1、水文信息网络中 ARP 攻击及防御摘 要: 本文针对水文信息网中高发的 ARP 地址欺骗和攻击方式进行分析。介绍 ARP 工作原理及欺骗、攻击方式,从计算机 IP 地址与 MAC地址绑定及网关防护等方面,提出如何防御水文信息网中 ARP 攻击的解决思路和方法,保障水文信息网络的信息高效、安全地运行。 关键词: ARP 病毒;ARP 攻击与防御;水文信息网;IP-MAC 地址绑定 中图分类号:S27 文献标识码:C DOI:10.11974/nyyjs.20160132065 前 言 感染 ARP 病毒的计算机向信息网内发送大量的 ARP 病毒包和错误的网络地址信息,对网内的计算机进行地址欺骗及
2、阻塞网络通信,引导信息网内的计算机连接到窃取信息的服务器上,从而窃取网络内计算机中重要数据(用户名、密码、私密信息等) 。ARP 病毒具有一定的隐秘性和欺骗性,所以给信息网内的计算机带来极大的安全隐患。如何才能有效地防御水文信息网中 ARP 病毒对网络的攻击,确保水文信息网络安全、畅通成为了首要任务。 1 ARP 与 PARP 的工作原理 ARP 地址解析协议,实现计算机 IP 地址与物理地址的转换。RARP 反向地址转换协议,实现计算机物理地址与 IP 地址的转换。在网络中,源计算机与目的计算机会在各自的 ARP 地址缓冲区中创建一个 ARP 地址对应列表,用以表示 IP 地址和 MAC 地
3、址的对应关系。当源计算机需要将一个数据包发送到目的计算机时,先检查自己的 ARP 地址列表中是否存在与该 IP 地址对应的 MAC 地址,有则直接将数据包发送到这个 MAC 地址上;如果没有则向本网段发起一个 ARP 请求的广播包(包括源计算机的 IP 地址、硬件地址及目的计算机地址) ,查询此目的计算机对应的 MAC 地址。当网络中其他计算机收到这个 ARP 请求后,会检查此数据包中的目的地址是否与自己的 IP 地址一致。如不同就放弃此数据包;如相同该计算机首先将发送端的 MAC 地址和 IP 地址添加到自己的 ARP 地址对应列表中,如果 ARP 地址对应列表中已经存在该 IP 地址信息,
4、则将其覆盖,然后回发一个 ARP 回应数据包,表明自己与其查找的 MAC 地址相同。源计算机收到这个 ARP 地址响应数据包后,将得到的目的计算机 IP 地址和 MAC 地址添加到源计算机的 ARP 地址列表中,并建立通讯链接。 2 攻击方式 2.1 假冒网关攻击 如果攻击源计算机假冒网关地址,对其已经掌握的局域网内计算机信息,发送具有针对性的攻击 ARP 病毒报文包,使网络中的计算机无法与其他网络计算机建立联系,甚至会导致整个局域网通信的中断,这种攻击的影响是比较严重的。如图 1 所示,因计算机 A 假冒网关向计算机B 发送了虚假的网关 ARP 地址报文包,导致计算机 B 的 ARP 地址表
5、中,记录了错误的网关地址对应关系,造成正常的数据不能被网关转发而无法通讯,甚至引导被攻击的计算机和攻击源计算机相连接,从而达到窃取重要的、隐秘的信息与数据,对数据的安全及网络通讯造成极大危害。 2.2 假冒用户攻击 计算机 A 假冒计算机 B 向网关发送伪造的 ARP 报文,导致网关的 ARP表记录错误的计算机 B 地址映射关系,使正常的数据报文不能被计算机B 接受。如图 2 所示。 2.3 DoS 拒绝服务攻击 例如攻击的计算机,将目标计算机 ARP 缓存中的 MAC 地址,全部篡改成一些不存在的 MAC 地址,造成目标计算机向外发送的所有数据包全部丢失,使得上层应用忙于处理这种异常而无法响
6、应外来请求,导致目标计算机产生拒绝服务。 2.4 虚拟计算机攻击 实施攻击的虚拟计算机通过在链路层捕获所有流经的 ARP 请求数据包进行分析,当对虚拟计算机的 ARP 有请求,其就会发送对应虚拟物理地址的 ARP 与之响应,同时虚拟计算机本身也会发送 ARP 请求。此种攻击的危害是占用局域网内的 IP 地址资源,使正常运行的计算机无法正常获得 IP 地址以及发生 IP 地址冲突,消耗网络资源,堵塞计算机在网络中正常传输数据。 3 ARP 欺骗及攻击的防范措施 3.1 在路由器端进行 MAC-IP 地址绑定 路由器进行 MAC-IP 地址绑定,有效地防范 ARP 冒用网关攻击。如图3 所示。 通
7、过路由器端绑定 MAC-IP 地址,首先要对上网的计算机分配固定和唯一的 IP 地址,这样既解决了 IP 地址不被滥用问题,又可以在发现有ARP 病毒攻击时,方便快速的查找到受感染的计算机,有效的阻止对路由的攻击。还可以利用路由器自带的安全防护来加强防御。如图 4 所示。 在此项设置中启动 ARP 欺骗防御,设置 ARP 包的发送频率,在局域网内广播正确的网关 IP 地址,对仿冒网关地址欺骗有一定辅助作用。在路由器中设置 ARP 信任机制来预防 ARP 攻击。如图 5 所示。 同时也可对单机进行 IP-MAC 地址绑定,也可以有效防止 ARP 病毒对单机的攻击。 3.2 安装 ARP 病毒查杀
8、软件 安装新型杀毒软件,且实时对杀毒软件引擎及病毒库进行更新,也是对 ARP 及其他病毒有效防范的一种措施。操作系统及时打补丁。 4 结语 从上面的攻击实例表明 ARP 病毒攻击,基本都是利用协议中的弱点篡改 IP 与 MAC 地址的对应关系,阻断通讯及窃取重要信息,给信息网络中的计算机带来极大的安全隐患。因此在对网络边界进行防护的同时,也应加强信息网络内部的防范,保证信息网络中计算机信息的安全、网络的顺畅,实现网络资源共享。 参考文献 1 穆艺鑫.ARP 欺骗在局域网中的分析及全面防御Z. 2李军.浅谈 ARP 欺骗和防范J.科技信息,2010(17). 作者简介:吴延东(1968-) ,男,本科,主要从事水文信息网络管理、维护及国家水文数据库安装和数据装载等工作。
