王斐人　李　毅

摘要：本文通過對ARP協(xié)議的工作原理的研究，描述在局域網(wǎng)絡(luò)中ARP欺騙原理和欺騙的方式、方法，并提出防范ARP網(wǎng)絡(luò)欺騙攻擊的方法。

關(guān)鍵詞：ARP協(xié)議；ARP欺騙；防范

1引言

在計算機技術(shù)高速發(fā)展的今天，網(wǎng)絡(luò)已經(jīng)成為我們工作生活中不可或缺的部分；然而網(wǎng)絡(luò)在給我們的工作、生活帶來了極大便利的同時，也帶來了一系列負面問題。眾所周知，計算機一旦與網(wǎng)絡(luò)互聯(lián)，幾乎都遇到過各式各樣的網(wǎng)絡(luò)攻擊，媒體上經(jīng)常有服務(wù)器被黑客入侵或被病毒攻擊的報道；網(wǎng)絡(luò)安全已經(jīng)受到了日益嚴(yán)重的威脅。

現(xiàn)在局域網(wǎng)中感染ARP病毒的情況日益增多，清理和防范都比較困難，給不少網(wǎng)絡(luò)管理員造成了很大的困擾。本文在分析當(dāng)前局域網(wǎng)特點的基礎(chǔ)上，旨在找出感染ARP病毒的原因和防范ARP病毒的機制，為局域網(wǎng)的管理提供解決的思路和方法。

2ARP協(xié)議工作原理

ARP(Address Resolution Protocol，地址解析協(xié)議)是一個位于OSI參考模型中的數(shù)據(jù)鏈路層(DL)協(xié)議，負責(zé)將網(wǎng)絡(luò)層(OSI的第三層)IP地址解析為數(shù)據(jù)鏈路層(OSI的第二層)的MAC地址。

假設(shè)：

計算機A的IP為17225.13.1，MAC地址為00-1E-90-33-46-01；

計算機B的IP為172.25.13.2，MAC地址為00-1E-90-33-46-02；

ARP工作原理如下：

在TCP/IP協(xié)議中，A給B發(fā)送IP包，在包頭中需要填寫B(tài)的IP為目標(biāo)地址，但這個IP包在以太網(wǎng)上傳輸?shù)臅r候，還需要進行一次以太包的封裝，在這個以太包中，目標(biāo)地址就是B的MAC地址。

計算機A是如何得知B的MAC地址的呢?解決問題的關(guān)鍵就在于ARP協(xié)議。

在A不知道B的MAC地址的情況下，A就廣播一個ARP請求包，請求包中填有B的IP(172.25.13.2)，以太網(wǎng)中的所有計算機都會接收這個請求，而正常的情況下只有B會給出ARP應(yīng)答包，包中就填充上了B的MAC地址，并回復(fù)給A。A得到ARP應(yīng)答后，將B的MAC地址放入本機緩存，便于下次使用。本機MAC緩存是有生存期的，生存期結(jié)束后，將再次重復(fù)上面的過程。

3ARP欺騙原理

ARP欺騙作為一種典型的欺騙類攻擊，包括構(gòu)造偽造的ARP請求和ARP應(yīng)答包。攻擊主機通過發(fā)送偽造的ARP應(yīng)答來更新目標(biāo)主機的ARP緩存，從而使自身贏得目標(biāo)主機的信任。然后再實施有效攻擊或非法監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，造成目標(biāo)主機被攻破或機密信息泄漏等一系列災(zāi)難性后果。

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包，就能更改目標(biāo)主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一個人感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其他計算機的通信信息，并因此造成網(wǎng)內(nèi)其他計算機的通信故障。

4防范技術(shù)

4．1基于交換機的端口與MAC地址綁定

機柜交換機進行IP-MAC-交換機端口配對綁定，服務(wù)器只能在指定交換機端口使用，防止內(nèi)部ARP攻擊機發(fā)送虛假IP地址，虛假MAC地址，偽造網(wǎng)關(guān)，進行欺騙攻擊。

機柜交換機進行網(wǎng)關(guān)IP-網(wǎng)關(guān)MAC靜態(tài)綁定，為機柜內(nèi)部服務(wù)器提供靜態(tài)的網(wǎng)關(guān)MaC地址解析。

4．2創(chuàng)建PC機上的綁定腳本文件

以在XP系統(tǒng)上的設(shè)置為例，采用雙向綁定的方法解決并且防止ARP欺騙。

(1)首先，獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC地址[例如網(wǎng)關(guān)地址172.25.13.254的MAC地址為00-1 E-90-33-46-5A)。

(2)編寫一個批處理文件rarp.bat內(nèi)容如下：

@echo Off

arp-d

arp-S 172.25.13.254 00-1E-90-33-46-5A

將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為實際使用的網(wǎng)關(guān)IP地址和MAC地址即可。

將這個批處理軟件拖到“Windows開始→所有程序→啟動”中。

4．3在交換機上做單端口

VLAN設(shè)定：由于ARP欺騙攻擊一般在同網(wǎng)段危害比較大，我們將網(wǎng)絡(luò)分段劃分得比較細，從而減少危害影響面，達到一定的保護作用。具體做法是，在交換機上有多少個端口就設(shè)定多少個VLAN，將端口設(shè)定為工作在某個指定的VLAN。這樣可在局域網(wǎng)內(nèi)起到防范ARP欺騙攻擊的作用。

4．4軟件防控

安裝360安全衛(wèi)士的360arp防火墻，在窗口中選擇“網(wǎng)關(guān)保護設(shè)置→綜合設(shè)置→自動獲取→保存設(shè)置”就可完成保護設(shè)定。

安裝AntiArp軟件。運行AntiArp軟件后，輸入本網(wǎng)段網(wǎng)關(guān)的正確IP地址后，單擊“獲取網(wǎng)關(guān)MAC地址”，點擊“自動保護”，即可完成保護設(shè)定工作。該方法由于安裝、設(shè)置比較簡單，適合普通用戶的使用，是目前個人計算機上使用比較多的一種保護方式。

5結(jié)束語

通過以上幾種方法來解決ARP病毒對于局域網(wǎng)的欺騙攻擊是比較有效果的。但是由于ARP病毒版本在不斷更新、升級中，所以仍會給局域網(wǎng)用戶帶來新的沖擊與危害。因此有必要提前做好局域網(wǎng)ARP病毒的防范工作，使得ARP病毒的危害減少到最小程度。當(dāng)然，在網(wǎng)絡(luò)安全領(lǐng)域，沒有任何一種技術(shù)手段可以解決所有的問題，對于各種類型的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)管理員應(yīng)當(dāng)密切檢查網(wǎng)絡(luò)，不斷提高自身的技術(shù)水平，確保網(wǎng)絡(luò)安全的正常運行。