王默晗

（江蘇省阜寧中等專業(yè)學校,江蘇 阜寧 224400）

淺談校園網(wǎng)中ARP欺騙的防范

王默晗

（江蘇省阜寧中等專業(yè)學校,江蘇 阜寧 224400）

網(wǎng)吧是最常見的局域網(wǎng)，相信很多朋友都曾經(jīng)到網(wǎng)吧上網(wǎng)沖浪。不過在使用過程中是否出現(xiàn)過別人可以正常上網(wǎng)而自己卻無法訪問任何頁面和網(wǎng)絡信息的情況呢?雖然造成這種現(xiàn)象的情況有很多，但是目前最常見的就是ARP欺騙了，很多黑客工具甚至是病毒都是通過ARP欺騙來實現(xiàn)對主機進行攻擊和阻止本機訪問任何網(wǎng)絡信息的目的，今天我們就為各位介紹ARP欺騙的原理及危害，讓我們對這個攻擊方式有一個清晰的了解。

ARP；廣播；病毒

一、ARP概述

（一）何謂ARP病毒

ARP地址欺騙類病毒（簡稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動傳播的特性，不會自我復制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運行，因此它的危害比一些蠕蟲還要嚴重得多。

（二）ARP病毒發(fā)作時的現(xiàn)象

常見的現(xiàn)象有：網(wǎng)絡掉線，但網(wǎng)絡連接正常，整個網(wǎng)段內(nèi)部分計算機不能上網(wǎng)，或者所有計算機無法正常上網(wǎng)，無法打開網(wǎng)頁或打開網(wǎng)頁慢，訪問頁面時常常彈出廣告窗口，局域網(wǎng)時斷時續(xù)并且網(wǎng)速較慢等。

二、ARP欺騙原理

（一）什么是ARP

ARP是地址轉(zhuǎn)換協(xié)議（Address Resolution Protocol）的英文縮寫，它是一個鏈路層協(xié)議，工作在OSI模型的第二層，在本層和硬件接口間進行聯(lián)系，同時對上層（網(wǎng)絡層）提供服務。

二層的以太網(wǎng)交換設備并不能識別32位的IP地址，它們是以48位以太網(wǎng)地址（就是常說的MAC地址）傳輸以太網(wǎng)數(shù)據(jù)包。也就是說IP數(shù)據(jù)包在局域網(wǎng)內(nèi)部傳輸時并不是靠IP地址而是靠MAC地址來識別目標的，因此IP地址與MAC地址之間就必須存在一種對應關系，而ARP協(xié)議就是用來確定這種對應關系的協(xié)議。

（二）ARP欺騙的原理

主機在兩種情況下會保存、更新本機的ARP緩存表:（1）接收到“ARP廣播-請求”包時。（2）接收到“ARP非廣播-回復”包時。從中我們可以看出，ARP協(xié)議是沒有身份驗證機制的，局域網(wǎng)內(nèi)任何主機都可以隨意偽造ARP數(shù)據(jù)包，ARP協(xié)議設計天生就存在嚴重缺陷。

當局域網(wǎng)中一臺機器，反復向其他機器，特別是向網(wǎng)關，發(fā)送這樣無效假冒的ARP應答信息包時，嚴重的網(wǎng)絡堵塞就會開始。由于網(wǎng)關MAC地址錯誤，所以從網(wǎng)絡中計算機發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關，自然無法正常上網(wǎng)。這就造成了無法訪問外網(wǎng)的問題。

三、校園網(wǎng)ARP欺騙及其防范

校園網(wǎng)中，各種ARP攻擊類型都有發(fā)生過，但最主要的攻擊方式是冒充網(wǎng)關。攻擊者通過發(fā)送錯誤的終端MAC地址給網(wǎng)關，從而導致網(wǎng)關無法和受攻擊計算機終端用戶進行通信；然后是欺騙主機的方式，攻擊者通過發(fā)送錯誤的網(wǎng)關MAC地址給受攻擊者或者發(fā)送錯誤的終端MAC地址給受攻擊者，從而導致受害者無法與網(wǎng)關或本網(wǎng)段內(nèi)其他計算機終端互相通信；最后還有一種就是攻擊者通過欺騙PC和網(wǎng)關相結(jié)合的方法，導致網(wǎng)關和PC終端用戶無法正常通信。

（一）判斷PC是否受到ARP欺騙攻擊

某?，F(xiàn)有三幢樓，內(nèi)網(wǎng)中有網(wǎng)上辦公系統(tǒng)，每幢樓中都有很多計算機需要在校園內(nèi)網(wǎng)上辦公，目前學校內(nèi)網(wǎng)的所有計算機都在同一個廣播域中。時常出現(xiàn)無法連接互聯(lián)網(wǎng)、網(wǎng)速慢、計算機頻繁中毒、打開網(wǎng)頁時時常會彈出很多廣告等現(xiàn)象。

（二）校園網(wǎng)中ARP欺騙的防范措施

解決ARP欺騙攻擊是一個系統(tǒng)的綜合措施，我們可以從以下這些思路上尋求解決辦法：首先不能僅把網(wǎng)絡安全信任建立在IP或MAC地址的基礎上，理想的關系應該建立在IP和MAC綁定的基礎上。我們需要設定靜態(tài)的MAC-IP對應表，防止主機刷新設定好的轉(zhuǎn)換表。其次要使用硬件屏蔽主機，設置好路由器，務必保證IP地址能獲取合法正常的路徑。最后管理員要定期查詢，檢查主機的ARP緩存表，安裝軟件監(jiān)測網(wǎng)絡，一旦發(fā)現(xiàn)攻擊，立刻查找根源及時阻斷攻擊機器。

具體防范措施：首先，對于我們計算機的初級使用者來說，最直接的防范措施就是安裝ARP防火墻或者開啟局域網(wǎng)ARP防護，比如360安全衛(wèi)士等ARP病毒專殺工具，并且實時下載安裝系統(tǒng)漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。這些都是軟件的輔助防范。

（三）網(wǎng)關設備攻擊防范，主要是二層和三層交換機配置的規(guī)范。

1.二層交換機。與電腦直接相連的端口上配置靜態(tài)MAC地址，同時禁止動態(tài)學習；如果需要修改或刪除靜態(tài)MAC綁定的數(shù)據(jù)，先要在端口下刪除mac-address max-mac-count 0,修改后在端口重新添加mac-address max-mac-count 0；暫時不用的端口手動shutdown。

2.三層交換機。該設備上配置靜態(tài)ARP綁定下掛PC機的IP與MAC地址，防止下掛PC機隨意變動IP地址。

3.交換機既作網(wǎng)關又作接入是的配置規(guī)范。首先與PC機直接相連的端口上配置MAC，禁止動態(tài)學習MAC；暫時不用的端口手動關閉；下掛的PC機不得隨意變動已經(jīng)設置的IP地址。

四、小結(jié)

ARP欺騙攻擊雖然已經(jīng)在網(wǎng)絡發(fā)現(xiàn)這么多年了，我們能做的只是被動的來采取一些綜合措施來防范這種攻擊，希望我的這些方法建議對于防范ARP欺騙攻擊有所幫助。也希望隨著計算機技術的不斷完善，通過變協(xié)議的方式來徹底解決ARP欺騙這一難題。

[1]計算機網(wǎng)絡原理實驗教程[M].北京：科學出版社，2005.

[2]《關于校園網(wǎng)內(nèi)防范ARP欺騙病毒攻擊的重要通告》衢州學院,2007.

王默晗（1985-），女，漢族，江蘇阜寧人，江蘇省阜寧中等專業(yè)學校二級教師，研究方向：職業(yè)高中計算機教育教學。