陳科武

摘要：近年來(lái)各種形式的ARP攻擊層出不窮，出現(xiàn)在校園網(wǎng)絡(luò)中的ARP攻擊往往導(dǎo)致網(wǎng)絡(luò)中斷，嚴(yán)重影響學(xué)校各項(xiàng)工作的正常開(kāi)展。本文闡述和分析了ARP協(xié)議的工作原理及缺陷、常見(jiàn)的ARP攻擊方式及防治策略。

關(guān)鍵詞：ARP攻擊；校園網(wǎng);防治

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1673-8454（2008）22-0078-02

近年來(lái)，許多校園網(wǎng)絡(luò)陸續(xù)出現(xiàn)內(nèi)網(wǎng)的電腦訪問(wèn)互聯(lián)網(wǎng)時(shí)斷時(shí)續(xù)，甚至整個(gè)網(wǎng)絡(luò)完全中斷的現(xiàn)象。究其原因，多數(shù)是因?yàn)榫W(wǎng)內(nèi)電腦上網(wǎng)時(shí)不慎感染ARP病毒或木馬，并在校園網(wǎng)內(nèi)傳播引起的。本文從ARP協(xié)議的工作原理及缺陷入手，深入分析了ARP的原理，并提出了行之有效的防治措施。

一、ARP協(xié)議的工作原理及缺陷

ARP全稱(chēng)為Address Resolution Protocol，即地址解析協(xié)議。它在TCP/IP協(xié)議棧中屬于較低層的協(xié)議，負(fù)責(zé)將IP地址解析成對(duì)應(yīng)的MAC地址。當(dāng)以太網(wǎng)中兩臺(tái)主機(jī)通信時(shí)，主機(jī)A首先檢查自己的ARP緩存中有沒(méi)有主機(jī)B的MAC地址，如果有則將主機(jī)B的IP地址映射到相應(yīng)的MAC地址，協(xié)議棧將IP包封裝到以太網(wǎng)幀中進(jìn)行傳送。如果沒(méi)有，主機(jī)A會(huì)發(fā)送一個(gè)ARP請(qǐng)求廣播包，當(dāng)主機(jī)B收到此廣播后，會(huì)發(fā)出ARP響應(yīng)包，將自己的MAC地址傳給主機(jī)A，同時(shí)主機(jī)B將主機(jī)A的IP地址/MAC地址添加到自己的ARP緩存中，以供后面使用。主機(jī)A收到主機(jī)B的ARP響應(yīng)包后，將更新自己的ARP緩存，并開(kāi)始通信。

ARP協(xié)議作為一個(gè)局域網(wǎng)協(xié)議，它是建立在各主機(jī)之間相互信任的基礎(chǔ)上的，存在嚴(yán)重的安全隱患。正常情況下主機(jī)的ARP緩存生存期有限，例如Windows系統(tǒng)默認(rèn)存活2分鐘，在路由器中默認(rèn)存活4小時(shí)，惡意用戶(hù)只要在下一次通信前成功地修改被欺騙機(jī)器上的ARP緩存，就可以進(jìn)行ARP欺騙。由于ARP協(xié)議是無(wú)狀態(tài)的，攻擊者可以隨心所欲地發(fā)送ARP響應(yīng)包，收到ARP響應(yīng)包的主機(jī)即使沒(méi)有發(fā)送過(guò)ARP請(qǐng)求廣播包也將無(wú)條件地利用響應(yīng)包更新自己的ARP緩存，從而受騙。

二、常見(jiàn)ARP攻擊

常見(jiàn)的ARP攻擊主要包括網(wǎng)關(guān)劫持和雙向的ARP欺騙。

圖1 自動(dòng)批處理文件示例

網(wǎng)關(guān)劫持是指攻擊主機(jī)仿冒網(wǎng)關(guān)發(fā)出ARP響應(yīng)包，誘騙其它客戶(hù)機(jī)以為攻擊主機(jī)是網(wǎng)關(guān)，從而找不到真正的網(wǎng)關(guān)而無(wú)法上網(wǎng)。這種攻擊最常見(jiàn)的是校園網(wǎng)中某一臺(tái)電腦中了ARP病毒，導(dǎo)致整個(gè)網(wǎng)絡(luò)或者中毒電腦所在的網(wǎng)段不能上網(wǎng)，如果病毒在校園網(wǎng)中迅速擴(kuò)散，大量的中毒電腦不斷發(fā)送ARP廣播包還可能導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷。

正常情況下校園網(wǎng)中兩臺(tái)主機(jī)A和B是直接通信的，如果攻擊主機(jī)C在主機(jī)A面前通過(guò)ARP欺騙仿冒成主機(jī)B，同時(shí)又在主機(jī)B面前仿冒成主機(jī)A，那么攻擊主機(jī)C可以成為主機(jī)A和B之間的信息交流的中轉(zhuǎn)站，在主機(jī)A和B都不知情的情況下竊取他們交流的信息，這是一種典型的黑客行為，嚴(yán)重影響信息安全。

三、ARP攻擊的防治策略

有效防治ARP攻擊，可以分別從客戶(hù)端和服務(wù)端兩方面著手。

1.客戶(hù)端ARP攻擊防治

（1）靜態(tài)綁定法，針對(duì)網(wǎng)關(guān)劫持的ARP攻擊，可以使用以下命令：“arp –s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址 ”，在客戶(hù)端電腦手工綁定網(wǎng)關(guān)的IP地址和MAC地址。為了避免每次開(kāi)機(jī)都要進(jìn)行重復(fù)操作，建立以下批處理文件（以我校校園網(wǎng)為例配置，下同),并將該批處理文件設(shè)成隨機(jī)自動(dòng)啟動(dòng)即可。

（2）使用工具軟件法，常見(jiàn)的工具軟件有AntiArp，360ARP防火墻等等。以360ARP防火墻為例，可以在安全360軟件界面中點(diǎn)擊打開(kāi)“保護(hù)-局域網(wǎng)ARP攻擊攔截-ARP攔截高級(jí)設(shè)置-綜合設(shè)置-添加保護(hù)網(wǎng)關(guān)IP/MAC”，將網(wǎng)關(guān)的IP地址和MAC地址輸入后確定退出即可。

2.服務(wù)端ARP攻擊防治

圖2 360ARP防火墻配置

圖3 網(wǎng)關(guān)ARP強(qiáng)制廣播配置

（1）交換機(jī)端口綁定，如果校園網(wǎng)使用Cisco、華為、3COM等品牌的中高端交換機(jī)，可以每臺(tái)交換機(jī)設(shè)置IP地址和MAC地址綁定以及MAC地址與交換機(jī)端口的綁定，此方法可以有效地預(yù)防ARP攻擊和IP地址欺騙，但是配置繁瑣且靈活性差，適合較小型、少變化的校園網(wǎng)絡(luò)。

（2）配置VLAN，VLAN可以有效地隔離廣播報(bào)文，大大減少ARP病毒的傳播范圍和傳播速度，同時(shí)也減輕了交換機(jī)的流量負(fù)荷，減少?gòu)V播風(fēng)暴出現(xiàn)的幾率。

（3）網(wǎng)關(guān)ARP強(qiáng)制廣播技術(shù)，針對(duì)ARP攻擊中最常見(jiàn)的網(wǎng)關(guān)劫持，可以命令網(wǎng)關(guān)設(shè)備不斷強(qiáng)制廣播正確的ARP報(bào)文，壓制ARP攻擊。由于現(xiàn)在局域網(wǎng)中ARP病毒的泛濫，許多廠家的網(wǎng)關(guān)設(shè)備中增加了ARP強(qiáng)制廣播功能。如圖2以我校路由器為例，可以激活路由器中“防止ARP病毒攻擊”功能，并將“每秒發(fā)送”設(shè)為1～5筆。值得注意的是如果“每秒發(fā)送”設(shè)置值過(guò)高，有可能加重整個(gè)校園網(wǎng)的負(fù)荷，造成相反的效果。

（4）設(shè)備廠商開(kāi)發(fā)的專(zhuān)利偵測(cè)技術(shù)，許多網(wǎng)絡(luò)設(shè)備廠商開(kāi)發(fā)了針對(duì)ARP攻擊的專(zhuān)利技術(shù)，以CISCO公司為例，它開(kāi)發(fā)的動(dòng)態(tài)ARP報(bào)文檢測(cè)技術(shù)（DAI，Dynamic Arp Inspection）的基本原理是利用 DHCP Snooping Bind表判斷ARP欺騙，并丟棄欺騙報(bào)文，屏蔽相應(yīng)的交換機(jī)端口，同時(shí)生成報(bào)警日志。

四、結(jié)束語(yǔ)

由于ARP協(xié)議的先天缺陷，要根治ARP攻擊，不僅需要校園網(wǎng)管理者的努力，也需要校園網(wǎng)內(nèi)每一個(gè)用戶(hù)的配合，才能將ARP攻擊對(duì)校園網(wǎng)的影響減小到最低的程度。

參考文獻(xiàn)：

[1]Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)（第3版）[M].北京：清華大學(xué)出版社.

[2]Joseph Davis，Thomas Lee.Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference[M].

北京：清華大學(xué)出版社.

[3]Liam B Quinn，Richard G.Russell.快速以太網(wǎng)[M].北京：人民郵電出版社.

[4]劉洪濤.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用[J].襄樊職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008，（5）.

[5]陳義陸等.八方會(huì)診ARP[J].中國(guó)教育網(wǎng)絡(luò)，2007，（12）.

[6]蔡宏澤.校園網(wǎng)防病毒策略研究與實(shí)現(xiàn)[J].中國(guó)科技信息，2007，（15）.

[7]張道軍，吳銀芳.校園網(wǎng)絡(luò)中ARP病毒的綜合治理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007,（9）.

[8]步山岳，沈益彬.校園網(wǎng)漏洞檢測(cè)與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007,（2）.

[9]孔祥翠等.校園局域網(wǎng)防ARP病毒的研究和解決[J].計(jì)算機(jī)安全，2008,（4）.