從網吧ARP欺騙看局域網的安全管理

在“網吧ARP欺騙的原理及危害”一文中為大家介紹了ARP欺騙攻擊的原理以及危害程度， 相信各位網絡管理員讀者都對ARP欺騙深表痛恨， 希望能夠徹底的禁止該現(xiàn)象的發(fā)生。 雖然筆者不是網吧管理員， 但是也在單位負責五個機房共200臺計算機。 所以下面就根據筆者的經驗為大家介紹如何來防止ARP欺騙， 文章所說的這些方法對網吧或普通局域網都是適用的。

企業(yè)可以通過發(fā)布網絡管理制度來禁止ARP欺騙問題的發(fā)生， 發(fā)現(xiàn)有欺騙者和獎金等效益掛鉤。 但是網吧不同于企業(yè)， 來使用計算機和網絡的都是顧客， 也就是“上帝”， 我們不可能對他們的行為做過多的約束， 所以唯一能做的就是從技術上盡最大可能約束和檢查ARP欺騙的來源。

一， sniffer檢測法：

sniffer是網絡管理的好工具， 網絡中傳輸?shù)乃�有�?shù)據包都可以通過sniffer來檢測。 同樣arp欺騙數(shù)據包也逃不出sniffer的監(jiān)測范圍。

一般來說ARP欺騙數(shù)據包沒有留下發(fā)送虛假信息的主機地址， 但是承載這個ARP包的ethernet幀卻包含了他的源地址。 而且正常情況下ethernet數(shù)據幀中， 幀頭里的MAC源地址/目標地址應該和幀數(shù)據包中ARP信息配對， 這樣的ARP包才算是正確的。 如果不正確， 肯定是假冒的包， 當然如果匹配的話， 我們也不能過于放松， 一樣不能代表是正確的， 另外通過檢測到的數(shù)據包再結合網關這里擁有的本網段所有MAC地址網卡數(shù)據庫， 看看哪個和Mac數(shù)據庫中數(shù)據不匹配， 這樣就可以找到假冒的ARP數(shù)據包， 并進一步找到兇手了。

關于MAC地址網卡數(shù)據庫可以在第一次裝系統(tǒng)的時候進行記錄， 將網吧座位號與MAC地址等信息做一個對應表格。 查看MAC地址的方法是通過“開始->運行”， 進入命令提示窗口， 然后輸入ipconfig /all。 在physical address的右邊就是相應網卡的MAC地址。 （如圖1）

點擊查看大圖

二， DHCP結合靜態(tài)捆綁法：

要想徹底避免ARP欺騙的發(fā)生， 我們需要讓各個計算機的MAC地址與IP地址唯一且相對應。 雖然我們可以通過為每臺計算機設置IP地址的方法來管理網絡， 但是遇到那些通過ARP欺騙非法攻擊的用戶來說， 他可以事先自己手動更改IP地址， 這樣檢查起來就更加復雜了， 所以說保證每臺計算機的MAC地址與IP地址唯一是避免ARP欺騙現(xiàn)象發(fā)生的前提。

（1）建立DHCP服務器保證MAC地址與IP地址唯一性：

首先我們可以在windows 2000 server或其他服務器版操作系統(tǒng)上啟用DHCP服務， 為網吧建立一個DHCP服務器， 一般來說建議在網關上搭建。 因為DHCP不占用多少CPU， 而且ARP欺騙攻擊一般總是先攻擊網關， 攻擊網關的同時由于網關這里有監(jiān)控程序， 所以可以在第一時間發(fā)現(xiàn)攻擊行為。 當然為了減少攻擊的發(fā)生機率我們也可以把網關地址設置為網段的第二個地址， 例如192.168.1.2， 把192.168.1.

另外所有客戶機的IP地址及其相關主機信息， 只能由網關這里取得， 網關這里開通DHCP服務， 但是要給每個網卡， 綁定固定唯一IP地址。 一定要保持網內的機器IP/MAC一一對應的關系。 這樣客戶機雖然是DHCP取地址， 但每次開機的IP地址都是一樣的。 以上這些綁定關系可以通過DHCP的地址池來解決， 或者將客戶端獲得IP等網絡參數(shù)信息的租約設置為一個非常長的時間， 例如一年或者無限時間， 這樣在此時間段里只要MAC地址不變， 客戶端獲得的IP地址也是不變的。 （如圖2）

（2）建立MAC地址數(shù)據庫：

把網吧內所有網卡的MAC地址記錄下來， 每個MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據庫， 以便及時查詢備案。 可以以EXCEL表格的形式， 也可是保存成數(shù)據庫文件。

（3）禁止ARP動態(tài)更新：

為了防止網關被隨意攻擊， 我們還需要在網關機器上關閉ARP動態(tài)刷新功能， 這樣的話， 即使非法用戶使用ARP欺騙攻擊網關的話， 對網關是無效的， 從而確保主機安全。 在網關上建立靜態(tài)IP/MAC捆綁的方法如下。

第一步：建立/etc/ethers文件， 其中包含正確的IP/MAC對應關系， 格式為192.168.2.32 08:00:4E:B0:24:47。

第二步：然后在/etc/rc.d/rc.local最后添加arp -f生效即可。

上面這個禁止ARP動態(tài)更新的方法是針對Linux系統(tǒng)而言的。

（4）網關監(jiān)測：

在網關上面使用TCPDUMP程序截取每個ARP程序包， 弄一個腳本分析軟件分析這些ARP協(xié)議。 ARP欺騙攻擊的包一般有以下兩個特點， 滿足之一就可以視為攻擊包報警， 第一是以太網數(shù)據包頭的源地址、目標地址和ARP數(shù)據包的協(xié)議地址不匹配。 第二是ARP數(shù)據包的發(fā)送和目標地址不在自己網絡網卡MAC數(shù)據庫內， 或者與自己網絡MAC數(shù)據庫MAC/IP不匹配。 我們也可以通過腳本分析軟件實現(xiàn)自動報警功能， 最后查這些數(shù)據包（以太網數(shù)據包）的源地址就大致知道那臺機器在發(fā)起攻擊了。

三， 總結：

ARP欺騙是目前網絡管理， 特別是局域網管理中最讓人頭疼的攻擊， 他的攻擊技術含量低， 隨便一個人都可以通過攻擊軟件來完成ARP欺騙攻擊。 同時防范ARP欺騙也沒有什么特別有效的方法。 目前只能通過被動的亡羊補牢形式的措施了。 本文介紹的兩個方法都是針對ARP欺騙防范的， 希望對讀者有所幫助。 當然很多網絡管理軟件開發(fā)公司都推出了自己的防范ARP欺騙的產品， 這些產品良莠不齊， 大家選擇時更要仔細。