摘  要： ARP協(xié)議主要實現(xiàn)了網(wǎng)絡(luò)層地址到數(shù)據(jù)鏈路層地址的動態(tài)映射，由于ARP協(xié)議具有無序性、無確認性、動態(tài)性、無安全機制等特性，ARP欺騙攻擊成了局域網(wǎng)中一種常見的攻擊現(xiàn)象。在深入研究ICMP重新定向原理的基礎(chǔ)上，通過一個實例解釋了跨網(wǎng)段ARP欺騙原理和具體實現(xiàn)過程，并給出了具體的檢測與防范方法。
關(guān)鍵詞： ARP；重新定向；ICMP；跨網(wǎng)段

    網(wǎng)絡(luò)安全是當(dāng)今網(wǎng)絡(luò)技術(shù)的一個重要研究課題，有很強的現(xiàn)實應(yīng)用背景。在網(wǎng)絡(luò)安全防范中，地址解析協(xié)議ARP(Address Resolution Protocol)是一個相當(dāng)重要的內(nèi)容，也是網(wǎng)絡(luò)攻擊者最偏向于利用的網(wǎng)絡(luò)底層協(xié)議。ARP協(xié)議的設(shè)計是建立在局域網(wǎng)內(nèi)計算機互信的基礎(chǔ)上的，這種設(shè)計的初衷使得今天局域網(wǎng)內(nèi)出現(xiàn)了大量的與ARP相關(guān)的木馬和病毒，嚴重影響了局域網(wǎng)內(nèi)通信的安全和通信效率，給用戶利益帶來了巨大的風(fēng)險。研究ARP攻擊的原理與欺騙的防御方法，有助于加強局域網(wǎng)的安全建設(shè)，提高局域網(wǎng)內(nèi)各主機的通信安全和網(wǎng)絡(luò)的性能。本文針對跨網(wǎng)段的ARP攻擊進行了研究。
1 ARP協(xié)議
1.1 ARP的作用
    ARP[1]工作在數(shù)據(jù)鏈路層，在本層與硬件接口聯(lián)系，同時對上層(網(wǎng)絡(luò)層)提供服務(wù)。在以太網(wǎng)中，由于以太網(wǎng)設(shè)備并不識別32 bit的IP地址，所以數(shù)據(jù)包的傳送不是通過IP地址完成的，而是通過48 bit MAC地址(網(wǎng)卡的物理地址)來完成的，一臺主機要和另一臺主機進行直接通信，必須要知道目標(biāo)主機的MAC地址。而ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為MAC地址，以保證通信的順利進行。ARP工作時，首先請求主機發(fā)送出一個含有所希望到達的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，然后目標(biāo)IP的所有者會以一個含有IP和MAC地址對的數(shù)據(jù)包應(yīng)答請求主機。這樣請求主機就能獲得要到達的IP地址對應(yīng)的MAC地址，同時請求主機將這個地址對放入自己的ARP表緩存起來，以節(jié)約不必要的ARP通信。主機每隔一段時間(或者當(dāng)收到ARP應(yīng)答)都會用新的地址映射記錄對ARP緩存進行更新，以保證自己擁有最新的地址解析緩存。ARP的報文格式如表1所示[2]。

1.2 ARP協(xié)議的安全問題
    ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點的基礎(chǔ)上的，它高效，但卻不安全。ARP高速緩存根據(jù)所接收到的ARP協(xié)議包隨時進行動態(tài)更新，它是無狀態(tài)的協(xié)議，不會檢查自己是否發(fā)過請求包，只要收到目標(biāo)MAC是自己的ARP響應(yīng)數(shù)據(jù)包或ARP廣播包(包括ARP請求數(shù)據(jù)包和ARP響應(yīng)數(shù)據(jù)包)，都會接受并緩存。ARP協(xié)議沒有認證機制，只要接收到的協(xié)議包是有效的，主機就無條件地根據(jù)協(xié)議包的內(nèi)容刷新本機ARP緩存，并不檢查該協(xié)議包的合法性。因此攻擊者可以隨時發(fā)送虛假ARP包更新被攻擊主機上的ARP緩存，進行地址欺騙或拒絕服務(wù)攻擊。
2 跨網(wǎng)段的ARP需重新定向的原因
    如果是同一網(wǎng)段，ARP欺騙攻擊就可以直接通過洪水攻擊或偽造IP-MAC地址映射表來實現(xiàn)。但是如果偽造包是經(jīng)過路由分段將無法獲得成功，因為即使使用洪水攻擊或者偽造包使得目標(biāo)主機無法提供服務(wù)，失去連接，局域網(wǎng)中的主機也只是在局域網(wǎng)中找目標(biāo)主機而根本不會與攻擊主機通信，因為主機路由表到目標(biāo)主機的路由是直接交付而不是經(jīng)過網(wǎng)關(guān)交付，這時需要再偽造一個網(wǎng)際控制報文協(xié)議ICMP(Internet Control Message Protocol)重定向報文廣播包，通知目標(biāo)主機所在的局域網(wǎng)中的所有主機：到達目標(biāo)主機的最短路徑不是直接交付，而是路由，需要重定向。這樣所有主機在接收重定向報文后更新自己的路由表，攻擊主機就可以偽裝成目標(biāo)主機進行通信。
3 ARP與ICMP跨網(wǎng)段重定向
3.1 ICMP重定向報文格式
    ICMP是為了更有效地轉(zhuǎn)發(fā)IP數(shù)據(jù)報和提高交付成功的機會。它在主機和路由器之間報告差錯情況和提供異常情況的報告，目的是為了當(dāng)網(wǎng)絡(luò)出現(xiàn)問題的時候返回控制信息。ICMP重定向報文是ICMP差錯報告中的一種請求改變路由的報文。表2為ICMP重定向報文格式[3]。

    重定向報文的類型為5，代碼有效值為0~3。其中0代表網(wǎng)絡(luò)重定向，1代表主機重定向，2代表服務(wù)類型和網(wǎng)絡(luò)重定向，3代表服務(wù)類型和主機重定向。原則上，重定向報文是由路由器產(chǎn)生而供主機使用的。路由器默認發(fā)送的重定向報文也只是1或者3，只是對主機的重定向，而不是對網(wǎng)絡(luò)的重定向。而主機本身不是路由器，所以這種ICMP重定向會導(dǎo)致網(wǎng)絡(luò)流量的增大。
3.2 ICMP重定向報文程序
    ICMP重新定向所使用的報文程序如下：
    //ICMP header
    typedef struct _tagX_icmphdr{
    unsigned char i_type； //類型
    unsigned char i_code； //代碼
    unsigned short i_cksum； //檢驗和
    unsigned short i_id； //標(biāo)識符
    unsigned short i_seq； //序列號
    unsigned long i_timestamp；
    //當(dāng)前時間itmestump=(unsigned long)：GetTickCount()；
    XIcmpHeader；
    case ICMP-REDIRECT：
　　if (code>3)
　　　goto badcode；
　　if(icmplen< ICMP-ADVLENMIN||icmplen<ICMP-ADVLEN (icp))
 ||icp->icmp-ip·ip-hl<(sizeof(struct ip)>>2))
{
icmpstat.icps-badlen++；
　　break；
　}
icmpgw·sin-addr=ip->ip-src；
icmpdst·sin-addr=icp->icmp-gwaddr，
icmpsrc·sin-addr=icp->icmp-ip·ip-dst；
rtredirect ((struct sockaddr*) &icmpsrc，
(struct sockaddr*) &icmpdst，
(struct sockaddr*) 0， RTF-GATEWAY|
RTF-HOST，(struct sockaddr*)&icmpgw，
(struct rtentry**) 0)；
ptctlinput (PRC-REDIRECT-HOST，(struct sockaddr*) &icmpsrc)；
　Break；
3.3 ICMP重定向的工作原理
    在Internet網(wǎng)的主機發(fā)送數(shù)據(jù)報時，先查找自己的路由表，判斷發(fā)送接口。出于效率的考慮，主機并不和連接在網(wǎng)絡(luò)上的路由器定期交換路由信息，一般在主機中設(shè)置一個默認路由器的IP地址，數(shù)據(jù)報先傳送給這個默認路由器，此默認路由器通過與其他路由器交換路由信息得知到達每一個網(wǎng)絡(luò)的最佳路由，當(dāng)默認路由器發(fā)現(xiàn)主機發(fā)往某個目的地址的數(shù)據(jù)報的最佳路由不是本默認路由器而是另一個路由器時，就用改變路由報文把這種情況告訴主機，主機即更改路由表增加一個新路由項目。
    下面用如圖1所示的實例來說明ICMP重新定向的過程。主機PC要ping路由器RB的f1地址：192.168.2.1/24，主機將判斷出目標(biāo)屬于不同的網(wǎng)段，因此它要將ICMP請求包發(fā)往自己的默認網(wǎng)關(guān)192.168.0.253/24(路由器RA的f0接口)。但是，這之前主機PC首先必須發(fā)送ARP請求，請求路由器RA的f0(192.168.1.253/24)的MAC地址。當(dāng)路由器RA收到此ARP請求包后，首先用ARP應(yīng)答包回答主機PC的ARP請求(通知主機PC：路由器RA自己的f0接口的MAC地址為AA-AA-AA-AA)。然后，路由器RA將此ICMP請求轉(zhuǎn)發(fā)到路由器RB的f0接口：192.168.0.254/24(要求路由器RA正確配置了到網(wǎng)絡(luò)192.168.2.0/24的路由)。此外，路由器RA還要發(fā)送一個ICMP重定向消息給主機PC，通知主機PC對于主機PC請求的地址的網(wǎng)關(guān)是：192.168.0.254。路由器RB此時會發(fā)送一個ARP請求消息請求主機PC的MAC地址，而主機PC會發(fā)送ARP應(yīng)答消息給路由器RB。最后，路由器RB通過獲得的主機PC的MAC地址信息，將ICMP應(yīng)答消息發(fā)送給主機PC。

3.4 跨網(wǎng)段的ARP欺騙攻擊的實現(xiàn)過程
    跨網(wǎng)段的ARP欺騙比同一網(wǎng)段的ARP欺騙要復(fù)雜得多，它需要把ARP欺騙與ICMP重定向攻擊結(jié)合在一起。假設(shè)Ａ和Ｂ在同一網(wǎng)段，Ｃ在另一網(wǎng)段，如表3所示。

    首先攻擊方Ｃ修改IP包的生存時間，將其延長，以便做充足的廣播。然后和上面提到的一樣，尋找主機Ｂ的漏洞，攻擊此漏洞，使主機Ｂ暫時無法工作。此后，攻擊方Ｃ發(fā)送IP地址為Ｂ的IP地址192．168．0．2，MAC地址為Ｃ的MAC地址CC-CC-CC-CC的ARP應(yīng)答給Ａ。Ａ接收到應(yīng)答后，更新其ARP緩存。這樣，在主機Ａ上，Ｂ的IP地址就對應(yīng)Ｃ的MAC地址。但是，Ａ在發(fā)數(shù)據(jù)包給Ｂ時，仍然會在局域網(wǎng)內(nèi)尋找192．168．0．2的MAC地址，不會把包發(fā)給路由器，這時就需要進行ICMP重定向，告訴主機Ａ到192．168．0．2的最短路徑不是局域網(wǎng)，而是路由，請主機重定向路由路徑，把所有到192．168．0．2的包發(fā)給路由器。主機Ａ在接收到這個合理的ICMP重定向后，修改自己的路由路徑，把對192．168．0．2的數(shù)據(jù)包都發(fā)給路由器。這樣攻擊方Ｃ就能得到來自內(nèi)部網(wǎng)段的數(shù)據(jù)包。
4 ARP病毒的檢測和防范策略
4.1 ARP的檢測方法[4]
    (1)主動定位方式。因為所有的ARP病毒攻擊源都會有其特征——網(wǎng)卡會處于混雜模式，可以通過ARPKiller工具掃描網(wǎng)內(nèi)有哪臺機器的網(wǎng)卡是處于混雜模式的，從而判斷這臺機器有可能就是攻擊機。定位好機器后，再做病毒信息收集，提交給相關(guān)單位做分析處理。
    (2)在任意客戶機上進入命令提示符(或MS-DOS方式)，用arp-a命令查看。如果看到有兩個機器的MAC地址相同，那么就可以判斷網(wǎng)絡(luò)內(nèi)有ARP欺騙攻擊。
    (3)運行tracert–d網(wǎng)址。如果第一個跳顯示的不是網(wǎng)關(guān)而是其他的IP地址，則第一跳中顯示的IP即為中了ARP病毒計算機的IP地址。
4.2 ARP欺騙的安全防范策略[5]
    (1)編寫一個批處理文件arp.bat，實現(xiàn)開機運行，將交換機網(wǎng)關(guān)的MAC地址和網(wǎng)關(guān)的IP地址綁定，內(nèi)容如下：
    @echo off
    arp-d
    arp-s IP MAC
    其中IP和MAC為網(wǎng)關(guān)IP地址和MAC地址。
    (2)網(wǎng)管交換機端綁定。在核心交換機上綁定用戶主機的IP地址和網(wǎng)卡的MAC地址，同時在邊緣交換機上將用戶計算機網(wǎng)卡的MAC地址和交換機端口綁定的雙重安全綁定方式。
以思科2950交換機為例，輸入命令：
  Switch#config terminal #進入配置模式
  Switch(config)# Interface f 0/1
  #進入具體端口配置模式
  Switch(config-if)switchport
  port-security mac-address  MAC(主機的MAC地址)
    (3)算法的實現(xiàn)[6]。根據(jù)ARP欺騙過程，防止ARP欺騙可以基于這樣的思想：如果ARP響應(yīng)報文是在發(fā)出ARP請求之后收到的，則接收該響應(yīng)，并更新ARP緩存。如果接收到ARP響應(yīng)報文不是在發(fā)送ARP請求之后，則拒絕該響應(yīng)。該算法的具體實現(xiàn)過程中，設(shè)置一個數(shù)組ReqAddBuf[i]，保存陸續(xù)發(fā)出的n個ARP請求包的目的IP地址，均賦初值0。設(shè)置兩個參數(shù)：ReqEntryIP和ResEntryIP，分別保存當(dāng)前發(fā)出的ARP請求報文的目的IP地址和接收到的ARP響應(yīng)報文的源IP地址。設(shè)置兩個邏輯變量Sendin-gReqPack和ReceivingResPack。首先，察看是否在發(fā)送ARP請求報文，如果正在發(fā)送，就將該IP加入到數(shù)組ReqAddBuf[i]中。C語言描述如下：
if (SendingReqPack= =1)
{ for (i=1； i<=n ； i++)
　{ if (ReqAddBuf[i] = = 0)
　　{ReqAddBuf[i] = ReqEntryIp；
　　　break；}
　　　else if (i= =n)
　　　　　　{n = n+1；
　　　　　　　i = n；
　　　　　　　ReqAddBuf[i] = ReqEntryIp； }
　　}
　}
    當(dāng)接收到一個ARP響應(yīng)報文時，察看它的源IP地址是否記錄在案，如果有，則更新ARP高速緩存；如果沒有，丟棄該響應(yīng)報文。C語言描述如下：
if (ReceivingResPack= =1)
{ for (i=1； i<=n ； i++)
　{if (ReqAddBuf[i]= = ResEntryIP)
　　{ ReqAddBuf[i]=0；
　　　UpdateArp( )；
　　　break；}
　　　else if (i= =n) DelResPack()；
　　}
}
    該方案可以通過修改TCP/IP內(nèi)核源代碼(主要是修改廣播ARP請求函數(shù)arprequest和處理接收到的ARP報文的函數(shù)in_arpinput)得以實現(xiàn)；也可以做一個軟件，在每次發(fā)送和接收ARP報文時進行相應(yīng)處理。
    (4)使用ARP服務(wù)器。ARP服務(wù)器保存有局域網(wǎng)內(nèi)各主機的IP地址和MAC地址的映射信息，并且禁用局域網(wǎng)內(nèi)除服務(wù)器之外各主機的ARP應(yīng)答，僅保留服務(wù)器對接收到的ARP請求進行應(yīng)答。但是必須要保證ARP服務(wù)器的正常運行，不被黑客攻擊。
    (5)使用防火墻等安全產(chǎn)品。現(xiàn)在大多網(wǎng)絡(luò)公司在防火墻等安全產(chǎn)品中加入了對ARP欺騙的防范，它們通常是從底層驅(qū)動對所有ARP欺騙數(shù)據(jù)包進行識別和屏蔽，使ARP欺騙攻擊無功而返。
    依據(jù)ICMP的重新定向，ARP欺騙攻擊可以跨網(wǎng)段進行，這樣就擴大了ARP進行攻擊的范圍，這對于ARP欺騙的防御又增添了難度。由于ARP本身的設(shè)計問題，使得要徹底避免ARP欺騙攻擊幾乎不可能。因此，除了做好防范以外，經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài)，對網(wǎng)絡(luò)活動進行分析、監(jiān)控，采取積極、主動的防御行動是保證網(wǎng)絡(luò)的安全和暢通的重要和有效的方法。
參考文獻
[1] 陳晨.ARP欺騙防御研究[D]，保定：河北農(nóng)業(yè)大學(xué)，2009.
[2] 姜曉峰.ARP協(xié)議簡析與ARP欺騙攻擊防范[J].電腦知識與技術(shù)，2008(1)：1349-1350
[3] 佚名.ICMP重定向差錯. http： //www. 77169. com/classical/HTML/51616. html，2010-06-01.
[4] 范俊俊.基于交換機的ARP安全機制研究[J].計算機工程與設(shè)計，2008(8)：4162-4164
[5] 金濤.公眾網(wǎng)絡(luò)環(huán)境中的ARP欺騙攻擊與防范方法[D].上海：上海交通大學(xué)，2007.
[6] 徐功文.ARP協(xié)議攻擊原理及其防范措施[J].網(wǎng)絡(luò)與信息安全，2005(1)：4-6.