酒店網絡系統ＡＲＰ欺騙的解決方案

[摘 要] 介紹了酒店網絡系統防止ARP欺騙必要性。通過分析ARP協議的工作原理，探討了ARP欺騙的危害性。最后，從酒店網絡系統安全的維護工作出發，介紹了IP地址和MAC地址綁定、交換機端口和MAC地址綁定、靜態配置路由ARP條目等技術能夠有效防御ARP欺騙攻擊的安全防范策略。

[關鍵詞] 網絡系統 ARP欺騙

近幾年來，國內經濟的高速發展，帶來了蓬勃發展的旅游業和頻繁的商務旅行活動。這些又為酒店行業帶來了無限商機。如何提升酒店品牌新象，提高服務檔次，能更好的滿足顧客的要求從而擴大市場，成了各個酒店亟待解決的問題。

現在，顧客選擇酒店時既看重基礎設施的建設狀況，也更加酒店信息化建設狀況。顧客入住酒店不再只是解決住宿，還有娛樂、商務等需求。從市場調查來看，酒店的客流很大比例在于商務需要。而商務顧客都把客房當作臨時的辦公室。在里面辦公，撰寫WORD資料，準備PPT文稿，收發電子郵件等等。這些很大程度上取決于酒店對于互聯網的接入服務是否完善。

酒店的網絡應用情況非常復雜，使用的人員流動性大，對酒店網絡建設提出了比較高的需求，需要解決因病毒攻擊而引發的客戶投訴的問題。這其中經常碰到的會引起所有用戶不能正常上網的是ARP欺騙。近段時間，國內網吧、企業、酒店等行業大都出現過由于ARP欺騙引起的斷線(全斷或部分斷線)的現象，由于該欺騙變種太多，傳播速度太快，國內外的反病毒廠商都沒有很好的辦法來解決ARP欺騙問題。

一、什么是ARP欺騙

從影響網絡連接通暢的方式來看，ARP欺騙分為二種：一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙：

第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。

第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

二、ARP欺騙的危害

ARP欺騙可以造成內部網絡的混亂，讓某些被欺騙的計算機無法正常訪問內外網，讓網關無法和客戶端正常通信。實際上他的危害還不僅僅如此，一般來說IP地址的沖突我們可以通過多種方法和手段來避免，而ARP協議工作在更低層，隱蔽性更高。系統并不會判斷ARP緩存的正確與否，無法像IP地址沖突那樣給出提示。而且很多黑客工具例如網絡剪刀手等，可以隨時發送ARP欺騙數據包和ARP恢復數據包，這樣就可以實現在一臺普通計算機上通過發送ARP數據包的方法來控制網絡中任何一臺計算機的上網與否，甚至還可以直接對網關進行攻擊，讓所有連接網絡的計算機都無法正常上網。這點在以前是不可能的，因為普通計算機沒有管理權限來控制網關，而現在卻成為可能，所以說ARP欺騙的危害是巨大的，而且非常難對付，非法用戶和惡意用戶可以隨時發送ARP欺騙和恢復數據包，這樣就增加了網絡管理員查找真兇的難度。

三、解決ARP攻擊的方法

絕大多數路由器廠商建議用戶在內網主機和路由器之間建立雙向的ARP綁定來解決這個問題，這也是目前看來最行之有效的解決方案

但是在酒店卻很難使用這個方案，隨著住店客人的不斷更換，酒店客房里的主機是不斷變化的，這就意味著遭遇ARP欺騙時，不可能在路由器上通過綁定內網主機ARP信息的傳統方法解決此問題。同時，也很難讓住店的客人操作對路由器的ARP綁定。

針對使用HiPER路由器的酒店用戶特提出以下解決方案：

1.解決路由器被ARP欺騙的問題

絕大多數酒店采用DHCP技術給上網用戶動態分配IP地址，HiPER新一代ReOS版本VSTAR根據這個特點，對路由器DHCP動態分配IP地址的用戶自動進行ARP綁定，待該IP地址租約到期未續租時將其自動解除綁定的功能。這樣當路由器收到內網虛假的ARP信息的時候就會主動拒絕。

2.解決內網主機被ARP欺騙的問題

方法1：通過路由器按照一定頻率發送申明自己的廣播包，告知內網每臺主機正確的網關ARP信息。

方法2：一旦ARP欺騙發包的頻率高于網關的發送頻率，方法1的防御方法就會失效。這時候我們就可以配合內網安全交換機端口隔離功能來解決這個問題，在內網的交換安全交換機上配置每個端口為獨立的VLAN（可以采用802.1QVLAN或者Port VLAN技術）。這樣，內網即使有主機發起ARP欺騙，也不會影響到內網的其他主機的正常上網。

3.過渡方法

暫時沒有安全交換機的酒店網絡也可以使用過渡方法，在內網的服務器上共享一個主機綁定路由器ARP信息的批處理文件，并且在每個房間網線接口旁擺放一個卡片，指導用戶如何找到這個批處理文件，如何執行該批處理文件。這樣就可以在內網主機上完成對路由器ARP信息的綁定。

四、結束語

ARP欺騙在相當長的時間內還會繼續存在，不斷的為用戶提供各種解決方案，幫助用戶打造一個穩定、高效的接入環境，將是酒店網絡系統的最主要功能。

參考文獻:

[1]曹 磊:局域網中ARP的欺騙攻擊.氣象科技，2007，12

[2]劉 舫:企業局域網感染ARP病毒的處理方法.科技情報開發與經濟，2007，31