韓子寅

摘 要：ARP攻擊是計算機網(wǎng)絡(luò)安全面臨的主要威脅，如何保護計算機網(wǎng)絡(luò)安全，防止其遭受ARP攻擊已經(jīng)成為網(wǎng)絡(luò)完全管理必須研究和解決的問題。本文主要介紹了ARP攻擊理論，在此基礎(chǔ)上探討了ARP防攻擊技術(shù)的實現(xiàn)，并提出了ARP病毒攻擊的防范措施，以供參考。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；ARP攻擊

計算機網(wǎng)絡(luò)在給人們帶來極大便利的同時，也因各種網(wǎng)絡(luò)攻擊極大地影響了人們的信息安全，在互聯(lián)網(wǎng)廣泛應(yīng)用的大背景下，計算機網(wǎng)絡(luò)安全問題已經(jīng)成為人們關(guān)注的焦點之一，同時也是計算機應(yīng)用技術(shù)研究領(lǐng)域的重要課題之一。鑒于ARP攻擊是現(xiàn)階段計算機網(wǎng)絡(luò)安全面臨的主要威脅，加強對計算機網(wǎng)絡(luò)安全防ARP攻擊的研究，有其必要性和重要的現(xiàn)實意義。

1 ARP攻擊的理論分析

1.1 ARP攻擊的原理和特征

ARP協(xié)議（地址轉(zhuǎn)換協(xié)議）是網(wǎng)絡(luò)運行的基礎(chǔ)協(xié)議之一，其作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC地址，以保證通信的正常運行，而該協(xié)議并未對ARP報文來源的合法性進行驗證。ARP協(xié)議的基礎(chǔ)是信任局域網(wǎng)內(nèi)所有的人，這就為實現(xiàn)在以太網(wǎng)上的ARP期待帶來的可能，通過偽造目標的IP地址以及查詢目標的MAC地址對ARP實施欺詐行為，即所謂的ARP攻擊。ARP攻擊正是利用了ARP協(xié)議設(shè)計之初的缺陷，以大量的ARP通信量堵塞網(wǎng)絡(luò)，從而達到讓目標主機網(wǎng)絡(luò)中斷的目的。

ARP攻擊主要有三大特征，一是隱蔽性，計算機網(wǎng)絡(luò)系統(tǒng)并不能對ARP緩存操作的正確性進行有效的判斷，當計算機網(wǎng)絡(luò)受到ARP攻擊時并不會出現(xiàn)提示，因此，ARP攻擊具有跟強的隱蔽性；二是堵塞性，這一點很好理解，ARP攻擊的主要手段就是在通信網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信數(shù)據(jù)，其目的就是為了造成網(wǎng)絡(luò)系統(tǒng)之間的通信堵塞以影響其通信功能；三是難除性，計算機網(wǎng)絡(luò)系統(tǒng)遭受ARP攻擊后，對該病毒的消除是非常困難的[1]。

1.2 ARP攻擊的類型和影響

ARP協(xié)議簡單、高效，但是并不安全，攻擊者可以冒充真正的主機發(fā)送任意偽造的應(yīng)答報文，而該應(yīng)答報文又缺乏認證機制，攻擊者能夠竊取真正主機的通信數(shù)據(jù)并對其進行攻擊。按照攻擊類型，ARP攻擊可分為仿冒用戶攻擊、仿冒網(wǎng)關(guān)攻擊、免費ARP攻擊、代理ARP攻擊以及泛洪攻擊。其中，仿冒用戶攻擊和仿冒網(wǎng)關(guān)攻擊是攻擊者采取的主要方式，仿冒用戶攻擊又分為欺騙網(wǎng)關(guān)和欺騙其他用戶，欺騙網(wǎng)關(guān)是由一個主機向網(wǎng)關(guān)設(shè)備發(fā)送偽造應(yīng)答報文實現(xiàn)，欺騙其他用戶則是由一個主機向另一個主機發(fā)送偽造應(yīng)答報文實現(xiàn)；仿冒網(wǎng)關(guān)攻擊與仿冒用戶攻擊中的欺騙其他用戶的方式大體上相同。

ARP攻擊對計算機網(wǎng)絡(luò)的危害極大，不僅會使計算機網(wǎng)絡(luò)系統(tǒng)之間無法進行正常連接，使通信功能喪失，還會使計算機中用戶存儲的密碼、個人信息、重要數(shù)據(jù)被盜竊，給用戶的信息安全和財產(chǎn)安全帶來極大的威脅。ARP攻擊造成的計算機網(wǎng)絡(luò)中毒現(xiàn)象主要表現(xiàn)為計算機死機、網(wǎng)絡(luò)信號不穩(wěn)定、用戶信息丟失等。為了有效地防范ARP病毒的攻擊，計算機管理人員非常有必要進行事前預防，避免網(wǎng)絡(luò)癱瘓等不良后果發(fā)生[2]。

2 ARP防攻擊技術(shù)的實現(xiàn)

2.1 網(wǎng)管保護和主動確認功能

根據(jù)ARP攻擊的類型，我們可以設(shè)計有針對性的防御技術(shù)，ARP防攻擊技術(shù)需要具備網(wǎng)管保護、主動確認、ARP檢查、ARP固化、報文限速以及ARP防IP報文攻擊等功能。網(wǎng)管保護功能的實現(xiàn)體現(xiàn)在網(wǎng)關(guān)設(shè)備的端口上，網(wǎng)關(guān)對應(yīng)的交換機收到ARP報文時，網(wǎng)管設(shè)備會對報文的IP地址進行合法驗證，一旦收到的報文不合法，就會被丟棄，只有能夠通過驗證的IP地址才會被轉(zhuǎn)發(fā)；主動確認功能的實現(xiàn)體現(xiàn)在網(wǎng)關(guān)設(shè)備上，這又分為新建表項前的主動確認與更新表項前的主動確認，前者在收到ARP報文時，設(shè)備會檢查系統(tǒng)中是否存在與該報文對應(yīng)的ARP映射關(guān)系，后者在收到更新后的ARP報文時，設(shè)備會檢查檢查系統(tǒng)中是否存在與該報文對應(yīng)的更新后的ARP映射關(guān)系，然后再進行檢查和處理。

2.2 ARP檢查和ARP固化功能

ARP檢查功能的實現(xiàn)體現(xiàn)在接入層設(shè)備上，虛擬局域網(wǎng)（VLAN）開啟ARP檢查后，就會對虛擬局域網(wǎng)內(nèi)所有的ARP報文進行雙項檢測（用戶合法性檢測和報文有效性檢測），一旦收到的報文未通過檢測，就會被丟棄，只有通過雙項檢測，報文才能從設(shè)備端口進行轉(zhuǎn)發(fā)和后續(xù)處理，此外，ARP檢測還能對ARP報文進行強制轉(zhuǎn)發(fā)，即在虛擬局域網(wǎng)內(nèi)，ARP非信任端口收到已經(jīng)通過雙項檢測的ARP報文，設(shè)備會按照具體規(guī)則對其進行強制轉(zhuǎn)發(fā)；ARP固化功能的實現(xiàn)體現(xiàn)在系統(tǒng)中ARP的轉(zhuǎn)換上，即在設(shè)備中敲入ARP固化命令，將系統(tǒng)中所有的動態(tài)ARP轉(zhuǎn)換成靜態(tài)ARP，以此來防止攻擊者修改ARP地址。

2.3 報文限速和ARP防IP報文攻擊功能

報文限速功能的實現(xiàn)體現(xiàn)在設(shè)備端口上，主要是為了防范泛洪攻擊的發(fā)生，攻擊者通過主機向設(shè)備發(fā)送大量偽造ARP報文，使設(shè)備無法響應(yīng)用戶的請求，報文也無法正常轉(zhuǎn)發(fā)，這說明網(wǎng)絡(luò)系統(tǒng)遭受了泛洪攻擊，而設(shè)備端口配備了報文限速功能，設(shè)備就會按照配備的報文速率接收ARP報文，那些在設(shè)備可接受范圍以外的速率就會被直接丟棄；ARP防IP報文攻擊功能的實現(xiàn)主要借助源抑制和ARP黑洞路由方法，源抑制方法適用于固定IP地址的攻擊類型，通過設(shè)定閥值來對不能解析的IP地址進行處理，ARP黑洞路由方法適用于不固定IP地址的攻擊類型，通過建立相應(yīng)的黑洞路由表項來對不能解析的IP地址進行處理[3]。

3 ARP病毒攻擊的防范措施

3.1 ARP攻擊的初步防范

ARP攻擊的初步防范主要適用于在計算機方面技術(shù)水平一般的普通用戶，這些用戶在計算機受到ARP病毒攻擊時，可以采取暫時性的初步防范措施，如重啟計算機、禁用計算機網(wǎng)卡、網(wǎng)絡(luò)設(shè)備復位處理、安裝殺毒軟件等，重啟計算機能夠使ARP病毒暫時失去攻擊的環(huán)境，從而起到暫時性防范作用，禁用計算機網(wǎng)卡是為了讓ARP病毒無法發(fā)現(xiàn)可攻擊的目標，網(wǎng)絡(luò)設(shè)備復位處理實際上就是恢復網(wǎng)絡(luò)設(shè)備的出廠復位，安裝殺毒軟件也可以起到預防ARP病毒攻擊的效果。這些是非專業(yè)計算機人員采取的防御ARP病毒攻擊的最基本的方法，保護效果不會持續(xù)太久。

3.2 采取雙向地址綁定的方法

雙項地址綁定方法是防御ARP病毒攻擊最常用的一種手段，也是實踐環(huán)節(jié)應(yīng)用較為廣泛的一類防范措施，通過將IP地址和MAC地址綁定在一起來防止ARP病毒攻擊，這樣即便攻擊者盜取了計算機系統(tǒng)的IP地址，由于MAC地址已經(jīng)事前進行了修改，這樣反過來就會騙過攻擊者。雙向地址綁定主要考慮到ARP病毒攻擊是對相應(yīng)的IP地址和MAC地址偽造操作實現(xiàn)的，所要要改變這一單一形式，將相應(yīng)的IP地址和MAC地址進行一對一的映射操作，使其在實際基礎(chǔ)上進行有效的設(shè)置，以防止攻擊者對ARP數(shù)據(jù)的更改，從而避免ARP欺詐現(xiàn)象的發(fā)生[4]。

3.3 應(yīng)用ARP防火墻

ARP防火墻是專門用于應(yīng)對ARP病毒攻擊的一種殺毒軟件，其主要功能就是保證計算機獲取的MAC地址和設(shè)備網(wǎng)關(guān)獲取的MAC地址的合法性，保障數(shù)據(jù)流的正確，防止計算機和網(wǎng)管受到偽造ARP數(shù)據(jù)包的干擾。在計算機系統(tǒng)的殺毒軟件中加入ARP防火墻，能夠有效地攔截ARP病毒攻擊和IP沖突，確保通信數(shù)據(jù)的安全以及網(wǎng)絡(luò)的暢通?，F(xiàn)在市場上的主流ARP防火主要有金山ARP防火墻、彩影ARP防火墻、風云防火墻、360ARP防火墻等，如果用戶的操作系統(tǒng)是Windows，建議選用風云防火墻，如果用戶的操作系統(tǒng)是VISTA，建議選用金山ARP防火墻或彩影ARP防火墻。

3.4 開發(fā)Socket軟件

Socket軟件系統(tǒng)不僅可以防止ARP病毒的攻擊，還能在ARP攻擊時為用戶提供實時警報，便于用戶及時發(fā)現(xiàn)問題，對其進行處理。Socket編程軟件的開發(fā)和應(yīng)用，能夠有效達到防范ARP病毒攻擊的目的，當然，該軟件對計算機網(wǎng)絡(luò)管理者提出了較高標準的要求，計算機網(wǎng)絡(luò)管理者要能夠?qū)RP攻擊原理以及Socket編程開發(fā)技術(shù)有一定的了解[5]。

4 結(jié)論

計算機網(wǎng)絡(luò)安全問題是計算機應(yīng)用技術(shù)研究領(lǐng)域的一個重要課題，而ARP攻擊又是計算機網(wǎng)絡(luò)安全面臨的主要威脅，人們對此關(guān)注顯得更為密切，因此，探討ARP攻擊對計算機網(wǎng)絡(luò)安全和用戶信息安全的影響，對計算機網(wǎng)絡(luò)安全防ARP攻擊的相應(yīng)措施進行研究，有著重要的現(xiàn)實意義。

[參考文獻]

[1]劉和偉.基于計算機網(wǎng)絡(luò)安全防ARP攻擊的研究[J].數(shù)字技術(shù)與應(yīng)用.2013，12（5）：224-225.

[2]徐林.論計算機網(wǎng)絡(luò)安全的防ARP攻擊的安全策略[J].計算機光盤軟件與應(yīng)用.2013，17（10）：164-166.

[3]王宇杰，王鋒，黃紅.基于ARP攻擊的網(wǎng)絡(luò)犯罪與防范的研究[J].信息網(wǎng)絡(luò)安全.2010，10（6）：66-69.

[4]馬蓉平.計算機網(wǎng)絡(luò)安全與ARP攻擊的解決方案[J].遼寧教育行政學院學報.2009，6（2）：159-161.

[5]胡亞希.一種基于交換機的局域網(wǎng)ARP攻擊防御方法的研究及系統(tǒng)實現(xiàn)[D].湖南大學.2010.