摘要：通過對ARP攻擊原理分析，使用軟路由解決醫(yī)院外網局域網斷網故障。

關鍵詞：外網局域網；ARP

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 20-0000-02

1 引言

隨著信息時代的到來，醫(yī)院信息化系統(tǒng)逐步成為服務于未來醫(yī)院競爭和經營管理戰(zhàn)略的重要工具和手段，這使得醫(yī)院在擁有內網局域網的基礎上，還有一個很重要的院外信息交互平臺----外網局域網，因外網局域網是是直接接連到互聯(lián)網的網絡，所以，各種網絡故障多發(fā)于外網局域網，其中，ARP攻擊是最常見的一種。

2 ARP定義

ARP（Address Resolution Protocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的底層協(xié)議，對應于數(shù)據鏈路層，負責將某個IP地址解析成對應的MAC地址。

3 ARP基本功能

ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。ARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種將IP地址轉化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的第三層）地址解析為數(shù)據連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。

4 ARP攻擊的局限性

ARP攻擊僅能在以太網（局域網如：機房、內網、公司網絡等）進行，無法對外網（互聯(lián)網、非本區(qū)域內的局域網）進行攻擊。

5 ARP攻擊原理

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。

6 受到ARP攻擊后外網局域網故障現(xiàn)象及解決方案

我院外網局域網硬件由外網計算機、D-Link24口二層交換機、D-Link家用路由器及5類網線組成，網段為192.168.0.0/24。

6.1 外網局域網故障現(xiàn)象

最初時外網時斷時續(xù)，重啟路由器后故障解決，隔幾分鐘或幾小時不等，外網斷網，重啟路由器和更換交換機后故障依舊。外網局域網線路及硬件設備在故障出現(xiàn)前沒有更換或更改過，由此排除硬件問題和網絡風暴引起的外網局域網斷網故障，由此判斷醫(yī)院外網局域網有可能受到ARP攻擊。

6.2 軟件解決ARP攻擊方案

6.2.1 在每臺外網計算機上安裝360安全衛(wèi)士，并在360安全衛(wèi)士里的“360木馬防火墻”打開“局域網防護（ARP）”，打開后，360安全衛(wèi)士立即攔截ARP攻擊，跳出一對話框，提示攻擊計算機的IP和MAC地址，經查，是路由器的網關和MAC地址，說明IP地址和MAC地址是假的，外網依舊中斷，無法上網。

6.2.2 使用雙向綁定：雙向綁定是在路由器和PC上都進行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，偽造網關和截獲數(shù)據，都具有約束的作用。

（1）在路由器上做IP-MAC表的綁定工作

（2）在PC上綁定安全網關的IP和MAC地址（例如D-Link網關地址192.168.16.1的MAC地址為00-22-aa-00-22-aa）。

（3）編寫一個批處理文件rarp.bat內容如下：

@echo off

arp –d

arp -s 192.168.16.1 00-22-aa-00-22-aa

將這個批處理軟件拖到“windows“開始->程序->啟動”中，確保開機就執(zhí)行這個批處理文件，因為靜態(tài)綁定在計算機重啟后就會失效。在所有的外網電腦做完綁定后，問題依舊，外網依舊中斷，無法上網。后經分析，原因有2點：

（1）在終端上進行的靜態(tài)綁定，很容易被升級的ARP攻擊所搗毀，病毒的一個ARP –d命令，就可以使靜態(tài)綁定完全失效。

（2）雙綁只是讓網絡的兩端電腦和路由不接收相關ARP信息，但是大量的ARP攻擊數(shù)據還是能發(fā)出，還要在內網傳輸，大幅降低內網傳輸效率，依然會出現(xiàn)問題。

6.3 用軟路由軟件做路由服務器

由于用前面的兩種方法都無法有效的解決ARP攻擊，外網中斷兩天，給醫(yī)院造成很大的影響，所以決定使用軟路由軟件，搭建路由服務器，這里本人使用的是國產的免費軟路由軟件“海蜘蛛V8”，用一臺淘汰下來服務器做路由服務器，先刪除所有分區(qū)，不分區(qū)，放入刻好的海蜘蛛安裝光盤，按照提示一路完成安裝，訪問路由器的默認地址為http：//192.168.0.1：880，用戶名：admin，密碼：admin，進入控制臺設置Wan口的PPPoE撥號用戶名和密碼，使服務器連上互聯(lián)網并注冊，注冊完以后就可以永久免費使用。這里有兩種方法可以讓客戶端電腦上網，一是路由加IP-MAC地址綁定方式，二是PPPoE撥號方式。

6.3.1 路由加IP-MAC地址綁定方式

進入路由器訪問控制臺，防火墻IP-MAC綁定，在“啟用IP與MAC地址綁定”前打勾，在綁定列表里把外網計算機的IP地址和MAC地址填入，在強制綁定里的“強制進行IP/MAC地址綁定”前打勾，這樣沒有進行IP/MAC地址綁定的外網計算機無法上網，即可以方便管理醫(yī)院外網計算機，也可以有效的防止ARP攻擊。

6.3.2 PPPoE撥號方式

（1）進入路由器訪問控制臺，服務應用PPPoE撥號服務，在運行參數(shù)的“啟用撥號服務”后面打勾，“監(jiān)聽設備”本例為LAN1，用戶認證模式選“本地RADIUS認證（可限制賬號撥入次數(shù)，有效期等）”，服務器PPP連接IP地址默認為10.10.0.1，可自行修改；分配給客戶機的地址空間默認為10.10.0.2-10.10.1.254，可自行修改，分配給客戶機的DNS地址為本地電信提供地址：202.101.172.35、202.101.172.47，其他選項默認。

（2）在“高級”里的“強制用戶通過PPPoE撥號上網”后打勾

（3）“在帶寬限制”里的“是否對撥號連接進行帶寬限制”后打勾，并在“每個撥號連接的下載速度”和“每個撥號連接的上傳速度”里填入合理的值，控制每個帳號的下載和上傳速度，可以有效解決網速慢的問題。

（4）服務應用用戶帳號管理，點“新增用戶”，為每臺外網計算機設置一個撥號帳號并進行帳號與MAC地址綁定，這樣不是這個MAC地址的計算機就無法用這個帳號撥號上網，可以有效管理帳號和控制上網的計算機。

經本人實驗，這兩種方法都可以有效防止ARP攻擊，徹底并永久解決了由于ARP攻擊靠造成的外網局域網斷網故障。

參考文獻：

[1]陳英，馬洪濤.局域網內ARP協(xié)議攻擊及解決辦法[J].中國安全科學學報，2007，07.

[2]秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術綜述[J].計算機應用研究，2009，01.

[3]張潔，武裝，陸倜.一種改進的ARP協(xié)議欺騙檢測方法[J].計算機科學，2008，03.

[作者簡介]

洪楓（1977- ），男，本科學歷，助理工程師，浙江杭州臨安市昌化醫(yī)院，從事信息管理與計算機硬件及網絡維護。