。 ^[4] 

2、ARP欺騙主機的攻擊

ARP欺騙主機的攻擊也是ARP眾多攻擊類型中很常見的一種。攻擊者通過ARP欺騙使得局域網內被攻擊主機發送給網關的流量信息實際上都發送給攻擊者。主機刷新自己的ARP使得在自己的ARP緩存表中對應的MAC為攻擊者的MAC，這樣一來其他用户要通過網關發送出去的數據流就會發往主機這裏，這樣就會造成用户的數據外泄。 ^[4] 

3、欺騙網關的攻擊

欺騙網關就是把別的主機發送給網關的數據通過欺騙網關的形式使得這些數據通過網關發送給攻擊者。這種攻擊目標選擇的不是個人主機而是局域網的網關，這樣就會攻擊者源源不斷的獲取局域網內其他用户的數據．造成數據的泄露，同時用户電腦中病毒的概率也會提升。 ^[4] 

4、中間人攻擊

中間人攻擊是同時欺騙局域網內的主機和網關，局域網中用户的數據和網關的數據會發給同一個攻擊者，這樣，用户與網關的數據就會泄露。 ^[4] 

5、IP地址衝突攻擊

通過對局域網中的物理主機進行掃描，掃描出局域網中的物理主機的MAC地址，然後根據物理主機的MAC進行攻擊，導致局域網內的主機產生IP地址衝突，影響用户的網絡正常使用。 ^[4] 

這種有目的的發佈錯誤ARP廣播包的行為，被稱為ARP欺騙。ARP欺騙，最初為黑客所用，成為黑客竊取網絡數據的主要手段。黑客通過發佈錯誤的ARP廣播包，阻斷正常通信，並將自己所用的電腦偽裝成別人的電腦，這樣原本發往其他電腦的數據，就發到了黑客的電腦上，達到竊取數據的目的。

後來，有人利用這一原理，製作了一些所謂的“管理軟件”，例如網絡剪刀手、執法官、終結者等，這樣就導致了ARP惡意攻擊的泛濫。往往使用這種軟件的人，以惡意破壞為目的，多是為了讓別人斷線，逞一時之快。

特別是在網吧中，或者因為商業競爭的目的、或者因為個人無聊泄憤，造成惡意ARP攻擊氾濫。

隨着網吧經營者摸索出禁用這些特定軟件的方法，這股風潮也就漸漸平息下去了。

最近這一波ARP攻擊潮，其目的、方式多樣化，衝擊力度、影響力也比前兩個階段大很多。

首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網絡以廣域網為主，最有效的攻擊方式是DDOS攻擊。但是隨着防範能力的提高，病毒製造者將目光投向局域網，開始嘗試ARP攻擊，例如最近流行的威金病毒，ARP攻擊是其使用的攻擊手段之一。

相對病毒而言，盜號程序對網吧運營的困惑更大。盜號程序是為了竊取用户賬號密碼數據而進行ARP欺騙，同時又會影響到其他電腦上網。

ARP欺騙是通過冒充網關或其他主機使得到達網關或主機的流量通過攻擊手段進行轉發。從而控制流量或得到機密信息。ARP欺騙不是真正使網絡無法正常通信，而是ARP欺騙發送虛假信息給局域網中其他的主機，這些信息中包含網關的IP地址和主機的MAC地址；並且也發送了ARP應答給網關，當局域網中主機和網關收到ARP應答更新ARP表後，主機和網關之間的流量就需要通過攻擊主機進行轉發。 ^[1] 

中間人攻擊是最典型的攻擊之一，受到黑客的中間人攻擊，可能會嚴重危害服務器和用户。中間人攻擊就是攻擊者扮演中間人並且實施攻擊。它有時被稱為monkey-in-the-middle攻擊或man-in-the-mobile攻擊，是網絡監聽的一種方式。攻擊者進入兩台通信的計算機之間，這樣他就可以完成網絡數據包（以太網數據包）嗅探和分析，中間人計算機將在兩台互相通信的目的主機之間轉發數據包，而兩台目的主機對此毫無察覺。中間人攻擊方式不僅對計算機有效，還可以擴展到路由器和網關設備，從而在路由器與主機之間使用中間人攻擊。 ^[5] 

克隆攻擊是另外一種ARP欺騙的方式。我們已經可以通過硬件或軟件工具來修改網絡接口的MAC地址，Linux用户甚至只需要用ifconfig命令修改一個參數就能修改網絡接口的MAC地址。攻擊者通過拒絕服務攻擊使目標主機與外界失去聯繫，然後攻擊者將自己的IP和MAC地址改成目標機的IP和MAC地址，這樣攻擊者的主機就成為和目標機一樣的副本。 ^[5] 

1）不要把網絡信任關係單純地建立在IP基礎上或MAC基礎上（RARP同樣存在欺騙的問題），應在網絡中架設DHCP服務器，綁定網關與客户端IP+MAC，該做法需要注意的是要保證網絡中的dhcp服務器相互之間不衝突。

2）添加靜態的ARP映射表，不讓主機刷新設定好的映射表，該做法適用於網絡中主機位置穩定，不適用在主機更換頻繁的局域網中。

3）停止使用ARP，將ARP作為永久條目保存在映射表中。

4）架設ARP服務器。通過該服務器查找自己的ARP映射表來響應其他機器的ARP廣播。

5）IP的傳輸使用“proxy”代理。

6）使用防火牆等連續監控網絡。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。 ^[2]