arp協(xié)議的缺點介紹及防范

　　地址解析協(xié)議，即ARP（Address Resolution Protocol），是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標(biāo)IP地址的ARP請求廣播到網(wǎng)絡(luò)上的所有主機，并接收返回消息，以此確定目標(biāo)的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。

　　一、ARP協(xié)議的缺陷

　　ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點的基礎(chǔ)上的，它很高效，但卻不安全。它是無狀態(tài)的協(xié)議，不會檢查自己是否發(fā)過請求包，也不管（其實也不知道）是否是合法的應(yīng)答，只要收到目標(biāo)MAC是自己的ARP reply包或arp廣播包（包括ARP request和ARP reply），都會接受并緩存。這就為ARP欺騙提供了可能，惡意節(jié)點可以發(fā)布虛假的ARP報文從而影響網(wǎng)內(nèi)結(jié)點的通信，甚至可以做“中間人”。

　　二、常見ARP欺騙形式

　　1、假冒ARP reply包（單播）

　　XXX，I have IP YYY and my MAC is ZZZ！

　　2、假冒ARP reply包（廣播）

　　Hello everyone！ I have IP YYY and my MAC is ZZZ！

　　向所有人散布虛假的IP/MAC

　　3、假冒ARP request（廣播）

　　I have IP XXX and my MAC is YYY.

　　Who has IP ZZZ？ tell me please！

　　表面為找IP ZZZ的MAC，實際是廣播虛假的IP、MAC映射（XXX，YYY）

　　4、假冒ARP request（單播）

　　已知IP ZZZ的MAC

　　Hello IP ZZZ！ I have IP XXX and my MAC is YYY.

　　5、假冒中間人

　　欺騙主機（MAC為MMM）上啟用包轉(zhuǎn)發(fā)

　　向主機AAA發(fā)假冒ARP Reply：

　　AAA，I have IP BBB and my MAC is MMM，

　　向主機BBB發(fā)假冒ARP Reply：

　　BBB，I have IP AAA and my MAC is MMM

　　由于ARP Cache的老化機制，有時還需要做周期性連續(xù)欺騙。

　　三、ARP欺騙的防范

　　1、運營商可采用Super VLAN或PVLAN技術(shù)

　　所謂Super VLAN也叫VLAN聚合，這種技術(shù)在同一個子網(wǎng)中化出多個Sub VLAN，而將整個IP子網(wǎng)指定為一個VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默認(rèn)網(wǎng)關(guān)IP地址，不同的Sub VLAN仍保留各自獨立的廣播域。子網(wǎng)中的所有主機只能與自己的默認(rèn)網(wǎng)關(guān)通信。如果將交換機或IP DSLAM設(shè)備的每個端口（網(wǎng)絡(luò)中的一對端其一端輸入的電流與另一端輸出的電流是相等的）化為一個Sub VLAN，則實現(xiàn)了所有端口（網(wǎng)絡(luò)中的一對端其一端輸入的電流與另一端輸出的電流是相等的）的隔離，也就避免了ARP欺騙。

　　PVLAN即私有VLAN（Private VLAN） ，PVLAN采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機或IP DSLAM設(shè)備的每個端口（網(wǎng)絡(luò)中的一對端其一端輸入的電流與另一端輸出的電流是相等的）化為一個（下層）VLAN，則實現(xiàn)了所有端口（網(wǎng)絡(luò)中的一對端其一端輸入的電流與另一端輸出的電流是相等的）的隔離。

　　PVLAN和SuperVLAN技術(shù)都可以實現(xiàn)端口（網(wǎng)絡(luò)中的一對端其一端輸入的電流與另一端輸出的電流是相等的）隔離，但實現(xiàn)方式、出發(fā)點不同。PVLAN是為了節(jié)省VLAN，而SuperVlan的初衷是節(jié)省IP地址。

　　2、單位局域網(wǎng)可采用IP與MAC綁定

　　在PC上IP+MAC綁，網(wǎng)絡(luò)設(shè)備上IP+MAC+端口（網(wǎng)絡(luò)中的一對端其一端輸入的電流與另一端輸出的電流是相等的）綁。但不幸的是Win 98/me、未打arp補丁的win 2000/xp sp1（現(xiàn)在大多都已經(jīng)打過了）等系統(tǒng) 使用arp -s所設(shè)置的靜態(tài)ARP項還是會被ARP欺騙所改變。

　　如果網(wǎng)絡(luò)設(shè)備上只做IP+MAC綁定，其實也是不安全的，假如同一二層下的某臺機器發(fā)偽造的arp reply（源ip和源mac都填欲攻擊的那臺機子的）給網(wǎng)關(guān)，還是會造成網(wǎng)關(guān)把流量送到欺騙者所連的那個（物理）端口（網(wǎng)絡(luò)中的一對端其一端輸入的電流與另一端輸出的電流是相等的）從而造成網(wǎng)絡(luò)不通。

　　對于采用了大量傻瓜交換機的局域網(wǎng)，用戶自己可以采取支持arp過濾的防火墻（防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)）等方法。推薦Look ‘n’Stop防火墻，支持arp協(xié)議規(guī)則自定義。