局域網ＡＲＰ攻擊原理與防范

摘要：局域網ARP攻擊會導致網絡大面積的癱瘓，威脅整個網絡的安全。該文通過對ARP攻擊的分析，詳細討論了ARP攻擊原理，提出幾種常用的防范ARP攻擊的方法。

關鍵詞：ARP攻擊；ARP病毒；ARP欺騙；ARP防范

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)32-1320-01

LAN ARP Attack Principle and Guard Against Attacks

TANG Xuan， LIU Juan

(Department of Computer Science and Technology， Bengbu College， Bengbu 233000， China)

Abstract: ARP LAN network attacks would lead to large areas of paralysis and threaten the security of the entire network. Based on the analysis of ARP attacks， this paper describes the ARP attacks principles and several commonly used methods to prevent the ARP attacks.

Key words: ARP attack; ARP virus; ARP spoofing; ARP defense

1 引言

常見的局域網ARP攻擊是由ARP病毒導致的。一旦某臺計算機中了ARP病毒，則威脅整個局域網的安全，導致整個局域網通信被監聽，大面積掉線等情況，嚴重影響了局域網的安全。因此，防范ARP病毒攻擊是一個局域網上刻不容緩的事情。

2 ARP工作原理

ARP全稱是Address Resolved Protocol，地址解析協議，用于實現IP地址到網絡接口硬件地址的映射。網絡接口硬件地址一般是一個48位的值，這個地址通常被叫做MAC地址，它可以唯一地標識一個網絡接口，局域網中數據通訊就使用這個地址來識別發送數據端和接收數據端。ARP就是通過一定的機制，把IP地址映射為這種硬件地址，獲得數據的發送端和接收端地址，保證了數據的正確傳輸。

圖1ARP協議工作原理

ARP是通過一個高速緩存表來實現這個映射的。在每個主機上設置了一個ARP高速緩存表，這個高速緩存表中存放著最近使用過的IP地址和網絡接口硬件地址的映射記錄。ARP高速緩存表里的映射關系主要有靜態和動態的兩種。靜態的需要手工創建（使用arp -s命令）。動態創建的ARP高速緩存表中的映射關系一般在20分鐘后自動過期清除。可以使用arp -a命令查看本機ARP高速緩存表。

圖2本機ARP高速緩存表

局域網內，源主機若要和目的主機通信，必須知道其IP地址和MAC地址。假設源主機已經獲知目的主機的IP地址，它會先查看本地ARP高速緩存表中是否存在包含目的主機IP地址的條目。如存在，則使用該條目中目的主機IP所對應的MAC地址。否則，源主機會向整個局域網廣播一個ARP請求數據幀。在這個請求包中包含了源主機IP地址和目的地址，以及目的主機的IP地址。當局域網中其他主機接收到這個請求時，會檢查自己的IP地址和ARP請求數據幀中的目的IP地址是否相同，如果不同，則拋棄；否則，便會發出一個ARP響應包，并記錄源主機的IP地址至MAC地址的映射至本機ARP高速緩存表。該數據包中包含源主機IP、源主機MAC地址、目的主機IP地址、目的主機MAC地址。源主機接到這個ARP響應數據幀，便獲得了目的主機的MAC地址，并把目的主機IP地址與MAC地址映射記入本機ARP高速緩存表。

3 ARP攻擊原理

常見的ARP攻擊表現形式為監聽局域網中所有數據通信、提示IP沖突、頻繁上網掉線。它是使用改變ARP高速緩存表的方法來進行攻擊的。ARP攻擊者構造一個自己設計的ARP響應包，循環發送給目標主機，直至目標主機ARP高速緩存被更改，從而達到自己的攻擊目的。

假設，在局域網內有三臺主機Host1、Host2、Host3，假設Host1的IP地址為192.168.0.1，MAC地址為11:11:11:11:11:11，Host2的IP地址為192.168.0.2，MAC地址為22:22:22:22:22:22，Host3的IP地址為192.168.0.3，MAC地址為33:33:33:33:33:33。

此時若Host3的使用者想監聽Host1和Host2之間的通信，它就構造一個包含源IP地址為192.168.0.2、源MAC地址為33:33:33:33:33:33、目的IP地址為192.168.0.1、目的MAC地址為11:11:11:11:11:11的ARP響應數據幀循環發送至Host1，另外，再構造一

個包含源IP地址為192.168.0.1、源MAC地址為33:33:33:33:33:33、目的IP地址為192.168.0.2、目的MAC地址為22:22:22:22:22:22的ARP響應數據幀循環發送到Host2。若Host1和Host2使用這兩個ARP響應包更新它們的本地ARP高速緩存表，使得Host1的ARP高速緩存表中192.168.0.2對應Host3的MAC地址、Host2的ARP高速緩存表中的192.168.0.1對應Host3的MAC地址。此時，Host1發送給Host2的數據將會發送至MAC地址為33:33:33:33:33:33的主機（即Host3），而Host2發送給Host1的數據也將會發送至Host3，從而達到監聽Host1與Host2之間通信的目的。

若Host3發送偽裝網關的ARP響應數據幀，即構造目的IP地址和目的MAC地址為廣播地址、源IP地址為網關地址、源MAC地址為Host3的MAC地址的ARP響應數據幀，欺騙局域網內所有其他計算機，讓它們認為Host3為網關。然后，循環向網關發送源MAC地址為Host3的MAC地址、源IP地址為實際主機IP地址來欺騙網關，使網關把發送給局域網內其他計算機的數據發至Host3。此時，局域網內所有計算機的通信都將經過Host3，只有Host3保存有正確的IP至MAC地址的映射關系，Host3再通過這個映射關系轉發數據至正確的計算機，保證網絡正常運行。這樣，就實現了偽裝網關的攻擊，實現了監聽整個網絡的功能。

圖3 ARP攻擊原理

圖4 網關欺騙

4 防范ARP攻擊

知道了ARP攻擊的原理，就可以制定防范ARP攻擊的策略。常見的防止ARP攻擊的方法有：

4.1 靜態綁定ARP高速緩存條目

ARP攻擊主要是更改了動態變化的本地ARP高速緩存表，因此，可以使用靜態ARP高速緩存表。windows系統下，可以使用arp –s命令來靜態綁定ARP。如上例，對Host1執行

arp -s192.168.0.254xx-xx-xx-xx-xx-xx

arp -s192.168.0.222-22-22-22-22-22

使用這種方法需要對局域網中每臺機器設置，而且，一但更換IP地址或MAC地址就需要重新設置。因為這種方法只適合比較小的網絡。

4.2 使用支持MAC地址綁定的交換設備

一些交換機具有MAC地址和端口綁定的功能，可以避免MAC地址欺騙。同時，也具有一些防范ARP攻擊的檢測功能的交換設備，完全避免了ARP攻擊。但它們的價格一般也比較高。

4.3 使用VLAN

VLAN可以隔離不同VLAN之間的通信，也就可以避免不同VLAN之間的MAC地址欺騙，但它導致了不同VLAN間的通信問題。

4.4 使用專用軟件

某些專用軟件可以用來防止ARP攻擊，這些軟件監控正確的IP與MAC地址映射，若這個映射發生變化，便通知用戶并且恢復正確的映射關系，保證網絡的暢通。但不能杜絕局域網的ARP攻擊。

5 結束語

此外，我們要給自己的計算機打好補丁，裝好防病毒，我們的計算機才不會感染ARP病毒，才能從一定程度上防止ARP攻擊。

參考文獻：

[1] Stevens.TCP-IP詳解（卷一）[M].北京:機械工業出版社，2000.

[2] Stevens.TCP-IP詳解（卷二）[M].北京:機械工業出版社，2000.