【摘 要】本文針對校園網(wǎng)用戶和機房，對在局域網(wǎng)中頻繁發(fā)生的ARP欺騙原理進行了分析和介紹，通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙能夠在局域網(wǎng)中產(chǎn)生大量的ARP通信量造成局域網(wǎng)阻塞，從而使網(wǎng)絡(luò)受阻。本文主要講解ARP攻擊的原理以及如何防御ARP攻擊的方法，加強安全防范措施以達到局域網(wǎng)安全的目的。

【關(guān)鍵詞】ARP攻擊；防御；網(wǎng)絡(luò)安全

1.引言

最近學(xué)校機房的網(wǎng)絡(luò)很不穩(wěn)定，經(jīng)常出現(xiàn)瞬間大面積的掉線現(xiàn)象，嚴(yán)重影響學(xué)生上機質(zhì)量，經(jīng)過多方排除（對系統(tǒng)進行重裝、殺毒，對交換機、路由器和服務(wù)器等都進行了排查）最后確定是ARP的問題。這種病毒是一種利用計算機病毒使計算機網(wǎng)絡(luò)無法正常運行的計算機攻擊手段。如何防范ARP的網(wǎng)絡(luò)攻擊已成為確保局域網(wǎng)的網(wǎng)絡(luò)暢通的很重要事情。

2.ARP協(xié)議及工作原理

ARP：Address Resolution Protocol地址解析協(xié)議，是TCP/IP協(xié)議集中的鏈路層的協(xié)議。在局域網(wǎng)中網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是目?biāo)主機的MAC地址，在以太網(wǎng)中一個主機要和另一個主機直接通信，必須要知道目標(biāo)主機的MAC地址，但這個目標(biāo)MAC地址如何獲得的呢？它就是通過地址解析協(xié)議獲得的，所謂“地址解析協(xié)議”就是主機在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進行。

ARP工作原理：某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。

然而一些非法入侵者和黑客利用各種技術(shù)手段，篡改和偽造IP地址和MAC地址，在網(wǎng)絡(luò)中產(chǎn)生大量的通信量使網(wǎng)絡(luò)阻塞或者通過中間人進行ARP重定和攻擊，以達到非法入侵和獲取他人信息的目的。這種網(wǎng)絡(luò)入侵方式叫做ARP欺騙，它是近來網(wǎng)絡(luò)入侵攻擊的一個重要形式，也是造成局域網(wǎng)癱瘓的原因，嚴(yán)重威脅著網(wǎng)絡(luò)信息的安全。

3.ARP欺騙和攻擊方式

ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙木馬只需成功感染一臺電腦，就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時除了會導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟損失。

ARP欺騙分為三種：一種對路由器ARP表的欺騙；第二種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙；第三種是將數(shù)據(jù)指導(dǎo)向不存在的地址。下面簡單介紹一下前兩種欺騙的原理：第一種ARP欺騙原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)，它的原理是建立假的網(wǎng)關(guān)，讓被它欺騙的PC向假的網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。那么PC就上不了網(wǎng)，也就是所謂的掉線。

一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時會突然掉線，過一段時間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的，會突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關(guān)），重啟機器或在MS-DOS窗口下運行命令arp-d后，又可恢復(fù)上網(wǎng)。有些網(wǎng)絡(luò)管理員對此不甚了解，出現(xiàn)故障時，認(rèn)為PC沒有問題，交換機沒掉線的“本事”，而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

下面舉個實例說明ARP攻擊過程：

當(dāng)一個入侵者想非法進入公司的數(shù)據(jù)服務(wù)器而這臺主機的防火墻只對192.0.0.4（假設(shè)）這個IP開放23口（telnet），攻擊者無法入侵192.0.0.4所以他采用ARP欺騙。

（1）他先研究192.0.0.4這臺主機，發(fā)現(xiàn)這臺機器使用一個洪水?dāng)?shù)據(jù)包就可以讓其死機。

（2）于是他送一個洪水?dāng)?shù)據(jù)包給192.0.0.4的139端口，于是這機器應(yīng)包而死機。

（3）這時主機發(fā)送到192.0.0.4將無法被機器應(yīng)答，系統(tǒng)自己的ARP對應(yīng)表將192.0.0.4的地址抹掉。

（4）這段時間里入侵者把自己的IP改成192.0.0.4。

（5）他從新發(fā)一個Ping給主機要求主機更新主機的ARP轉(zhuǎn)換表。

（6）主機找到該IP然后在ARP表中加入新的IP——MAC對應(yīng)關(guān)系。

（7）防火墻失效了，攻擊者的IP變成合法的MAC地址。ARP欺騙攻擊完成。

ARP攻擊是指攻擊者利用地址解析協(xié)議本身的運行機制而發(fā)動的攻擊行為包括主機發(fā)動IP沖突攻擊數(shù)據(jù)轟炸，斷局域網(wǎng)上任何一臺主機的網(wǎng)絡(luò)連接等主要有以盜取數(shù)據(jù)為主要目的ARP欺騙攻擊還有以搗亂破壞為目的ARP泛洪攻擊。

ARP欺騙攻擊有以下幾種形式：

（1）Dos（Denial of Service）中文為拒絕服務(wù)攻擊。拒絕服務(wù)攻擊就是使目標(biāo)主機不能響應(yīng)外界請求，從面不能對外提供服務(wù)的攻擊方法如果攻擊者將目標(biāo)主機ARP緩存中的MAC地址全部改為根本就不存在的地址，那么目標(biāo)主機向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀會丟失，使得上層應(yīng)用忙于處理這種異常而無法響應(yīng)的外來請求，也就導(dǎo)致目標(biāo)主機產(chǎn)生拒絕服務(wù)。

（2）ARP泛洪攻擊

攻擊主機持續(xù)把偽造的MAC——IP映射對發(fā)給受害主機，對于局域網(wǎng)的所有主機和網(wǎng)關(guān)進行廣播，搶占網(wǎng)絡(luò)帶寬和干擾正常通信這種攻擊方式的主要攻擊特征包含：通過不斷發(fā)送偽造的ARP廣播數(shù)據(jù)包使得交換機忙于處理廣播數(shù)據(jù)包耗盡網(wǎng)絡(luò)帶寬。令局域網(wǎng)內(nèi)部的主機或網(wǎng)關(guān)找不到正確的通信對象，使得正常通信被阻斷。用虛假的地址信息占滿主機的ARP高速緩存空間，造成主機無法創(chuàng)建緩存表項，無法正常通信，這種攻擊特征為ARP溢出攻擊。ARP泛洪攻擊不是以盜取用戶數(shù)據(jù)為目的，它是以破壞網(wǎng)絡(luò)為目的。

（3）IP地址沖突攻擊

制造出局域網(wǎng)上有另一臺主機與被ARP欺騙過的主機共享一個IP的假象由于違反了惟一性（IP地址每一機器一個）要求，受欺騙的主機會自動向用戶彈出警告對話框大量的攻擊數(shù)據(jù)包能令受害主機耗費大量的系統(tǒng)資源對于Windows操作系統(tǒng)，只要接收到一個ARP數(shù)據(jù)包，不管該ARP數(shù)據(jù)包所記錄的源IP地址同本地主機相同但MAC地址不同，Windows系統(tǒng)就會彈出IP地址沖突警告對話框。

（4）ARP掃描攻擊

向局域網(wǎng)內(nèi)所有主機發(fā)送ARP請求，從而獲得正在運行主機的IP和MAC地址映射對。ARP掃描往往是為發(fā)動ARP攻擊準(zhǔn)備。攻擊源通過ARP掃描來獲得所要攻擊主機的IP和MAC地址從而為網(wǎng)絡(luò)監(jiān)聽盜取用戶數(shù)據(jù)實現(xiàn)隱蔽式攻擊做準(zhǔn)備。

4.精確定位局域網(wǎng)中的ARP欺騙攻擊

我們可以因地制宜利用Windows操作系統(tǒng)自帶命令在局域網(wǎng)中準(zhǔn)確定位病毒源的IP地址。

方法一：可能查看交換機網(wǎng)段里面的ARP信息如果發(fā)現(xiàn)里面存在有不同IP對應(yīng)相同MAC列表情況，就可以肯定該網(wǎng)內(nèi)有ARP欺騙這個MAC地址就是感染ARP病毒的電腦MAC地址。

方法二：用戶端可以通過輸入命令方式。

（1）管理人員應(yīng)事先將正確網(wǎng)關(guān)MAC地址和局域網(wǎng)PC機相對應(yīng)的IP地址和MAC地址記錄在案，當(dāng)病毒發(fā)作導(dǎo)致網(wǎng)絡(luò)故障時進入故障PC機的MS—DOS中，輸入命令：arp-a查看網(wǎng)關(guān)IP對應(yīng)的MAC地址。

（2）使用命令：ipconfig-all查看故障PC機本地網(wǎng)關(guān)的MAC地址，將其得到的地址記錄下來逐臺對比排查找到病毒源作相應(yīng)處理。

實例：假設(shè)計算機所處網(wǎng)段的網(wǎng)關(guān)為192.168.5.1，本機地址為192.168.5.254。平時網(wǎng)絡(luò)的網(wǎng)關(guān)IP地址為00-00-0c-07-ac-63當(dāng)網(wǎng)絡(luò)中ARP病毒發(fā)作導(dǎo)致其不能上網(wǎng)時，可在計算機命令窗口中運行arp-a輸出如下：

c：＼Documents and settings>arp-a

Interface 192.168.5.254---0X2

Internet Address Pysical Address Type

1.1.1.1 00-0E-A6-4E-A7-55 dynamic

對比后發(fā)現(xiàn)，現(xiàn)在網(wǎng)關(guān)的MAC地址與00-00-0c-07-ac-63不一致，那么00-0E-A6-4E-A7-55就是ARP病毒源的網(wǎng)卡MAC地址。能過與日常的IP地址與MAC地址記錄表對比，找到該臺PC機作相應(yīng)處理。

方法三：可以使用nbtscanr的MAC地址的掃描工具軟件來掃描全段IP地址和MAC地址對應(yīng)表，有助于判斷感染ARP病毒對應(yīng)MAC地址和IP地址。如果確定了MAC的攻擊者，還需要進行物理位置確定以便及時進行處理。

5.ARP欺騙攻擊的防御

（1）用戶端防御

由于絕大部分ARP欺騙攻擊都是針對網(wǎng)關(guān)進行攻擊的，使本機上ARP緩存的網(wǎng)關(guān)設(shè)備的信息出現(xiàn)紊亂，這樣當(dāng)機器要上網(wǎng)發(fā)送數(shù)據(jù)包給網(wǎng)關(guān)時就會因為地址錯誤而失敗，造成計算機無法正常上網(wǎng)。針對此在用戶端計算機上綁定交換機網(wǎng)關(guān)的IP和MAC地址。

a.靜態(tài)綁定

首先獲取網(wǎng)關(guān)的真實MAC地址，編寫一個批處理文件ARP.BAT，對每臺主機進行IP和MAC地址靜態(tài)綁定。

@echo off

Arp-d（清空ARP緩存）

Arp-s IP地址 MAC地址

將這個批處理文件加入到計算機啟動項中，以便每次開機后自動加裁并執(zhí)行該批處理文件，對用戶起到一個很好的保護作用。

b.使用ARP防護軟件

目前關(guān)于ARP類的防護軟件出的比較多，現(xiàn)在使用較多的ARP工具主要是欣向ARP工具，Anriarp等。它們能很好的檢測出來自其它機器的ARP攻擊。

（2）網(wǎng)管交換端綁定

采用核心交換機上綁定用戶主機的IP地址的網(wǎng)卡的MAC地址，同時在邊緣交換機上將用戶計算機網(wǎng)卡的MAC地址和交換機端口綁定的雙重安全綁定方式。

a.IP和MAC地址的綁定

在核心交換機上將所有局域網(wǎng)用戶的IP地址與其它網(wǎng)卡MAC地址一一對應(yīng)進行全部綁定，這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取。

b.MAC地址與交換機端口的綁定

在局域網(wǎng)中將用戶計算機網(wǎng)卡的MAC地址和交換機端口綁定此方案可以防止非法用戶隨意接入網(wǎng)絡(luò)端口上網(wǎng)，網(wǎng)絡(luò)用戶如果擅自改動本機網(wǎng)卡的MAC地址，該機器的網(wǎng)絡(luò)訪問將因其MAC地址被交換機認(rèn)定為非法而無法實現(xiàn)上網(wǎng)，自然也就不會對局域網(wǎng)造成干擾了。

c.采用VLAN技術(shù)隔離端口

網(wǎng)絡(luò)管理員可根據(jù)本單位網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，具體規(guī)劃出若干個VLAN，當(dāng)發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò)，或因合法用戶受ARP病毒感染而影響網(wǎng)絡(luò)時，首先利用技術(shù)手段查找到該用戶所在的交換機端口，然后把該端口劃一個單獨的VLAN將該用戶與其它用戶進行物理隔離，以避免對其它用戶的影響可以利用將交換機端口Disable來屏蔽該用戶對網(wǎng)絡(luò)造成的影響，從而達到安全防范的目的。

6.結(jié)束語

ARP欺騙攻擊給網(wǎng)絡(luò)帶來了很大的安全隱患，也帶來了很大的麻煩，加大了工作人員的工作量。上文對ARP作了基本的介紹以及對ARP欺騙和攻擊的形式進行了舉例說明，也對出現(xiàn)ARP欺騙和攻擊后給了一些解決方法，供大家參考。對于ARP欺騙的網(wǎng)絡(luò)攻擊，不僅需要用戶自身作好防范工作，更需要網(wǎng)絡(luò)管理員時刻保持警惕，防范ARP欺騙攻擊，以便保證網(wǎng)絡(luò)的安全。

參考文獻：

[1]湯小斌.談如何防止局域網(wǎng)內(nèi)ARP欺騙[J].微機發(fā)展，2004.

[2]葉成緒.校園網(wǎng)中基于ARP協(xié)議的欺騙及其預(yù)防[J].青海大學(xué)學(xué)報（自然科學(xué)版），2007.

[3]何欣.ARP協(xié)議及安全隱患[J].河南大學(xué)學(xué)報（自然科學(xué)版），2004.

[4]王彥剛.ARP病毒在校園風(fēng)的傳播和解決方案[J].

[5]張海燕.ARP漏洞及其防范技術(shù)[J].網(wǎng)絡(luò)安全，2005.

[6]唐秀存.基于ARP欺騙內(nèi)網(wǎng)滲透和防范[J].計算機與信息技術(shù)，2007.