ＡＲＰ協議簡析與ＡＲＰ欺騙攻擊防范

摘要：該文所討論的是現行以太網絡環境中ARP協議的概述與工作原理，ARP協議本身的缺陷，以及常見ARP欺騙攻擊的形式與防范方法。作者結合當前網絡環境的實際情況，以網絡的高效與安全為出發點，全面而概述地談ARP協議與ARP欺騙攻擊防范方面的問題。

關鍵詞：ARP；工作原理；欺騙攻擊；防范

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)33-1349-02

An Analysis of ARP Protocol andHow to Guard against ARP Cheating

JIANG Xiao-feng

(Henan Vocational School of Economics and Trade，Zhengzhou 450053，China)

Abstract: This paper discusses the general idea，principle，defectiveness of ARP Protocol in the first place.Then this paper discusses the familiar forms of ARP Cheating and how to guard against it. Taking the current situation of the Internet into account， the present writer discusses ARP Protocol and how to guard against ARP Cheating thoroughly and tersely to improve the efficiency and safety of the Internet.

Key words: ARP;principle;cheating; guard against

隨著網絡、電子通信等技術的發展，互聯網的接入，網絡的應用越來越深入的到社會的各個行業，而隨之而來的是人們對于接入網絡的高效和安全問題的關注，在網絡應用中的眾多問題中，ARP欺騙攻擊也日益被提到關注的重點上。

因此，我們對于ARP協議工作原理以及ARP欺騙攻擊必須有一個充分的認識。

1 ARP簡介

ARP，全稱Address Resolution Protocol，中文名為地址解析協議，它工作在數據鏈路層，在本層和硬件接口聯系，同時對上層提供服務。

在TCP/IP協議中，每一個網絡結點是用IP地址標識的，IP地址是一個邏輯地址。而在現行的以太網中數據包是靠48位MAC地址（物理地址）尋址的。因此，必須建立IP地址與MAC地址之間的對應（映射）關系，在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址必須通過地址解析協議獲得的。ARP協議用于將網絡中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進行。

在主機中，IP地址和MAC地址之間的對應（映射）關系以列表的形式存放在ARP緩沖區(ARP Cache)中。在Windows操作系統中，可以通過在命令：arp –a 查看。

如： Interface: 192.168.10.96 --- 0x10003

Internet AddressPhysical AddressType

192.168.10.100-d0-f8-a5-65-f3 dynamic

192.168.10.10 00-19-21-29-44-de dynamic

192.168.10.21 00-1e-90-66-72-a9 dynamic

192.168.10.24 00-1e-90-6f-9b-e8 dynamic

192.168.10.25 00-11-5b-28-d6-11 dynamic

192.168.10.28 00-14-2a-3e-31-3e dynamic

192.168.10.41 00-1e-90-66-7c-2a dynamic

2 ARP工作原理

在ARP協議的規定下，ARP的工作原理可以追溯為以下幾個過程：

1) 每臺主機都會在自己的ARP緩沖區 (ARP Cache)中建立一個 ARP列表，以表示IP地址和MAC地址的對應關系。

2) 網絡中，當源主機需要將一個數據包要發送到目的主機時，會首先檢查自己 ARP列表中是否存在該 IP地址對應的MAC地址，如果有﹐就直接將數據包發送到這個MAC地址；如果沒有，就向本地局域網（同一網段）的所有主機發起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。

3) 網絡中所有的主機收到這個ARP請求后，會檢查數據包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數據包；如果相同，該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經存在該IP的信息，則將其覆蓋，然后給源主機發送一個 ARP響應數據包，告訴對方自己是它需要查找的MAC地址；

4) 源主機收到這個ARP響應數據包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數據的傳輸。如果源主機一直沒有收到ARP響應數據包，表示ARP查詢失敗。

3 ARP協議的缺陷

ARP協議是建立在信任局域網內所有結點的基礎上的，它很高效，但卻不安全。它是無狀態的協議，不會檢查自己是否發過請求包，也不會或者無法檢查接收到的應答是否是合法的，只要收到目標MAC是自己的ARP 響應數據包或ARP廣播包（包括ARP請求數據包和ARP響應數據包），都會接受并緩存。這就為ARP欺騙提供了可能，惡意節點可以發布虛假的ARP報文從而影響網內結點的通信，甚至控制網絡的通信以及截獲網絡數據等。

4 ARP欺騙攻擊的形式與危害

由于ARP協議缺乏信任機制的檢驗，使得ARP欺騙攻擊成了可行。

第一、根據ARP欺騙的對象分類：

1) 主機對其他主機的ARP的欺騙攻擊。

2) 主機對網關（路由器端口）的ARP欺騙攻擊。

3) 主機對其他主機和網關（路由器端口）的雙向ARP欺騙攻擊。

第二、根據ARP欺騙的網絡環境分類：

1) 同一網段內的ARP欺騙攻擊，即處于同一局域網內的ARP欺騙攻擊。

2) 不同網段的ARP欺騙攻擊，即處于不同的局域網或者通過互聯網的ARP欺騙攻擊。

第三、根據ARP欺騙的發起對象分類：

1) 人為攻擊。

人為攻擊的目的主要是：造成網絡異常、竊取數據、非法控制等。

2) ARP病毒攻擊。

ARP病毒不是特指的某一種病毒，而是指包含有ARP欺騙功能的病毒的總稱。ARP病毒的目的主要是：竊取數據、篡改數據等。

在網絡中各種形式的ARP欺騙攻擊，給網絡帶來的危害基本上可以表現為：網絡異常、數據竊取、數據篡改、非法控制等，給網絡的通信和網絡結點的安全帶來重大的危害。

5 ARP欺騙攻擊的防范

對于各種形式的ARP欺騙攻擊來說，究其原理是利用ARP協議信任機制的缺陷，對目標物理地址的篡改和控制，來進行欺騙和攻擊的。因此在防范ARP欺騙攻擊上，也要從這一根本點上出發。

1) 網絡管理中心采用Super VLAN或PVLAN技術

VLAN Aggregation（VLAN聚合）技術提供一種機制使處于同一個交換機中分屬不同VLAN的主機分配在相同的Ipv4子網中，而且使用同一個默認網關。

在交換網絡環境中引進Sub VLAN和Super VLAN，它通常將多個不同的VLAN劃分至同一IP子網，而不是每個VLAN單獨占用一個子網，然后將整個IP子網指定為一個VLAN聚合（Super VLAN），它包含整個IP子網內的所有VLAN（Sub VLAN）。

圖1 ARP報頭模式

實質上不同的Sub VLAN仍保留各自獨立的廣播域，而一個或多個Sub VLAN同屬于一個Super VLAN，并且都使用Super VLAN的接口地址為默認網關IP地址。當不同Sub VLAN中的主機需要相互之間通訊時，需要在Super VLAN開啟ARP代理。

PVLAN即私有VLAN（Private VLAN），一種新的VLAN機制，所有服務器在同一個子網中，但服務器只能與自己的默認網關通信。

PVLAN的應用對于保證接入網絡的數據通信的安全性是非常有效的，用戶只需與自己的默認網關連接，一個PVLAN不需要多個VLAN和IP子網就提供了具備第2層數據通信安全性的連接，所有的用戶都接入PVLAN，從而實現了所有用戶與默認網關的連接，而與PVLAN內的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。

PVLAN和SuperVLAN技術都可以實現端口隔離，但實現方式、出發點不同。端口的隔離，有效的隔離了廣播域，也從而有效的遏制了ARP數據包的范圍和程度。

2) 局域網內采用IP與MAC的雙向綁定

所謂IP與MAC的雙向綁定，是指：一方面，主機IP地址和主機MAC地址綁定，另一方面，路由器或者交換機等網絡設備上IP地址和MAC地址以及端口綁定。

3) 使用軟件防護

正確的安裝、配置和使用計算機防護軟件，也可以起到防范ARP欺騙攻擊的作用。如我國著名的反病毒和計算機安全軟件：瑞星、江民以及ARP衛士等。

總的來說，ARP協議在現行以太網的通信中起著至關重要的作用，從而針對ARP協議的ARP欺騙攻擊對網絡的安全也產生了嚴重的危害。所以，在我們的網絡中，應對繁多的ARP欺騙、防范ARP攻擊，必須具備一定的ARP協議與工作原理的認識，更要掌握必要的ARP防范技術，保證網絡的高效和安全。

參考文獻：

[1] [美]Cisco System 公司.CCNA教程[M].北京:人民郵電出版社，2007，12.

[2] 張保通.網絡互聯技術[M].北京:中國水利水電出版社，2008，1.

[3] （美）W.Riichard Stevens.TCP/IP詳解[M].北京:機械工業出版社，2006，5.