針對ＡＲＰ病毒的解決方案

摘要：文章簡單介紹了ARP協議，分析了ARP攻擊的原理，從機制上說明了流行的防治方法的有效性。提出交換機雙向綁定是目前較全面又持久的解決方案，它是由網絡的管理和硬件的配置共同實現的。

關鍵詞：網絡安全；ARP攻擊；雙向綁定

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)36-2611-01

Schemes for ARP Disease Solving

YAN Yan

(Liaoning Province Directly Subordinate Organ Employees' University，Shenyang 110032，China)

Abstract:The paper briefly introduces ARP agreement，analyses the principles for ARP attacking and illustrates effectiveness of prevalent preventions and treatments.It puts forward yet that bidirectional binding of exchanger is overall and lasting scheme for solving the disease，that is jointly realized bymanagement of network with disposition of hardware．

Key words:network safety;ARP's attacking;two-way binding

1 引言

最近計算機網絡經常受到各種各樣的ARP病毒的攻擊，如何防治ARP病毒攻擊，是我們每個技術人員都要應對的問題。隨著病毒侵害愈演愈烈， 防治的方案也多種多樣，各種防治方法讓人無所適從，但一些方法只對個別的攻擊有效， 對其他的ARP攻擊發揮不了作用， 同時降低了局域網工作效率。怎樣才能有效防治ARP病毒的攻擊，從根本上解決問題？這就需要我們了解ARP攻擊的機理，判斷各種防治方式的有效性，并介紹為什么交換機雙向綁定是目前較全面又持久的解決方案。

2ARP病毒介紹

2.1 ARP協議與ARP攻擊

當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。要了解故障原理，我們先來了解一下ARP協議以及ARP攻擊的常用手法：ARP欺騙。從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。 第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。要了解故障原理，我們先來了解一下ARP協議以及ARP攻擊的常用手法：ARP欺騙。從影響網絡連接通暢的方式來看，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。 第一種ARP欺騙的原理是——截獲網關數據。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。ARP是地址解析協議，ARP協議主要負責將局域網中的32位IP地址轉換為對應的48位物理地址，即網卡的MAC地址。計算機有ARP緩存表，用于保存IP地址以及相應的MAC地址。解析過程是一臺主機先發送包含目標主機IP地址信息的廣播數據包，即ARP請求，目標主機收到請求后向該主機發送一個含有IP地址和MAC地址數據包，即ARP應答。將目標主機IP地址以及相應的MAC地址保存在ARP緩存表中，以備通訊之用，兩個主機就可以實現數據傳輸了。

在局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。所以說從某種意義上講ARP協議是工作在更低于IP協議的協議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現網絡故障，他的危害更加隱蔽。

2.2 ARP攻擊的機理

在網絡中發送虛假的ARP應答就可以實現欺騙的目的，使發出ARP請求的主機的ARP緩存表中記錄IP地址及錯誤的MAC地址。這種錯誤的對應關系就是ARP欺騙。ARP解析協議產生這樣的問題，就造成了數據包不能準確到達。錯誤數據包引起網絡重發，結果就是越發越多，超負荷運轉，就會導致網絡癱瘓，從而導致主機不能上網。

一般計算機中的ARP協議，對于應答數據包總是無條件覆蓋本機緩存中的IP/MAC對照表。 這就造成只要有惡意計算機在局域網持續發出錯誤的ARP訊息，就會讓計算機及路由器信以為真，作出錯誤的傳送網絡包動作。一般的ARP就是以這樣的方式，造成網絡運作不正常，達到盜取用戶密碼或破壞網絡運作的目的。

3 防治ARP攻擊的常見方法

針對ARP攻擊的防治，常見的方法，可以分為以下三種：

① 利用ARP ECHO傳送正確的ARP信息：通過頻繁發送正確的ARP對照表，來達到防治的效果。 它是最早開發出來的ARP攻擊解決方案，但隨著ARP攻擊的發展，漸漸失去它的效果。常見的ARP ECHO處理有兩種，一種是由路由器持續發送，另一種則是在計算機或服務器安裝軟件發送。持續發送的缺點是被廣播包占據大量帶寬，另外攻擊軟件通常會設定更高頻率的廣播包，這個方法不但面對攻擊沒有防治效果，還會降低局域網運作的效能，

② 利用綁定方式，固定ARP對照表不受外來影響：通過固定正確的ARP對照表，來達到防治的效果。但是ARP綁定并不是靈丹妙藥，網管必須通過網絡監控或掃瞄的方法，找出攻擊者加以去除，只作路由器端綁定效果有限，一般計算機仍會被欺騙，常發生掉包或掉線的情況。

③ 舍棄ARP協議，采用其它尋址協議：不采用ARP作為傳送的機制，而另行使用其它協議例如PPPoE方式傳送。

以上三種方法中，前兩種方法較為常見，第三種方法由于變動較大，適用于技術能力較佳的應用。

3 交換機雙向綁定方案

雙向綁定的解決方案，就是在路由器上綁定ARP表的同時，在每臺電腦上也綁定一些常用的ARP表項。它能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項，那么ARP攻擊就不會成功；如果攻擊手段不劇烈，也欺騙不了路由器，這樣我們就能夠防住ARP攻擊。在現在ARP雙向綁定流行起來之后，攻擊程序的作者也提高了攻擊手段，攻擊的方法更綜合，另外攻擊非常頻密，僅僅進行雙向綁定已經不能夠應付兇狠的ARP攻擊了，仍然很容易出現掉線。

事實上，由于路由器是整個局域網的出口，而ARP攻擊是以整個局域網為目標，當ARP攻擊包已經達到路由器的時候，影響已經造成。所以由路由器來承擔防御ARP攻擊的任務只是權宜之計，并不能很好的解決問題。

我們要真正消除ARP攻擊的隱患，安枕無憂，必須對局域網核心--交換機做工作。由于任何ARP包，都必須經由交換機轉發，才能到達被攻擊目標，只要交換機拒收非法的ARP包，那么ARP攻擊就不能造成任何影響。

真正嚴密的防止ARP攻擊的方案，就是在每臺接入交換機上面實現ARP綁定，并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不出戶，在局域網內完全消除了ARP攻擊。 因為需要每臺交換機都具有ARP綁定和相關的安全功能，這個方案的價格無疑是昂貴的。

參考文獻：

[1] 馮登國.計算機通信網絡安全[M].北京:清華大學出版社，2001.

[2] 單國棟，戴英俠，王航.計算機漏洞分類研究[J].計算機工程，2002，28(10):3-6.

[3] 夏云慶.Visual C++ 6.0 數據庫高級編程[M].北京:希望電子出版社，2003.

[4] 段鋼.加密與解密[M].2版.北京:電子工業出版社，2005.

[5] 候俊杰.深入淺出MFC[M].2版.北京:華中科技大學出版社，2005.

[6] (美) Jeffrey Richter.Applied Microsoft.NET Framework Programming[M].北京:清華大學出版社，2004.