摘  要： ARP協(xié)議主要實(shí)現(xiàn)了網(wǎng)絡(luò)層地址到數(shù)據(jù)鏈路層地址的動(dòng)態(tài)映射，由于ARP協(xié)議具有無序性、無確認(rèn)性、動(dòng)態(tài)性、無安全機(jī)制等特性，ARP欺騙攻擊成了局域網(wǎng)中一種常見的攻擊現(xiàn)象。在深入研究ICMP重新定向原理的基礎(chǔ)上，通過一個(gè)實(shí)例解釋了跨網(wǎng)段ARP欺騙原理和具體實(shí)現(xiàn)過程，并給出了具體的檢測與防范方法。
關(guān)鍵詞： ARP；重新定向；ICMP；跨網(wǎng)段

    網(wǎng)絡(luò)安全是當(dāng)今網(wǎng)絡(luò)技術(shù)的一個(gè)重要研究課題，有很強(qiáng)的現(xiàn)實(shí)應(yīng)用背景。在網(wǎng)絡(luò)安全防范中，地址解析協(xié)議ARP(Address Resolution Protocol)是一個(gè)相當(dāng)重要的內(nèi)容，也是網(wǎng)絡(luò)攻擊者最偏向于利用的網(wǎng)絡(luò)底層協(xié)議。ARP協(xié)議的設(shè)計(jì)是建立在局域網(wǎng)內(nèi)計(jì)算機(jī)互信的基礎(chǔ)上的，這種設(shè)計(jì)的初衷使得今天局域網(wǎng)內(nèi)出現(xiàn)了大量的與ARP相關(guān)的木馬和病毒，嚴(yán)重影響了局域網(wǎng)內(nèi)通信的安全和通信效率，給用戶利益帶來了巨大的風(fēng)險(xiǎn)。研究ARP攻擊的原理與欺騙的防御方法，有助于加強(qiáng)局域網(wǎng)的安全建設(shè)，提高局域網(wǎng)內(nèi)各主機(jī)的通信安全和網(wǎng)絡(luò)的性能。本文針對跨網(wǎng)段的ARP攻擊進(jìn)行了研究。
1 ARP協(xié)議
1.1 ARP的作用
    ARP[1]工作在數(shù)據(jù)鏈路層，在本層與硬件接口聯(lián)系，同時(shí)對上層(網(wǎng)絡(luò)層)提供服務(wù)。在以太網(wǎng)中，由于以太網(wǎng)設(shè)備并不識別32 bit的IP地址，所以數(shù)據(jù)包的傳送不是通過IP地址完成的，而是通過48 bit MAC地址(網(wǎng)卡的物理地址)來完成的，一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。而ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為MAC地址，以保證通信的順利進(jìn)行。ARP工作時(shí)，首先請求主機(jī)發(fā)送出一個(gè)含有所希望到達(dá)的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，然后目標(biāo)IP的所有者會(huì)以一個(gè)含有IP和MAC地址對的數(shù)據(jù)包應(yīng)答請求主機(jī)。這樣請求主機(jī)就能獲得要到達(dá)的IP地址對應(yīng)的MAC地址，同時(shí)請求主機(jī)將這個(gè)地址對放入自己的ARP表緩存起來，以節(jié)約不必要的ARP通信。主機(jī)每隔一段時(shí)間(或者當(dāng)收到ARP應(yīng)答)都會(huì)用新的地址映射記錄對ARP緩存進(jìn)行更新，以保證自己擁有最新的地址解析緩存。ARP的報(bào)文格式如表1所示[2]。

1.2 ARP協(xié)議的安全問題
    ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點(diǎn)的基礎(chǔ)上的，它高效，但卻不安全。ARP高速緩存根據(jù)所接收到的ARP協(xié)議包隨時(shí)進(jìn)行動(dòng)態(tài)更新，它是無狀態(tài)的協(xié)議，不會(huì)檢查自己是否發(fā)過請求包，只要收到目標(biāo)MAC是自己的ARP響應(yīng)數(shù)據(jù)包或ARP廣播包(包括ARP請求數(shù)據(jù)包和ARP響應(yīng)數(shù)據(jù)包)，都會(huì)接受并緩存。ARP協(xié)議沒有認(rèn)證機(jī)制，只要接收到的協(xié)議包是有效的，主機(jī)就無條件地根據(jù)協(xié)議包的內(nèi)容刷新本機(jī)ARP緩存，并不檢查該協(xié)議包的合法性。因此攻擊者可以隨時(shí)發(fā)送虛假ARP包更新被攻擊主機(jī)上的ARP緩存，進(jìn)行地址欺騙或拒絕服務(wù)攻擊。
2 跨網(wǎng)段的ARP需重新定向的原因
    如果是同一網(wǎng)段，ARP欺騙攻擊就可以直接通過洪水攻擊或偽造IP-MAC地址映射表來實(shí)現(xiàn)。但是如果偽造包是經(jīng)過路由分段將無法獲得成功，因?yàn)榧词故褂煤樗艋蛘邆卧彀沟媚繕?biāo)主機(jī)無法提供服務(wù)，失去連接，局域網(wǎng)中的主機(jī)也只是在局域網(wǎng)中找目標(biāo)主機(jī)而根本不會(huì)與攻擊主機(jī)通信，因?yàn)橹鳈C(jī)路由表到目標(biāo)主機(jī)的路由是直接交付而不是經(jīng)過網(wǎng)關(guān)交付，這時(shí)需要再偽造一個(gè)網(wǎng)際控制報(bào)文協(xié)議ICMP(Internet Control Message Protocol)重定向報(bào)文廣播包，通知目標(biāo)主機(jī)所在的局域網(wǎng)中的所有主機(jī)：到達(dá)目標(biāo)主機(jī)的最短路徑不是直接交付，而是路由，需要重定向。這樣所有主機(jī)在接收重定向報(bào)文后更新自己的路由表，攻擊主機(jī)就可以偽裝成目標(biāo)主機(jī)進(jìn)行通信。
3 ARP與ICMP跨網(wǎng)段重定向
3.1 ICMP重定向報(bào)文格式
    ICMP是為了更有效地轉(zhuǎn)發(fā)IP數(shù)據(jù)報(bào)和提高交付成功的機(jī)會(huì)。它在主機(jī)和路由器之間報(bào)告差錯(cuò)情況和提供異常情況的報(bào)告，目的是為了當(dāng)網(wǎng)絡(luò)出現(xiàn)問題的時(shí)候返回控制信息。ICMP重定向報(bào)文是ICMP差錯(cuò)報(bào)告中的一種請求改變路由的報(bào)文。表2為ICMP重定向報(bào)文格式[3]。

    重定向報(bào)文的類型為5，代碼有效值為0~3。其中0代表網(wǎng)絡(luò)重定向，1代表主機(jī)重定向，2代表服務(wù)類型和網(wǎng)絡(luò)重定向，3代表服務(wù)類型和主機(jī)重定向。原則上，重定向報(bào)文是由路由器產(chǎn)生而供主機(jī)使用的。路由器默認(rèn)發(fā)送的重定向報(bào)文也只是1或者3，只是對主機(jī)的重定向，而不是對網(wǎng)絡(luò)的重定向。而主機(jī)本身不是路由器，所以這種ICMP重定向會(huì)導(dǎo)致網(wǎng)絡(luò)流量的增大。
3.2 ICMP重定向報(bào)文程序
    ICMP重新定向所使用的報(bào)文程序如下：
    //ICMP header
    typedef struct _tagX_icmphdr{
    unsigned char i_type； //類型
    unsigned char i_code； //代碼
    unsigned short i_cksum； //檢驗(yàn)和
    unsigned short i_id； //標(biāo)識符
    unsigned short i_seq； //序列號
    unsigned long i_timestamp；
    //當(dāng)前時(shí)間itmestump=(unsigned long)：GetTickCount()；
    XIcmpHeader；
    case ICMP-REDIRECT：
　　if (code>3)
　　　goto badcode；
　　if(icmplen< ICMP-ADVLENMIN||icmplen<ICMP-ADVLEN (icp))
 ||icp->icmp-ip·ip-hl<(sizeof(struct ip)>>2))
{
icmpstat.icps-badlen++；
　　break；
　}
icmpgw·sin-addr=ip->ip-src；
icmpdst·sin-addr=icp->icmp-gwaddr，
icmpsrc·sin-addr=icp->icmp-ip·ip-dst；
rtredirect ((struct sockaddr*) &icmpsrc，
(struct sockaddr*) &icmpdst，
(struct sockaddr*) 0， RTF-GATEWAY|
RTF-HOST，(struct sockaddr*)&icmpgw，
(struct rtentry**) 0)；
ptctlinput (PRC-REDIRECT-HOST，(struct sockaddr*) &icmpsrc)；
　Break；
3.3 ICMP重定向的工作原理
    在Internet網(wǎng)的主機(jī)發(fā)送數(shù)據(jù)報(bào)時(shí)，先查找自己的路由表，判斷發(fā)送接口。出于效率的考慮，主機(jī)并不和連接在網(wǎng)絡(luò)上的路由器定期交換路由信息，一般在主機(jī)中設(shè)置一個(gè)默認(rèn)路由器的IP地址，數(shù)據(jù)報(bào)先傳送給這個(gè)默認(rèn)路由器，此默認(rèn)路由器通過與其他路由器交換路由信息得知到達(dá)每一個(gè)網(wǎng)絡(luò)的最佳路由，當(dāng)默認(rèn)路由器發(fā)現(xiàn)主機(jī)發(fā)往某個(gè)目的地址的數(shù)據(jù)報(bào)的最佳路由不是本默認(rèn)路由器而是另一個(gè)路由器時(shí)，就用改變路由報(bào)文把這種情況告訴主機(jī)，主機(jī)即更改路由表增加一個(gè)新路由項(xiàng)目。
    下面用如圖1所示的實(shí)例來說明ICMP重新定向的過程。主機(jī)PC要ping路由器RB的f1地址：192.168.2.1/24，主機(jī)將判斷出目標(biāo)屬于不同的網(wǎng)段，因此它要將ICMP請求包發(fā)往自己的默認(rèn)網(wǎng)關(guān)192.168.0.253/24(路由器RA的f0接口)。但是，這之前主機(jī)PC首先必須發(fā)送ARP請求，請求路由器RA的f0(192.168.1.253/24)的MAC地址。當(dāng)路由器RA收到此ARP請求包后，首先用ARP應(yīng)答包回答主機(jī)PC的ARP請求(通知主機(jī)PC：路由器RA自己的f0接口的MAC地址為AA-AA-AA-AA)。然后，路由器RA將此ICMP請求轉(zhuǎn)發(fā)到路由器RB的f0接口：192.168.0.254/24(要求路由器RA正確配置了到網(wǎng)絡(luò)192.168.2.0/24的路由)。此外，路由器RA還要發(fā)送一個(gè)ICMP重定向消息給主機(jī)PC，通知主機(jī)PC對于主機(jī)PC請求的地址的網(wǎng)關(guān)是：192.168.0.254。路由器RB此時(shí)會(huì)發(fā)送一個(gè)ARP請求消息請求主機(jī)PC的MAC地址，而主機(jī)PC會(huì)發(fā)送ARP應(yīng)答消息給路由器RB。最后，路由器RB通過獲得的主機(jī)PC的MAC地址信息，將ICMP應(yīng)答消息發(fā)送給主機(jī)PC。

3.4 跨網(wǎng)段的ARP欺騙攻擊的實(shí)現(xiàn)過程
    跨網(wǎng)段的ARP欺騙比同一網(wǎng)段的ARP欺騙要復(fù)雜得多，它需要把ARP欺騙與ICMP重定向攻擊結(jié)合在一起。假設(shè)Ａ和Ｂ在同一網(wǎng)段，Ｃ在另一網(wǎng)段，如表3所示。

    首先攻擊方Ｃ修改IP包的生存時(shí)間，將其延長，以便做充足的廣播。然后和上面提到的一樣，尋找主機(jī)Ｂ的漏洞，攻擊此漏洞，使主機(jī)Ｂ暫時(shí)無法工作。此后，攻擊方Ｃ發(fā)送IP地址為Ｂ的IP地址192．168．0．2，MAC地址為Ｃ的MAC地址CC-CC-CC-CC的ARP應(yīng)答給Ａ。Ａ接收到應(yīng)答后，更新其ARP緩存。這樣，在主機(jī)Ａ上，Ｂ的IP地址就對應(yīng)Ｃ的MAC地址。但是，Ａ在發(fā)數(shù)據(jù)包給Ｂ時(shí)，仍然會(huì)在局域網(wǎng)內(nèi)尋找192．168．0．2的MAC地址，不會(huì)把包發(fā)給路由器，這時(shí)就需要進(jìn)行ICMP重定向，告訴主機(jī)Ａ到192．168．0．2的最短路徑不是局域網(wǎng)，而是路由，請主機(jī)重定向路由路徑，把所有到192．168．0．2的包發(fā)給路由器。主機(jī)Ａ在接收到這個(gè)合理的ICMP重定向后，修改自己的路由路徑，把對192．168．0．2的數(shù)據(jù)包都發(fā)給路由器。這樣攻擊方Ｃ就能得到來自內(nèi)部網(wǎng)段的數(shù)據(jù)包。
4 ARP病毒的檢測和防范策略
4.1 ARP的檢測方法[4]
    (1)主動(dòng)定位方式。因?yàn)樗械腁RP病毒攻擊源都會(huì)有其特征——網(wǎng)卡會(huì)處于混雜模式，可以通過ARPKiller工具掃描網(wǎng)內(nèi)有哪臺(tái)機(jī)器的網(wǎng)卡是處于混雜模式的，從而判斷這臺(tái)機(jī)器有可能就是攻擊機(jī)。定位好機(jī)器后，再做病毒信息收集，提交給相關(guān)單位做分析處理。
    (2)在任意客戶機(jī)上進(jìn)入命令提示符(或MS-DOS方式)，用arp-a命令查看。如果看到有兩個(gè)機(jī)器的MAC地址相同，那么就可以判斷網(wǎng)絡(luò)內(nèi)有ARP欺騙攻擊。
    (3)運(yùn)行tracert–d網(wǎng)址。如果第一個(gè)跳顯示的不是網(wǎng)關(guān)而是其他的IP地址，則第一跳中顯示的IP即為中了ARP病毒計(jì)算機(jī)的IP地址。
4.2 ARP欺騙的安全防范策略[5]
    (1)編寫一個(gè)批處理文件arp.bat，實(shí)現(xiàn)開機(jī)運(yùn)行，將交換機(jī)網(wǎng)關(guān)的MAC地址和網(wǎng)關(guān)的IP地址綁定，內(nèi)容如下：
    @echo off
    arp-d
    arp-s IP MAC
    其中IP和MAC為網(wǎng)關(guān)IP地址和MAC地址。
    (2)網(wǎng)管交換機(jī)端綁定。在核心交換機(jī)上綁定用戶主機(jī)的IP地址和網(wǎng)卡的MAC地址，同時(shí)在邊緣交換機(jī)上將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。
以思科2950交換機(jī)為例，輸入命令：
  Switch#config terminal #進(jìn)入配置模式
  Switch(config)# Interface f 0/1
  #進(jìn)入具體端口配置模式
  Switch(config-if)switchport
  port-security mac-address  MAC(主機(jī)的MAC地址)
    (3)算法的實(shí)現(xiàn)[6]。根據(jù)ARP欺騙過程，防止ARP欺騙可以基于這樣的思想：如果ARP響應(yīng)報(bào)文是在發(fā)出ARP請求之后收到的，則接收該響應(yīng)，并更新ARP緩存。如果接收到ARP響應(yīng)報(bào)文不是在發(fā)送ARP請求之后，則拒絕該響應(yīng)。該算法的具體實(shí)現(xiàn)過程中，設(shè)置一個(gè)數(shù)組ReqAddBuf[i]，保存陸續(xù)發(fā)出的n個(gè)ARP請求包的目的IP地址，均賦初值0。設(shè)置兩個(gè)參數(shù)：ReqEntryIP和ResEntryIP，分別保存當(dāng)前發(fā)出的ARP請求報(bào)文的目的IP地址和接收到的ARP響應(yīng)報(bào)文的源IP地址。設(shè)置兩個(gè)邏輯變量Sendin-gReqPack和ReceivingResPack。首先，察看是否在發(fā)送ARP請求報(bào)文，如果正在發(fā)送，就將該IP加入到數(shù)組ReqAddBuf[i]中。C語言描述如下：
if (SendingReqPack= =1)
{ for (i=1； i<=n ； i++)
　{ if (ReqAddBuf[i] = = 0)
　　{ReqAddBuf[i] = ReqEntryIp；
　　　break；}
　　　else if (i= =n)
　　　　　　{n = n+1；
　　　　　　　i = n；
　　　　　　　ReqAddBuf[i] = ReqEntryIp； }
　　}
　}
    當(dāng)接收到一個(gè)ARP響應(yīng)報(bào)文時(shí)，察看它的源IP地址是否記錄在案，如果有，則更新ARP高速緩存；如果沒有，丟棄該響應(yīng)報(bào)文。C語言描述如下：
if (ReceivingResPack= =1)
{ for (i=1； i<=n ； i++)
　{if (ReqAddBuf[i]= = ResEntryIP)
　　{ ReqAddBuf[i]=0；
　　　UpdateArp( )；
　　　break；}
　　　else if (i= =n) DelResPack()；
　　}
}
    該方案可以通過修改TCP/IP內(nèi)核源代碼(主要是修改廣播ARP請求函數(shù)arprequest和處理接收到的ARP報(bào)文的函數(shù)in_arpinput)得以實(shí)現(xiàn)；也可以做一個(gè)軟件，在每次發(fā)送和接收ARP報(bào)文時(shí)進(jìn)行相應(yīng)處理。
    (4)使用ARP服務(wù)器。ARP服務(wù)器保存有局域網(wǎng)內(nèi)各主機(jī)的IP地址和MAC地址的映射信息，并且禁用局域網(wǎng)內(nèi)除服務(wù)器之外各主機(jī)的ARP應(yīng)答，僅保留服務(wù)器對接收到的ARP請求進(jìn)行應(yīng)答。但是必須要保證ARP服務(wù)器的正常運(yùn)行，不被黑客攻擊。
    (5)使用防火墻等安全產(chǎn)品。現(xiàn)在大多網(wǎng)絡(luò)公司在防火墻等安全產(chǎn)品中加入了對ARP欺騙的防范，它們通常是從底層驅(qū)動(dòng)對所有ARP欺騙數(shù)據(jù)包進(jìn)行識別和屏蔽，使ARP欺騙攻擊無功而返。
    依據(jù)ICMP的重新定向，ARP欺騙攻擊可以跨網(wǎng)段進(jìn)行，這樣就擴(kuò)大了ARP進(jìn)行攻擊的范圍，這對于ARP欺騙的防御又增添了難度。由于ARP本身的設(shè)計(jì)問題，使得要徹底避免ARP欺騙攻擊幾乎不可能。因此，除了做好防范以外，經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài)，對網(wǎng)絡(luò)活動(dòng)進(jìn)行分析、監(jiān)控，采取積極、主動(dòng)的防御行動(dòng)是保證網(wǎng)絡(luò)的安全和暢通的重要和有效的方法。
參考文獻(xiàn)
[1] 陳晨.ARP欺騙防御研究[D]，保定：河北農(nóng)業(yè)大學(xué)，2009.
[2] 姜曉峰.ARP協(xié)議簡析與ARP欺騙攻擊防范[J].電腦知識與技術(shù)，2008(1)：1349-1350
[3] 佚名.ICMP重定向差錯(cuò). http： //www. 77169. com/classical/HTML/51616. html，2010-06-01.
[4] 范俊俊.基于交換機(jī)的ARP安全機(jī)制研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008(8)：4162-4164
[5] 金濤.公眾網(wǎng)絡(luò)環(huán)境中的ARP欺騙攻擊與防范方法[D].上海：上海交通大學(xué)，2007.
[6] 徐功文.ARP協(xié)議攻擊原理及其防范措施[J].網(wǎng)絡(luò)與信息安全，2005(1)：4-6.