[摘 要] 介紹了酒店網(wǎng)絡(luò)系統(tǒng)防止ARP欺騙必要性。通過分析ARP協(xié)議的工作原理，探討了ARP欺騙的危害性。最后，從酒店網(wǎng)絡(luò)系統(tǒng)安全的維護(hù)工作出發(fā)，介紹了IP地址和MAC地址綁定、交換機(jī)端口和MAC地址綁定、靜態(tài)配置路由ARP條目等技術(shù)能夠有效防御ARP欺騙攻擊的安全防范策略。

[關(guān)鍵詞] 網(wǎng)絡(luò)系統(tǒng) ARP欺騙

近幾年來，國(guó)內(nèi)經(jīng)濟(jì)的高速發(fā)展，帶來了蓬勃發(fā)展的旅游業(yè)和頻繁的商務(wù)旅行活動(dòng)。這些又為酒店行業(yè)帶來了無限商機(jī)。如何提升酒店品牌新象，提高服務(wù)檔次，能更好的滿足顧客的要求從而擴(kuò)大市場(chǎng)，成了各個(gè)酒店亟待解決的問題。

現(xiàn)在，顧客選擇酒店時(shí)既看重基礎(chǔ)設(shè)施的建設(shè)狀況，也更加酒店信息化建設(shè)狀況。顧客入住酒店不再只是解決住宿，還有娛樂、商務(wù)等需求。從市場(chǎng)調(diào)查來看，酒店的客流很大比例在于商務(wù)需要。而商務(wù)顧客都把客房當(dāng)作臨時(shí)的辦公室。在里面辦公，撰寫WORD資料，準(zhǔn)備PPT文稿，收發(fā)電子郵件等等。這些很大程度上取決于酒店對(duì)于互聯(lián)網(wǎng)的接入服務(wù)是否完善。

酒店的網(wǎng)絡(luò)應(yīng)用情況非常復(fù)雜，使用的人員流動(dòng)性大，對(duì)酒店網(wǎng)絡(luò)建設(shè)提出了比較高的需求，需要解決因病毒攻擊而引發(fā)的客戶投訴的問題。這其中經(jīng)常碰到的會(huì)引起所有用戶不能正常上網(wǎng)的是ARP欺騙。近段時(shí)間，國(guó)內(nèi)網(wǎng)吧、企業(yè)、酒店等行業(yè)大都出現(xiàn)過由于ARP欺騙引起的斷線(全斷或部分?jǐn)嗑€)的現(xiàn)象，由于該欺騙變種太多，傳播速度太快，國(guó)內(nèi)外的反病毒廠商都沒有很好的辦法來解決ARP欺騙問題。

一、什么是ARP欺騙

從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP欺騙分為二種：一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙：

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。

第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

二、ARP欺騙的危害

ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，讓某些被欺騙的計(jì)算機(jī)無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關(guān)無法和客戶端正常通信。實(shí)際上他的危害還不僅僅如此，一般來說IP地址的沖突我們可以通過多種方法和手段來避免，而ARP協(xié)議工作在更低層，隱蔽性更高。系統(tǒng)并不會(huì)判斷ARP緩存的正確與否，無法像IP地址沖突那樣給出提示。而且很多黑客工具例如網(wǎng)絡(luò)剪刀手等，可以隨時(shí)發(fā)送ARP欺騙數(shù)據(jù)包和ARP恢復(fù)數(shù)據(jù)包，這樣就可以實(shí)現(xiàn)在一臺(tái)普通計(jì)算機(jī)上通過發(fā)送ARP數(shù)據(jù)包的方法來控制網(wǎng)絡(luò)中任何一臺(tái)計(jì)算機(jī)的上網(wǎng)與否，甚至還可以直接對(duì)網(wǎng)關(guān)進(jìn)行攻擊，讓所有連接網(wǎng)絡(luò)的計(jì)算機(jī)都無法正常上網(wǎng)。這點(diǎn)在以前是不可能的，因?yàn)槠胀ㄓ?jì)算機(jī)沒有管理權(quán)限來控制網(wǎng)關(guān)，而現(xiàn)在卻成為可能，所以說ARP欺騙的危害是巨大的，而且非常難對(duì)付，非法用戶和惡意用戶可以隨時(shí)發(fā)送ARP欺騙和恢復(fù)數(shù)據(jù)包，這樣就增加了網(wǎng)絡(luò)管理員查找真兇的難度。

三、解決ARP攻擊的方法

絕大多數(shù)路由器廠商建議用戶在內(nèi)網(wǎng)主機(jī)和路由器之間建立雙向的ARP綁定來解決這個(gè)問題，這也是目前看來最行之有效的解決方案

但是在酒店卻很難使用這個(gè)方案，隨著住店客人的不斷更換，酒店客房里的主機(jī)是不斷變化的，這就意味著遭遇ARP欺騙時(shí)，不可能在路由器上通過綁定內(nèi)網(wǎng)主機(jī)ARP信息的傳統(tǒng)方法解決此問題。同時(shí)，也很難讓住店的客人操作對(duì)路由器的ARP綁定。

針對(duì)使用HiPER路由器的酒店用戶特提出以下解決方案：

1.解決路由器被ARP欺騙的問題

絕大多數(shù)酒店采用DHCP技術(shù)給上網(wǎng)用戶動(dòng)態(tài)分配IP地址，HiPER新一代ReOS版本VSTAR根據(jù)這個(gè)特點(diǎn)，對(duì)路由器DHCP動(dòng)態(tài)分配IP地址的用戶自動(dòng)進(jìn)行ARP綁定，待該IP地址租約到期未續(xù)租時(shí)將其自動(dòng)解除綁定的功能。這樣當(dāng)路由器收到內(nèi)網(wǎng)虛假的ARP信息的時(shí)候就會(huì)主動(dòng)拒絕。

2.解決內(nèi)網(wǎng)主機(jī)被ARP欺騙的問題

方法1：通過路由器按照一定頻率發(fā)送申明自己的廣播包，告知內(nèi)網(wǎng)每臺(tái)主機(jī)正確的網(wǎng)關(guān)ARP信息。

方法2：一旦ARP欺騙發(fā)包的頻率高于網(wǎng)關(guān)的發(fā)送頻率，方法1的防御方法就會(huì)失效。這時(shí)候我們就可以配合內(nèi)網(wǎng)安全交換機(jī)端口隔離功能來解決這個(gè)問題，在內(nèi)網(wǎng)的交換安全交換機(jī)上配置每個(gè)端口為獨(dú)立的VLAN（可以采用802.1QVLAN或者Port VLAN技術(shù)）。這樣，內(nèi)網(wǎng)即使有主機(jī)發(fā)起ARP欺騙，也不會(huì)影響到內(nèi)網(wǎng)的其他主機(jī)的正常上網(wǎng)。

3.過渡方法

暫時(shí)沒有安全交換機(jī)的酒店網(wǎng)絡(luò)也可以使用過渡方法，在內(nèi)網(wǎng)的服務(wù)器上共享一個(gè)主機(jī)綁定路由器ARP信息的批處理文件，并且在每個(gè)房間網(wǎng)線接口旁擺放一個(gè)卡片，指導(dǎo)用戶如何找到這個(gè)批處理文件，如何執(zhí)行該批處理文件。這樣就可以在內(nèi)網(wǎng)主機(jī)上完成對(duì)路由器ARP信息的綁定。

四、結(jié)束語

ARP欺騙在相當(dāng)長(zhǎng)的時(shí)間內(nèi)還會(huì)繼續(xù)存在，不斷的為用戶提供各種解決方案，幫助用戶打造一個(gè)穩(wěn)定、高效的接入環(huán)境，將是酒店網(wǎng)絡(luò)系統(tǒng)的最主要功能。

參考文獻(xiàn):

[1]曹 磊:局域網(wǎng)中ARP的欺騙攻擊.氣象科技，2007，12

[2]劉 舫:企業(yè)局域網(wǎng)感染ARP病毒的處理方法.科技情報(bào)開發(fā)與經(jīng)濟(jì)，2007，31