使用SNMP之ARP攻击侦测技术

2024年3月22日发(作者：)

使用SNMP之ARP攻击侦测技术

摘要 近年来，利用地址解析协议（ARP）发展而来的ARP欺骗攻击窃取使

用者密码或机密资讯的安全威胁越来越严重。本论文研究以网络管理者的角度，

提出一个使用SNMP网络协定的ARP攻击侦测机制，进一步利用SNMP技术将

攻击者进行断网，以阻止其继续攻击。经实践测试，实验结果显示本论文所提

ARP攻击侦测机制确实能有效侦测ARP攻击。

关键词 ARP欺骗；SNMP；DHCP

1 研究的目的与意义

由于网络安全越来越重要，一个网络管理者的工作除了维护网络的正常畅通

通信之外，也必须对整个网络使用的安全有具体的防范措施，如何保护使用者的

账号密码不被轻易窃取也应是其本的首要工作。当ARP Spoofing技术不断的推

陈出新及相关的攻击程序也容易从网络下载取得，这代表了我们所标榜的信息安

全已经面临空前的挑战。因此，如何有效防范ARP攻击是网络管理人员必须面

对的职责，网络管理人员所管辖的网络通常包括多个子网络，由于ARP攻击的

信息只出现于子网络的网段，当ARP攻击发生时，网络管理人员无法有效从远

端观察每一可能发生ARP攻击的网络段信息，因此如何建立一个以整体网络管

理的ARP攻击监测架构，是本论文计划探讨的研究课题。

2 使用SNMP之ARP攻击侦测技术

对于网络管理人员而言，所管辖的网络通常包括几百台以上的电脑，数十台

具网管功能的网络交换机和1台对外连接的路由器，为了在IP地址的管理上可

以达到动态便利性，通常都会架设一台DHCP服务器，以方便用户端的IP动态

设定。最近我们更发现ARP Spoofing的技术不止发展了DOS、MiM及Hijacking，

并结合病毒与后门程序利用网络散布，对于网络安全的威胁令人担心，事实上我

们所处网络的安全已几乎岌岌可危。网络管理人员当真就束手无策了吗？答案是

否定的，现将提出一个使用SNMP的ARP攻击侦测技术，可以利用网络上的路

由器及交换机所提供的网络管理信息，简易地发现使用ARP的DOS的攻击者与

MiM的攻击，并找出攻击者所在，及时将攻击者所使用的网络隔离，不让攻击

者轻易地瘫痪或监听网络。

2.1 侦测网络架构

本文所提供的ARP攻击侦测架构是基于路由器及交换机所提供标准的网络

管理信息，这些信息可经由SNMP协议远端截取。除了ARP攻击侦测服务器之

外，我们发现无论是一般企业或者是大型机构甚至是学校的宿舍网络架构几乎都

很类似，都是由防火墙与路由器与对外网络连接，内部网络的部份端视规模大小

决定，需要设置多少台交换器及切割多少个区域网段便于管理底下的使用者。

2.2 侦测流程

本侦测系统的需要搜集资料的对象包括了DHCP服务器、网络路由器、与

网络交换机等主要设备，所以路由器与网络交换机必须提供具网管的SNMP的

功能。我们从DHCP服务器中得到DHCP Log资料，也利用SNMP从路由器中

得到ARP Table，为了找出攻击者的所在位置，所以也利用SNMP的Bridge MIB

得到网络交换器中MAC与Port的对应，所以不仅可以侦测到哪一个IP地址在

攻击之外，我们还需知道攻击者是经由哪一台交换器及通信接口（Port）进行攻

击，我们就可以透过网管机制将该Port断线，阻断其攻击。

路由器的ARP table为路由器现行运作所需的IP与MAC地址对应表，为维

护网络畅通，路由器必须不断地维护此表格取得所管辖网络中所有的IP与MAC

地址的正确对应。然而为了避免ARP封包太多在网络中流窃，思科路由器的ARP

Cache Timeout出厂预设为4个小时，是可以接受的。

3 系统制作与测试

ARP攻击侦测系统本身主要架构分为3部分，包括了数据库、SNMP管理

端程序及相关比对程序。其执行主要分3个步骤：

1）定时将路由器上的ARP Table，存回数据库中，此步骤需使用PHP的SNMP

Get Request 的方式，向路由器取回动行中ARP Table并直接存进数据库中。

2）除了管理人员所输入排外名单外，找出对应至重复MAC地址的IP地址。

3）对比上一笔的ARP Table，筛选出前后地址变动的差异。

3.1 实验网络架构

在本实验中，ARP侦测服务器以校园宿舍网络区为侦测及测试的对象，宿

舍区网络以一台Cisco 6506路由器为主，往下分成10个LAN网共有96台D-Link

3 225G网络交换机，约提供1800台主机上网使用，ARP侦测服务器架设于网络

服务器区的网段内，ARP侦测服务器主要是向宿舍区Cisco 6506要回宿舍区底

下10个网段的ARP Table回来分析对比，现阶段的取样频率以10min一次。为

产生ARP Mim攻击，我们使用Cain & Able v4.9.14程序执行中间人监听动作，

以测试ARP侦测服务器可否将正在攻击中的主机侦测出来，再借由侦测辅助系

统寻找出攻击主机的所在位置，然后将该Switch Port关闭使其无法使用网络进

行ARP攻击。

3.2 测试结果

本实验实际测试网络架构所示，本次测试以vlan52为测试网段，我们将两

台笔记本电脑，分别接于不同的网络交换机底下，由攻击者（Attacker）执行MiM

攻击程序，另一台则是模拟成一般使用者Host A（主机A），执行上网登入个人

信箱网页，查看电子邮件的动作。由攻击者电脑可以清楚看出攻击软件将主机A

登入画面的网址以及输入帐号密码的内容完整呈现出来。此时ARP攻击侦测服

务器也发现该攻击，将有问题的IP与MAC地址显示出来以告知管理者，然而

侦测服务器尚无法确认何人为攻击者与受害者，因此网络管理者必须至DHCP

log查询出攻击者及受害者真实IP与MAC地址。根据所示的DHCP log资料，

我们可以发现发生重复的MAC地址原为10.10.52.161所有，因此可以判断攻击

者为10.10.52.161。为进一步确认攻击者与受害者位置，我们将DHCP log中所

显示两者的MAC地址至所储存的交换机表资料中找出对应的交换机的通信接

口。

4 结论

本文研究探讨近年来兴起的ARP攻击之侦测与防治，在论文研究期间，为

了追查ARP攻击的起因，却意外发现ARP攻击的方式已经发展为病毒传播新的

方法，其目的不外乎是利用后门程序的植入达到窃取受害者网络所在的机密资

料，在如此不断更新且利用新技术的病毒攻击模式，网络安全已经不是使用者或

管理者单方面就能独立捍卫起来的，必须结合使用者与网络管理者齐心协力，才

能阻挡攻击者的入侵行动。

参考文献

[1]陈明.计算机网络工程[J].北京：中国铁道出版社，2009.

[2]李海鹰，程灏，等.针对ARP攻击的网络防御模式设计与实现，2005.

[3]曹磊.局域网中ARP的欺骗攻击[J].气象科技，2007.

[4]刘舫.企业局域网感染ARP病毒的处理方法[J].科技情报开发与经济，

2007.