郭奇峰，曾大軍

（1江西師范大學(xué) 瑤湖校區(qū)現(xiàn)代教育技術(shù)中心 江西 南昌 330027）

（2吉安職業(yè)技術(shù)學(xué)院 江西 吉安 343000）

1 ARP產(chǎn)生的原因與危害

每一臺(tái)主機(jī)在出廠的時(shí)候都會(huì)有一個(gè)唯一標(biāo)識(shí)自己的物理地址，也就是我們通常說(shuō)的MAC地址，每臺(tái)電腦會(huì)在本地電腦上建立一張ARP緩存表，這張緩存表會(huì)保存IP地址和MAC地址的映射關(guān)系。當(dāng)前主機(jī)如果需要將一個(gè)數(shù)據(jù)包發(fā)送到目的主機(jī)，首先會(huì)檢查本機(jī)當(dāng)中的ARP緩存表里面是否有對(duì)應(yīng)的映射關(guān)系，也就是檢查是否有IP地址對(duì)應(yīng)的MAC地址，如果有則直接將數(shù)據(jù)包發(fā)送到對(duì)應(yīng)的MAC地址，如果當(dāng)前主機(jī)ARP緩存沒(méi)有對(duì)應(yīng)的映射表存在，則會(huì)發(fā)起一個(gè)ARP的廣播請(qǐng)求，查詢(xún)是否有目的地址的MAC地址。該ARP請(qǐng)求包包括當(dāng)前主機(jī)的IP地址、MAC地址、已經(jīng)目的主機(jī)的IP地址，網(wǎng)絡(luò)的主機(jī)收到該廣播包后會(huì)和自己的ARP緩存表進(jìn)行對(duì)比，如果不同則忽略該數(shù)據(jù)包；如果相同，則會(huì)把發(fā)動(dòng)斷的MAC地址和對(duì)應(yīng)的IP地址添加到ARP緩存表中；如果緩存表中已經(jīng)有該IP地址，則會(huì)覆蓋原有的映射，然后回應(yīng)一個(gè)ARP響應(yīng)包，告訴對(duì)方是要查找的硬件地址。源發(fā)送的主機(jī)收到ARP響應(yīng)的數(shù)據(jù)包，會(huì)將對(duì)應(yīng)的IP地址和MAC地址添加到ARP緩存表，并利用該表發(fā)送數(shù)據(jù)。如果源主機(jī)發(fā)送后一直沒(méi)有收到ARP響應(yīng)，則查詢(xún)ARP失敗。

計(jì)算機(jī)一旦感染ARP病毒，便會(huì)在局域網(wǎng)瘋狂傳播。給正常的局域網(wǎng)持續(xù)造成一定的破壞，之后計(jì)算機(jī)病毒便利用已經(jīng)控制的大量“僵尸主機(jī)”對(duì)互聯(lián)網(wǎng)的某個(gè)網(wǎng)站或者服務(wù)器進(jìn)行洪水攻擊。高校機(jī)房、校園網(wǎng)一旦局域網(wǎng)內(nèi)的一臺(tái)計(jì)算機(jī)感染了病毒，就會(huì)造成大量的計(jì)算機(jī)掉線甚至整個(gè)網(wǎng)絡(luò)陷入癱瘓，令用戶(hù)和管理員萬(wàn)般無(wú)奈，在校園內(nèi)部網(wǎng)絡(luò)也幾乎存在同樣的問(wèn)題，此時(shí)傳統(tǒng)的防火墻卻顯得毫無(wú)辦法。

2 ARP防御對(duì)策分析

通過(guò)上面的敘述不難發(fā)現(xiàn)ARP欺騙是一種更改ARP Cache的技術(shù)。目前很多種ARP防范措施，一是解決措施的防范能力有限，不是根本辦法。二是對(duì)網(wǎng)絡(luò)管理約束很大，不具備可操作性。三是某些措施對(duì)網(wǎng)絡(luò)傳輸?shù)男苡袚p失，網(wǎng)速變慢，帶寬浪費(fèi)，不可取。因此可以采用以下措施。

2.1 雙綁措施

通過(guò)微軟提供的ARP命令實(shí)現(xiàn)綁定，防范部分ARP攻擊。例如：“arp–s 192.168.10.1 AA-AA-AA-AA-AAAA”。機(jī)房里面普遍安裝了還原卡，我們可以寫(xiě)個(gè)批處理放在啟動(dòng)項(xiàng)，電腦開(kāi)機(jī)自動(dòng)運(yùn)行實(shí)現(xiàn)自動(dòng)綁定。

2.2 安裝ARP防火墻

目前關(guān)于ARP類(lèi)的防護(hù)軟件較多，安裝ARP防火墻來(lái)可有效解決ARP攻擊，例如：antiarp、金山ARP防火墻等。

2.3 交換機(jī)防御法

對(duì)于可網(wǎng)管的交換機(jī)，我們可以通過(guò)將網(wǎng)絡(luò)劃分多個(gè)網(wǎng)段來(lái)減少ARP病毒帶來(lái)的危害；每個(gè)端口做隔離來(lái)保證ARP對(duì)每個(gè)人不相互影響，在實(shí)行端口綁定來(lái)防范ARP病毒。

2.4 撥號(hào)防御ARP

在人流動(dòng)性大的情況下，防范麻煩。例如：學(xué)生公寓，人員流動(dòng)頻繁，管理起來(lái)麻煩，鑒于這樣的情況可以采取PPPOE撥號(hào)上網(wǎng)的方式。由于PPPOE協(xié)議采用是點(diǎn)對(duì)點(diǎn)的通信方式，它能單獨(dú)控制每個(gè)用戶(hù)，更主要的是不依賴(lài)ARP服務(wù)，因此ARP攻擊從根本上就無(wú)法實(shí)現(xiàn)。

3 結(jié)語(yǔ)

ARP攻擊是由于設(shè)計(jì)時(shí)候自身的缺陷導(dǎo)致的安全漏洞，讓ARP攻擊的有可乘之機(jī)。本文在根據(jù)高校實(shí)際情況出發(fā)，采用不同的防御方法從某種程度上減弱其破壞性，在實(shí)際生活中使用了以上方法ARP攻擊取得了良好的防御效果。對(duì)防止ARP病毒肆意傳播，減少ARP病毒對(duì)網(wǎng)絡(luò)的危害，對(duì)網(wǎng)絡(luò)的有效保護(hù)起到一定的借鑒意義。