网络攻击及防范之欺骗攻击之ARP欺骗

2) ARP欺骗

地址解析协议( Aclclress Resolution Protocol，ARP)的作用是将网络层的地址（IPl:-电址）

解析成数据链路层的地址（MAC地址）。ARP协议是无状态的协议，计算机系统无需收到ARP请求就可以发送ARP应答，而这个应答会被接收到的计算机系统进行处理。操作系统的TCP/IP实现上，系统会根据需要向网络发送ARP应答报文，为了提高效率，降低ARP数据流量，系统会在缓存中维持一个IP地址与MAC地址的映射表，默认这个情况下ARP缓存是即时刷新，计算机系统接收到新的应答数据就会覆盖掉之前的数据。

攻击者通过向网络或目标主机发送伪造的ARP应答报文，修改目标计算机上ARP缓存，形成一个错误的IP地址<->MAC地址映射，这个错误的映射在目标主机在需要发送数据时封装错误的MAC地址。ARP欺骗攻击过程如下图所示：

　　攻击者主机C (IP：l92.168.1.3)向主机B(IP：192.168.1.2)发送伪造的ARP应答报文，说明192.168.1.1（主机A）的MAC地址是CC：CC：CC：CC：CC（主机C），这个ARP应答中的数据会被主机B收到后，将192.168.1.1<->cc：cc：cc：cc：cc对应关系记录添加到自己的ARP缓存中，当主机B希望与主机A进行通讯时，在数据封装时，使用了错误的MAC地址，而标准的交换设备使用二层地址进行数据包分发，因此这个数据包被发送给攻击者主机C。攻击者因此完成了一次成功的ARP欺骗。

ARP欺骗是一种非常有威胁的攻击，攻击者利用ARP欺骗可实现中间人、拒绝服务等攻击。由于ARP缓存有时间限制，为了避免缓存更新，攻击者需要不断向欺骗目标发送伪造的ARP应答报文，确保错误的缓存记录被保持。因此对网络中的ARP报文进行分析可以有效的检测到ARP攻击行为。针对ARP欺骗的应对措施包括：

◇使用静态的ARP缓存，缓存中的数据不能被ARP应答报文刷新，能有效的解决ARP欺骗攻击。然而由于使用静态缓存，每次硬件地址变更都需要人工更新，当网络中计算机数量较多的情况下，设备地址的变更会形成较大的工作量。

◇使用三层交换，由于三层交换技术使用0SI模型第三层地址（TCP/IP协议中为IP地址）进行数据交换，不会受到错误封装的MAC影响。

◇除非设置了ARP代理，默认情况下ARP协议无法跨越路由设备，因此划分更多的子网能降低ARP攻击影响的范围；

◇在系统中部署ARP防火墙以阻止攻击者修改ARP缓存