[摘 要]隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，網(wǎng)絡(luò)本身的開(kāi)放性、不確定性、交互性和脆弱性使得網(wǎng)絡(luò)安全問(wèn)題顯得日益重要和突出，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越得到人們的重視。由于ARP協(xié)議發(fā)展較早，協(xié)議相對(duì)比較簡(jiǎn)單，并且沒(méi)有驗(yàn)證或校對(duì)等措施，因此存在著嚴(yán)重的安全隱患。它是局域網(wǎng)進(jìn)行通訊的基礎(chǔ)，是以信任為基礎(chǔ)的，如果信任被破壞了，那就形成了ARP欺騙。

[關(guān)鍵詞]ARP欺騙 對(duì)策

作者簡(jiǎn)介：王盤(pán)崗，男，漢族，河南省西平縣人，講師，主要研究方向：網(wǎng)絡(luò)安全。

一、ARP原理

ARP即地址解析協(xié)議，是一個(gè)位于TCP/IP協(xié)議中的低層協(xié)議，其將各設(shè)備的IP地址和MAC地址對(duì)應(yīng)起來(lái)，即將網(wǎng)絡(luò)層地址解析為數(shù)據(jù)鏈路層的MAC地址，保證通信的順利進(jìn)行。

其基本原理：用戶甲要向乙發(fā)送報(bào)文，會(huì)查詢本地的ARP緩存表，找到乙的IP地址對(duì)應(yīng)的MAC地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，會(huì)將甲的ARP請(qǐng)求報(bào)文進(jìn)行廣播，請(qǐng)求指定IP地址的乙回答其物理地址。網(wǎng)上所有主機(jī)包括乙都會(huì)收到ARP請(qǐng)求，但只有乙才能識(shí)別自己的IP地址，于是向甲發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有乙的MAC地址，甲收到乙的應(yīng)答后，就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)。因此，本地高速緩存的這個(gè)ARP表是動(dòng)態(tài)的且是本地網(wǎng)絡(luò)流通的基礎(chǔ)。ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。

二、ARP欺騙

由于ARP協(xié)議發(fā)展較早，協(xié)議相對(duì)比較簡(jiǎn)單，采用了廣播、動(dòng)態(tài)學(xué)習(xí)機(jī)制，并且沒(méi)有任何驗(yàn)證或校對(duì)等安全措施，因此存在著比較嚴(yán)重的安全隱患。它是系統(tǒng)進(jìn)行通訊的基礎(chǔ)，是以信任為基礎(chǔ)的，如果破壞了這個(gè)信任，那就形成ARP欺騙了。

ARP欺騙簡(jiǎn)單來(lái)說(shuō)，偽造源MAC地址發(fā)送ARP響應(yīng)包，破壞ARP緩存機(jī)制。ARP協(xié)議在局域網(wǎng)通信中，處于一個(gè)非常關(guān)鍵的位置，一旦出現(xiàn)問(wèn)題，將直接導(dǎo)致以局域網(wǎng)環(huán)境中的設(shè)備無(wú)法通信。如果ARP欺騙問(wèn)題處理不好，將給網(wǎng)絡(luò)帶來(lái)嚴(yán)重影響。

當(dāng)局域網(wǎng)中的某臺(tái)機(jī)器乙向甲發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而如果這個(gè)應(yīng)答是乙冒充丙偽造來(lái)的，即IP地址為丙的IP，而MAC地址是偽造的，則當(dāng)甲接收到乙偽造的ARP應(yīng)答后，就會(huì)更新本地的ARP緩存，這樣在甲看來(lái)丙的IP地址沒(méi)有變，而它的MAC地址已經(jīng)不是原來(lái)那個(gè)了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以，那個(gè)偽造出來(lái)的MAC地址在甲上被改變成一個(gè)不存在的MAC地址，這樣就會(huì)造成網(wǎng)絡(luò)不通，造成甲Ping不通丙，這就是一個(gè)ARP欺騙。

當(dāng)局域網(wǎng)中一臺(tái)機(jī)器，反復(fù)向其他機(jī)器，特別是向網(wǎng)關(guān)，發(fā)送這樣無(wú)效假冒的ARP應(yīng)答信息包時(shí)，嚴(yán)重的網(wǎng)絡(luò)堵塞就會(huì)開(kāi)始。由于網(wǎng)關(guān)MAC地址錯(cuò)誤，所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來(lái)的數(shù)據(jù)無(wú)法正常發(fā)到網(wǎng)關(guān)，自然無(wú)法正常上網(wǎng)，這就造成了無(wú)法訪問(wèn)外網(wǎng)的問(wèn)題。

可以通過(guò)如下方式確定是否是ARP欺騙：在確保局域網(wǎng)交換機(jī)正常工作和網(wǎng)線正常連接的情況下，在命令提示符狀態(tài)下，執(zhí)行arp/a，查看網(wǎng)關(guān)ip地址對(duì)應(yīng)的mac是否是路由器的網(wǎng)口的mac地址，如果不是，基本可以確定是ARP欺騙。

ARP欺騙只要一開(kāi)始就可能造成局域網(wǎng)內(nèi)計(jì)算機(jī)無(wú)法和其他計(jì)算機(jī)進(jìn)行通訊，只要局域網(wǎng)中存在一臺(tái)感染“ARP欺騙”病毒的計(jì)算機(jī)將會(huì)造成整個(gè)局域網(wǎng)通訊中斷，IE瀏覽器和常用軟件出現(xiàn)故障，嚴(yán)重的甚至可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。它不但會(huì)使網(wǎng)絡(luò)產(chǎn)生較大的延時(shí)，而且會(huì)造成局域網(wǎng)的中斷，并且中毒主機(jī)會(huì)截取局域網(wǎng)內(nèi)所有的通訊數(shù)據(jù)，并向其他用戶發(fā)送帶了自身ARP病毒的數(shù)據(jù)，對(duì)局域網(wǎng)用戶的網(wǎng)絡(luò)使用造成非常嚴(yán)重的影響，直接威脅著局域網(wǎng)用戶自身的信息安全。

三、ARP欺騙的攻擊類(lèi)型

（一）盜用或強(qiáng)占IP

利用ARP機(jī)制，盜用或者強(qiáng)占他人IP，由此進(jìn)行侵權(quán)或其他非法操作

（二）網(wǎng)關(guān)或服務(wù)器IP欺騙

發(fā)送一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，假冒局域網(wǎng)中的網(wǎng)關(guān)或其他服務(wù)器IP地址，把正常應(yīng)該傳給網(wǎng)關(guān)或服務(wù)器的數(shù)據(jù)流引向進(jìn)行ARP欺騙的計(jì)算機(jī)，讓被欺騙的主機(jī)向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，造成無(wú)法通過(guò)正常的路由器上網(wǎng)，使其無(wú)法實(shí)現(xiàn)正常的數(shù)據(jù)通信，從而造成網(wǎng)絡(luò)中斷或時(shí)斷時(shí)續(xù)，或數(shù)據(jù)丟失，造成正常PC無(wú)法收到信息。

（三）搶占資源

使用ARP欺騙技術(shù)將別人的網(wǎng)絡(luò)斷掉，搶占出口網(wǎng)絡(luò)帶寬，以方便自己快速下載。

四、ARP欺騙的解決方案

（一）靜態(tài)綁定

單純依靠IP地址或MAC地址來(lái)建立信任關(guān)系是不安全，必須建立在IP地址及MAC地址關(guān)聯(lián)基礎(chǔ)上。所以將IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做進(jìn)行IP和MAC綁定。欺騙是通過(guò)ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)機(jī)器的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定。這樣每臺(tái)電腦都需綁定，且重啟后仍需綁定。

（二）采用ARP防火墻軟件

ARP防火墻軟件具有智能檢測(cè)和防御ARP欺騙的功能，ARP防火墻采用系統(tǒng)內(nèi)層攔截技術(shù)和主動(dòng)防御技術(shù)，可解決大部分欺騙、ARP攻擊帶來(lái)的問(wèn)題， 保障通訊數(shù)據(jù)不被惡意軟件監(jiān)聽(tīng)和控制，保證網(wǎng)絡(luò)暢通。ARP防火墻軟件可以攔截接收到的虛假ARP數(shù)據(jù)包，保障本機(jī)ARP緩存表的正確性，攔截本機(jī)對(duì)外的ARP攻擊數(shù)據(jù)包，避免本機(jī)感染ARP病毒后成為攻擊源，攔截接收到的IP沖突數(shù)據(jù)包，避免本機(jī)因IP沖突造成掉線等。另外其可以主動(dòng)向網(wǎng)關(guān)通告本機(jī)正確的MAC地址，保障網(wǎng)關(guān)不受ARP欺騙影響。

（三）利用交換機(jī)或路由器過(guò)濾

即進(jìn)行相關(guān)的配置，將IP地址與MAC地址綁定，啟用ARP檢查，以過(guò)濾偽造源MAC地址的ARP攻擊，使ARP欺騙攻擊的破壞性減到最小。

（四）主動(dòng)查詢

在某個(gè)正常的時(shí)刻，做一個(gè)IP和MAC對(duì)應(yīng)的數(shù)據(jù)庫(kù)，以后定期檢查當(dāng)前的IP和MAC對(duì)應(yīng)關(guān)系是否正常。定期檢測(cè)交換機(jī)的流量列表，查看丟包率。

（五）部署網(wǎng)絡(luò)流量檢測(cè)設(shè)備，時(shí)刻監(jiān)視全網(wǎng)的ARP廣播包，查看其MAC地址是否正確。

另外，還可遵循以下方法以減少或避免ARP欺騙：（1）加強(qiáng)安全意識(shí)。安裝正版的殺毒軟件，并及時(shí)更新；不瀏覽缺乏可信度的網(wǎng)站；不輕易下載和安裝盜版的、不可信任的軟件或者程序；不隨便打開(kāi)不明來(lái)歷的電子郵件，尤其是郵件附件；不隨便點(diǎn)擊打開(kāi)QQ等聊天工具上發(fā)來(lái)的鏈接信息；使用360安全衛(wèi)士等工具軟件修復(fù)不安全的系統(tǒng)設(shè)置（2）及時(shí)使用工具軟件修補(bǔ)OS系統(tǒng)漏洞；（3）停止不必要的系統(tǒng)服務(wù)。

參考文獻(xiàn)

[1]葉成緒。校園網(wǎng)中基于ARP的欺騙及其預(yù)防， 青海大學(xué)學(xué)報(bào)（自然科學(xué)報(bào)） ， 2007 （3）

[2]曹洪武。ARP欺騙入侵的檢測(cè)與防范策略。塔里木大學(xué)學(xué)報(bào)， 2007 （2）.

[3]黃學(xué)林。ARP協(xié)議欺騙原理分析及防范措施。廣東科技，2007，（7）

[4]朱光迅。ARP欺騙原理及防護(hù)技術(shù)方案。韶關(guān)學(xué)院學(xué)報(bào)，2007，28（6）