簡述ＡＲＰ原理與防范

王斐人　李　毅

摘要：本文通過對ARP協議的工作原理的研究，描述在局域網絡中ARP欺騙原理和欺騙的方式、方法，并提出防范ARP網絡欺騙攻擊的方法。

關鍵詞：ARP協議；ARP欺騙；防范

1引言

在計算機技術高速發展的今天，網絡已經成為我們工作生活中不可或缺的部分；然而網絡在給我們的工作、生活帶來了極大便利的同時，也帶來了一系列負面問題。眾所周知，計算機一旦與網絡互聯，幾乎都遇到過各式各樣的網絡攻擊，媒體上經常有服務器被黑客入侵或被病毒攻擊的報道；網絡安全已經受到了日益嚴重的威脅。

現在局域網中感染ARP病毒的情況日益增多，清理和防范都比較困難，給不少網絡管理員造成了很大的困擾。本文在分析當前局域網特點的基礎上，旨在找出感染ARP病毒的原因和防范ARP病毒的機制，為局域網的管理提供解決的思路和方法。

2ARP協議工作原理

ARP(Address Resolution Protocol，地址解析協議)是一個位于OSI參考模型中的數據鏈路層(DL)協議，負責將網絡層(OSI的第三層)IP地址解析為數據鏈路層(OSI的第二層)的MAC地址。

假設：

計算機A的IP為17225.13.1，MAC地址為00-1E-90-33-46-01；

計算機B的IP為172.25.13.2，MAC地址為00-1E-90-33-46-02；

ARP工作原理如下：

在TCP/IP協議中，A給B發送IP包，在包頭中需要填寫B的IP為目標地址，但這個IP包在以太網上傳輸的時候，還需要進行一次以太包的封裝，在這個以太包中，目標地址就是B的MAC地址。

計算機A是如何得知B的MAC地址的呢?解決問題的關鍵就在于ARP協議。

在A不知道B的MAC地址的情況下，A就廣播一個ARP請求包，請求包中填有B的IP(172.25.13.2)，以太網中的所有計算機都會接收這個請求，而正常的情況下只有B會給出ARP應答包，包中就填充上了B的MAC地址，并回復給A。A得到ARP應答后，將B的MAC地址放入本機緩存，便于下次使用。本機MAC緩存是有生存期的，生存期結束后，將再次重復上面的過程。

3ARP欺騙原理

ARP欺騙作為一種典型的欺騙類攻擊，包括構造偽造的ARP請求和ARP應答包。攻擊主機通過發送偽造的ARP應答來更新目標主機的ARP緩存，從而使自身贏得目標主機的信任。然后再實施有效攻擊或非法監聽網絡數據包，造成目標主機被攻破或機密信息泄漏等一系列災難性后果。

ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷地發出偽造的ARP響應包，就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

ARP攻擊主要是存在于局域網網絡中，局域網中若有一個人感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其他計算機的通信信息，并因此造成網內其他計算機的通信故障。

4防范技術

4．1基于交換機的端口與MAC地址綁定

機柜交換機進行IP-MAC-交換機端口配對綁定，服務器只能在指定交換機端口使用，防止內部ARP攻擊機發送虛假IP地址，虛假MAC地址，偽造網關，進行欺騙攻擊。

機柜交換機進行網關IP-網關MAC靜態綁定，為機柜內部服務器提供靜態的網關MaC地址解析。

4．2創建PC機上的綁定腳本文件

以在XP系統上的設置為例，采用雙向綁定的方法解決并且防止ARP欺騙。

(1)首先，獲得安全網關的內網的MAC地址[例如網關地址172.25.13.254的MAC地址為00-1 E-90-33-46-5A)。

(2)編寫一個批處理文件rarp.bat內容如下：

@echo Off

arp-d

arp-S 172.25.13.254 00-1E-90-33-46-5A

將文件中的網關IP地址和MAC地址更改為實際使用的網關IP地址和MAC地址即可。

將這個批處理軟件拖到“Windows開始→所有程序→啟動”中。

4．3在交換機上做單端口

VLAN設定：由于ARP欺騙攻擊一般在同網段危害比較大，我們將網絡分段劃分得比較細，從而減少危害影響面，達到一定的保護作用。具體做法是，在交換機上有多少個端口就設定多少個VLAN，將端口設定為工作在某個指定的VLAN。這樣可在局域網內起到防范ARP欺騙攻擊的作用。

4．4軟件防控

安裝360安全衛士的360arp防火墻，在窗口中選擇“網關保護設置→綜合設置→自動獲取→保存設置”就可完成保護設定。

安裝AntiArp軟件。運行AntiArp軟件后，輸入本網段網關的正確IP地址后，單擊“獲取網關MAC地址”，點擊“自動保護”，即可完成保護設定工作。該方法由于安裝、設置比較簡單，適合普通用戶的使用，是目前個人計算機上使用比較多的一種保護方式。

5結束語

通過以上幾種方法來解決ARP病毒對于局域網的欺騙攻擊是比較有效果的。但是由于ARP病毒版本在不斷更新、升級中，所以仍會給局域網用戶帶來新的沖擊與危害。因此有必要提前做好局域網ARP病毒的防范工作，使得ARP病毒的危害減少到最小程度。當然，在網絡安全領域，沒有任何一種技術手段可以解決所有的問題，對于各種類型的網絡攻擊，網絡管理員應當密切檢查網絡，不斷提高自身的技術水平，確保網絡安全的正常運行。