摘 要：近年來，在校園網(wǎng)絡(luò)化的快速建設(shè)中，網(wǎng)絡(luò)安全成為制約校園網(wǎng)建設(shè)的一大阻礙，校園網(wǎng)絡(luò)安全最大的威脅就是ARP欺騙，ARP欺騙是近年來局域網(wǎng)環(huán)境中常見和最頑固的安全問題之一，輕則影響網(wǎng)絡(luò)通信速度或致大面積局域網(wǎng)癱瘓，重則造成用戶信息的外泄。本文從ARP工作原理著手，分析局域網(wǎng)中利用ARP進(jìn)行偽裝欺騙實(shí)施攻擊的原理，對是否遭遇了ARP攻擊進(jìn)行判斷，從而提出針對ARP欺騙的診斷分析與防御方法。

關(guān)鍵詞：局域網(wǎng)；ARP欺騙；網(wǎng)絡(luò)安全

中圖分類號：TP393.1

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)日漸成為我們生活和工作中不可或缺的重要工具，它給我們提供服務(wù)的同時，網(wǎng)絡(luò)安全也受到病毒的嚴(yán)重挑戰(zhàn)，尤其在校園局域網(wǎng)中，ARP欺騙已成為最普遍最嚴(yán)重的網(wǎng)絡(luò)攻擊之一，ARP欺騙不但會導(dǎo)致局域網(wǎng)的網(wǎng)絡(luò)故障，還會威脅用戶的信息安全，給學(xué)校的正常教學(xué)工作帶來了很大影響。要想減少或者避免ARP欺騙的攻擊，就需要我們對ARP本身有一個全面而且透徹的了解。

1 ARP的簡介

1.1 ARP協(xié)議及其工作原理

ARP協(xié)議是“Address Resolution Protocol”的縮寫即地址解析協(xié)議。ARP是處于數(shù)據(jù)鏈路層的網(wǎng)絡(luò)通信協(xié)議，在本層和硬件接口聯(lián)系并對上層提供服務(wù)，ARP協(xié)議的作用就是將計算機(jī)的網(wǎng)絡(luò)地址轉(zhuǎn)化成物理地址。

在裝有TCP/IP協(xié)議的計算機(jī)里面都有一個ARP高速緩存，緩存里面放有一個IP地址和MAC地址對應(yīng)的映射表，映射表中包含目前計算機(jī)所知道的的局域網(wǎng)中各個計算機(jī)和路由器的IP地址和MAC地址的對應(yīng)關(guān)系。我們舉一個實(shí)例來詳細(xì)說明一下ARP的工作原理，在一個局域網(wǎng)內(nèi)，有一臺計算機(jī)A1，其IP地址是192.168.1.8，MAC地址為00-b2-bc-15-34-cb，有另一臺計算機(jī)A2，其IP地址是192.168.1.9，MAC地址是00-b3-23-56-bc-56。計算機(jī)A1想要向計算機(jī)A2發(fā)送信息時即數(shù)據(jù)包的時候，計算機(jī)A1首先去查詢自己的ARP的高速緩存表，看看自己的緩存表中是否有計算機(jī)A2的映射信息，即計算機(jī)A2的IP地址和MAC的對應(yīng)關(guān)系。如果計算機(jī)A1的ARP高速緩存表中有計算機(jī)A2的映射信息，那么找出計算機(jī)A2的MAC地址，然后根據(jù)A2的MAC地址向A2發(fā)送數(shù)據(jù)包。反之，沒有的話，計算機(jī)A1會向網(wǎng)絡(luò)中的所有計算機(jī)發(fā)送一個ARP請求的廣播數(shù)據(jù)包，局域網(wǎng)中這個數(shù)據(jù)包是向所有計算機(jī)詢問“192.168.1.9”的計算機(jī)的MAC地址。別的計算機(jī)接受到這個廣播之后，不會回應(yīng)任何信息，只有計算機(jī)A2接受到這個廣播數(shù)據(jù)包之后，回以ARP應(yīng)答包的方式回應(yīng)計算機(jī)A1，告訴計算機(jī)A1，“我”的IP地址就是“192.168.1.9”，“我”的MAC地址是00-b3-23-56-bc-56。計算機(jī)A2發(fā)出的數(shù)據(jù)會發(fā)給計算機(jī)A1，計算機(jī)A1受到計算機(jī)A2的MAC地址之后會依據(jù)這個MAC地址向計算機(jī)A2發(fā)送數(shù)據(jù)包。同時，計算機(jī)A1的緩存表回更新，把計算機(jī)A2的IP地址與MAC地址的對應(yīng)關(guān)系寫進(jìn)高速緩存表中，這樣當(dāng)計算機(jī)A1在此向計算機(jī)A2發(fā)送信息的時候就咳咳直接從ARP高速緩存表中找到計算機(jī)A2的MAC地址。ARP的高速緩存表不是一成不變的，它對應(yīng)映射關(guān)系也有一定的時間限制，超過一定的時間沒有使用即相互通信，高速緩存表中會自動刪除，ARP高速緩存表是采用的老化機(jī)制，這樣的機(jī)制能提高相應(yīng)的查詢速度。

1.2 ARP協(xié)議的先天缺陷

ARP協(xié)議是建立在信任局域網(wǎng)內(nèi)所有結(jié)點(diǎn)的基礎(chǔ)上的，它很高效，但卻不安全。它是無狀態(tài)的協(xié)議，不會檢查自己是否發(fā)過請求包，也不管（其實(shí)也不知道）是否是合法的應(yīng)答，只要收到目標(biāo)MAC是自己的ARP reply包或ARP廣播包（包括ARP request和ARP reply），都會接受并緩存。這就為ARP欺騙提供了可能，惡意節(jié)點(diǎn)可以發(fā)布虛假的ARP報文從而影響網(wǎng)內(nèi)結(jié)點(diǎn)的通信，甚至可以做“中間人”。

1.3 ARP欺騙攻擊的癥狀

（1）局域網(wǎng)突然斷線不能上網(wǎng)，網(wǎng)絡(luò)質(zhì)量時分不穩(wěn)定，不經(jīng)處理，過一段時間后又可恢復(fù)正常，網(wǎng)速很慢；

（2）局域網(wǎng)中用戶頻繁斷線，瀏覽器出現(xiàn)錯誤，通訊等軟件會出現(xiàn)故障，時斷時通；

（3）在局域網(wǎng)中需要身份認(rèn)證的上網(wǎng)，會突然提示需要認(rèn)證，但是還是不能上網(wǎng)；使用ping命令，無法ping通網(wǎng)關(guān)。

（4）受到ARP攻擊出現(xiàn)的另一現(xiàn)象是，不斷彈出“本機(jī)的0-255段硬件地址與網(wǎng)絡(luò)中的0-255段地址沖突”的對話框。當(dāng)出現(xiàn)這兩種現(xiàn)象只要重啟路由即可恢復(fù)上網(wǎng)，但ARP攻擊沒有被清除時，過一段時間后，網(wǎng)絡(luò)又會掉線。

2 ARP欺騙常見的形式

2.1 欺騙主機(jī)

欺騙主機(jī)就是采用偽造、假冒的方法來迷惑局域網(wǎng)中的主機(jī)，主要制攻擊者偽裝成網(wǎng)關(guān)，使得被欺騙的主機(jī)無法連接到正確的網(wǎng)關(guān)，被欺騙的主機(jī)中的ARP高速緩存表中存儲的網(wǎng)關(guān)的MAC地址也就變成攻擊者的MAC地址，從而導(dǎo)致被欺騙的主機(jī)無法正常連接網(wǎng)絡(luò)，出現(xiàn)掉線。

2.2 欺騙交換機(jī)

我們都知道，交換機(jī)會對個端口機(jī)端口所連接的主機(jī)的對應(yīng)關(guān)系進(jìn)行記錄，形成一個端口和主機(jī)MAC地址的對應(yīng)關(guān)系表，這個表就是CAM表。當(dāng)攻擊者使用欺騙交換機(jī)的手段來攻擊的時候，他會連續(xù)不斷的將包換有錯誤的MAC地址的ARP包發(fā)送給交換機(jī)，因此，交換機(jī)中的CAM表會被很快的天面甚至一處，當(dāng)CAM表發(fā)生一處后，交換的負(fù)荷量是相當(dāng)大的，容易導(dǎo)致信息包丟失，網(wǎng)絡(luò)質(zhì)量下降甚至癱瘓。

3 ARP防御的措施

要有效的防御ARP欺騙的攻擊，要根據(jù)ARP本身工作原理以及特點(diǎn)來采取相應(yīng)的措施，即如何獲取合法用戶和網(wǎng)關(guān)的IP-MAC對應(yīng)關(guān)系，并如何利用該對應(yīng)關(guān)系對ARP報文進(jìn)行檢查，過濾掉非法ARP報文。下面來列舉一下：

3.1 客戶端的防御

（1）首先要加強(qiáng)日常管理和系統(tǒng)維護(hù)。及時安裝系統(tǒng)漏洞補(bǔ)丁，關(guān)閉不必要的端口和共享服務(wù)，升級到最新的病毒和木馬庫。采用相應(yīng)的防火墻進(jìn)行連續(xù)的網(wǎng)絡(luò)監(jiān)控。

（2）在本機(jī)上綁定網(wǎng)關(guān)和本機(jī)的IP與MAC。在IP+MAC基礎(chǔ)上，建立一個靜態(tài)的ARP列表，在其中寫入本機(jī)和網(wǎng)關(guān)的IP-MAC對應(yīng)地址，使其不隨ARP列表的刷新而改變。

（3）建立MAC地址數(shù)據(jù)庫，禁止網(wǎng)關(guān)設(shè)備ARP動態(tài)更新。

3.2 交換機(jī)的防御

（1）對交換機(jī)的日志文件和ARP緩存表進(jìn)行監(jiān)控，從而及時發(fā)現(xiàn)ARP病毒。

（2）合理劃分VLAN

ARP欺騙只能給相同網(wǎng)段的主機(jī)造成影響，而大多數(shù)服務(wù)器和客戶機(jī)在不同網(wǎng)段，所以受影響的只是部分客戶機(jī)。

3.3 其他防御

使用ARP服務(wù)器。在局域網(wǎng)中，指定一臺計算機(jī)作為專用ARP服務(wù)器，可信范圍內(nèi)的所有主機(jī)的IP與MAC地址映射記錄都在ARP服務(wù)器上進(jìn)行保存和記錄。

4 結(jié)束語

ARP欺騙利用ARP機(jī)制的先天缺陷主要傳播于機(jī)房、網(wǎng)吧等局域網(wǎng)環(huán)境，目前仍然沒有完全有效的防止ARP欺騙的方法，掌握幾種防范ARP攻擊的方法有助于更安全的使用網(wǎng)絡(luò)，將可能遇到的ARP攻擊造成的災(zāi)害損失降到最低。同時，在網(wǎng)絡(luò)維護(hù)的過程中，采取主動防御的態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全知識，提高自身技術(shù)水平，才是確保網(wǎng)絡(luò)安全運(yùn)行的最佳手段。

參考文獻(xiàn)：

[1]胡志新.淺談企業(yè)網(wǎng)絡(luò)中ARP欺騙的防范[J].江西電力，2010（3）：49-51.

[2]陳春泉.規(guī)范mac防范arp欺騙攻擊技術(shù)的研究[D].廣州：華南理工大學(xué)，2010：15-20.

[3]王小玲，周剛.一種擴(kuò)展的ARP協(xié)議設(shè)計[J].四川理工學(xué)院學(xué)報：自然科學(xué)版，2011，24（02）：59-62.

作者簡介：張楊（1987.6-），男，苗族，河南安陽滑縣人，教師，助理實(shí)驗(yàn)室，工學(xué)學(xué)士學(xué)位，研究方向：計算機(jī)網(wǎng)絡(luò)；米楠（1988.2-），男，河南鄭州人，教師，助理實(shí)驗(yàn)室，工學(xué)學(xué)士學(xué)位，研究方向：計算機(jī)網(wǎng)絡(luò)。