ARP欺騙處理方案

   ARP（Address Resolution Protocol， 地址解析協(xié)議）是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議， 負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。

在局域網(wǎng)中， 網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?ldquo;幀”， 幀里面是有目標(biāo)主機(jī)的MAC地址的。 在以太網(wǎng)中， 一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信， 必須要知道目標(biāo)主機(jī)的 MAC地址。 但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。 所謂‘地址解析“就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。 ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址， 查詢目標(biāo)設(shè)備的MAC地址， 以保證通信的順利進(jìn)行。

二、 ARP的工作原理

   在每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表， 表里的IP地址與MAC地址是一一對(duì)應(yīng)的， 在命令提示符下， 輸入“arp -a”就可以查看ARP緩存表中的內(nèi)容了：

   注：用“arp -d”命令可以刪除ARP表的內(nèi)容；用“arp -s”可以手動(dòng)在ARP表中指定IP地址與MAC地址的對(duì)應(yīng)。

   我們以主機(jī)A（192.168.1.5）向主機(jī)B（192.168.1.1）發(fā)送數(shù)據(jù)為例。 當(dāng)發(fā)送數(shù)據(jù)時(shí)， 主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo) IP地址。 如果找到了， 也就知道了目標(biāo)MAC地址， 直接把目標(biāo)MAC地址寫(xiě)入幀里面發(fā)送就可以了；如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址， 主機(jī)A 就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播， 目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”， 這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“192.168.1.1的MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問(wèn)， 只有主機(jī)B接收到這個(gè)幀時(shí)， 才向主機(jī)A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。 這樣， 主機(jī)A就知道了主機(jī)B的MAC地址， 它就可以向主機(jī)B發(fā)送信息了。 同時(shí)它還更新了自己的ARP緩存表， 下次再向主機(jī)B發(fā)送信息時(shí)， 直接從ARP緩存表里查找就可以了。

   ARP緩存表采用了老化機(jī)制， 在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用， 就會(huì)被刪除， 這樣可以大大減少ARP緩存表的長(zhǎng)度， 加快查詢速度。

   作為攻擊源的主機(jī)偽造一個(gè)ARP響應(yīng)包， 此ARP響應(yīng)包中的IP與MAC地址對(duì)與真實(shí)的IP與MAC對(duì)應(yīng)關(guān)系不同， 此偽造的ARP響應(yīng)包廣播出去后， 網(wǎng)內(nèi)其它主機(jī)ARP緩存被更新， 被欺騙主機(jī)ARP緩存中特定IP被關(guān)聯(lián)到錯(cuò)誤的MAC地址， 被欺騙主機(jī)訪問(wèn)特定IP的數(shù)據(jù)包將不能被發(fā)送到真實(shí)的目的主機(jī)， 目的主機(jī)不能被正常訪問(wèn)。

四、 ARP欺騙的癥狀

   網(wǎng)絡(luò)時(shí)斷時(shí)通

   網(wǎng)絡(luò)中斷， 重啟網(wǎng)關(guān)設(shè)備， 網(wǎng)絡(luò)短暫連通

   內(nèi)網(wǎng)通訊正常、網(wǎng)關(guān)不通；

   頻繁提示ＩＰ地址沖突；

   硬件設(shè)備正常， 局域網(wǎng)不通；

   特定IP網(wǎng)絡(luò)不通， 更換IP地址， 網(wǎng)絡(luò)正常；

   禁用-啟用網(wǎng)卡， 網(wǎng)絡(luò)短暫連通；

   網(wǎng)頁(yè)被重定向。

……………………

五、 ARP欺騙解決方案：

   方案A：IP-MAC綁定

   通過(guò)雙向IP-MAC綁定可以抵御ARP欺騙， 解決由于ARP欺騙造成的網(wǎng)絡(luò)掉線、IP沖突等問(wèn)題， 保證網(wǎng)絡(luò)暢通。

   1、客戶機(jī)綁定網(wǎng)關(guān)IP-MAC：在客戶機(jī)設(shè)置網(wǎng)關(guān)IP與MAC為靜態(tài)映射，

將如下內(nèi)容復(fù)制到記事本中并保存為staticarp.reg， （網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC根據(jù)實(shí)際情況填寫(xiě)， 例："staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05"）

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

    CurrentVersion\Run]

    "staticarp"="arp –s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC "

   將如下內(nèi)容復(fù)制到記事本并保存到與staticarp.reg相同的文件夾位置， 文件名為run.bat， （網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC根據(jù)實(shí)際情況填寫(xiě)， 例："staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05"）

     @each off

    regedit /s .\runstaticarp.reg

    arp -s網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

   雙擊運(yùn)行run.bat

   2、利用APC的軟件分發(fā)功能給客戶機(jī)分發(fā)IP-MAC綁定程序

將staticarp.reg、run.bat保存到同一文件夾下， 登錄Ahnlab Plicy Center Admin， 服務(wù)器管理—登錄分發(fā)軟件—添加， <要分發(fā)的文件夾>選中保存staticarp.reg、run.bat的文件夾， <執(zhí)行壓縮文件名>中輸入對(duì)所選擇的文件夾壓縮后生成的壓縮文件的名稱， <登錄包名稱>中輸入應(yīng)用程序名稱， <說(shuō)明>中輸入簡(jiǎn)單說(shuō)明， <解壓縮后執(zhí)行文件>中輸入run.bat， 單擊<確定>。

   Ahnlab Plicy Center Admin—策略管理中選中需要分發(fā)的群組或客戶機(jī)， 點(diǎn)右鍵， 緊急安全指令-分發(fā)， 選中<一般軟件>， 選中要分發(fā)的軟件， 點(diǎn)擊<確認(rèn)>。

   3、網(wǎng)關(guān)綁定客戶機(jī)IP-MAC：使用支持IP/MAC綁定的網(wǎng)關(guān)設(shè)備， 在網(wǎng)關(guān)設(shè)備中設(shè)置客戶機(jī)的靜態(tài)IP-MAC列表。

注：方案A可以抵御ARP欺騙， 保證網(wǎng)絡(luò)正常運(yùn)行， 但不能定位及清除ARP攻擊源。

   方案B：利用ARP命令及nbtscan定位ARP攻擊源

   1、確定ARP攻擊源MAC地址

   ARP欺騙發(fā)作時(shí)， 在受到ARP欺騙的計(jì)算機(jī)命令提示符下輸入arp –a， APP緩存中網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址如果不是真實(shí)的網(wǎng)關(guān)MAC地址， 則為ARP攻擊源的MAC地址， 一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP地址的為ARP攻擊源的MAC地址；在網(wǎng)關(guān)ARP緩存中一個(gè)MAC對(duì)應(yīng)多個(gè)IP的為ARP攻擊源的MAC地址。

   2、定位ARP攻擊源計(jì)算機(jī)

   已全網(wǎng)面署APC2.5的環(huán)境：在Policy Center Admin 2.5中， 查找agent， 查找ARP攻擊源的MAC地址， 定位攻擊源計(jì)算機(jī)。

未布署APC2.5的環(huán)境：運(yùn)行Nbtscan MAC掃描器gui.exe， 輸入局域網(wǎng)IP地址范圍， 點(diǎn)擊開(kāi)始， 顯示局域網(wǎng)內(nèi)IP、計(jì)算機(jī)名與MAC對(duì)應(yīng)關(guān)系， 查找ARP攻擊源MAC對(duì)應(yīng)的IP地址及計(jì)算機(jī)名， 根據(jù)IP地址及計(jì)算機(jī)名定位攻擊源計(jì)算機(jī)。