局域網(wǎng)中ARP欺騙攻擊分析及安全防范策略

摘要:介紹ARP地址解析協(xié)議的含義和工作原理，分析ARP協(xié)議所存在的安全漏洞，給出了網(wǎng)段內(nèi)和跨網(wǎng)段ARP欺騙的實(shí)現(xiàn)過(guò)程。結(jié)合網(wǎng)絡(luò)管理的實(shí)際工作，重點(diǎn)介紹了IP地址和MAC地址綁定、交換機(jī)端口和MAC地址綁定、VLAN隔離等幾種技術(shù)能夠有效防御ARP欺騙攻擊的安全防范策略，并通過(guò)實(shí)驗(yàn)驗(yàn)證了該安全策略的有效性。

關(guān)鍵詞:ARP協(xié)議;ARP欺騙;MAC地址;IP地址;網(wǎng)絡(luò)安全

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)33-9212-04

LAN ARP Spoofing Attack Strategy Analysis and Safety Precautions

XING Yong-hong

(Municipal CPC Party School in Zhanjiang，Zhanjiang 524032，China)

Abstract: This paper describes the meaning of ARP Address Resolution Protocol and working principle of ARP protocol analysis of security vulnerabilities that exist， gives the network segment and cross-segment ARP spoofing implementation process. With the practical work of network management， focusing on the IP address and MAC address binding， the switch port and MAC address binding， VLAN isolation of several technology can effectively prevent ARP spoofing attacks， the security policy， and through experimental verification of the security strategy's effectiveness.

Key words: ARP protocol; ARP deception; MAC address; IP address; network security

在局域網(wǎng)的日常管理中，常常會(huì)遇到網(wǎng)絡(luò)上的計(jì)算機(jī)經(jīng)常掉線，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常，嚴(yán)重影響局域網(wǎng)中計(jì)算機(jī)的正常使用。其實(shí)這都是ARP病毒在作怪。ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴(yán)重的甚至可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。那么什么是ARP?它的攻擊方式有哪些?怎樣防御?本文將逐一進(jìn)行探討。

1 ARP協(xié)議簡(jiǎn)介

ARP(Address Resolution Protocol)即地址解析協(xié)議的縮寫，該協(xié)議將網(wǎng)絡(luò)層的IP地址轉(zhuǎn)換為數(shù)據(jù)鏈路層地址。TCP IP協(xié)議中規(guī)定，IP地址為32位，由網(wǎng)絡(luò)號(hào)和網(wǎng)絡(luò)內(nèi)的主機(jī)號(hào)構(gòu)成，每一臺(tái)接入局域網(wǎng)或者Internet的主機(jī)都要配置一個(gè)IP地址。在以太網(wǎng)中，源主機(jī)和目的主機(jī)通信時(shí)，源主機(jī)不僅要知道目的主機(jī)的IP地址，還要知道目的主機(jī)的數(shù)據(jù)鏈路層地址，即網(wǎng)卡的MAC地址，同時(shí)規(guī)定MAC地址為48 位。ARP協(xié)議所做的工作就是查詢目的主機(jī)的IP 地址所對(duì)應(yīng)的MAC地址，并實(shí)現(xiàn)雙方通信。

2 ARP協(xié)議的工作原理

源主機(jī)在傳輸數(shù)據(jù)前，首先要對(duì)初始數(shù)據(jù)進(jìn)行封裝，在該過(guò)程中會(huì)把目的主機(jī)的IP地址和MAC地址封裝進(jìn)去。在通信的最初階段，我們能夠知道目的主機(jī)的IP地址，而MAC地址卻是未知的。這時(shí)如果目的主機(jī)和源主機(jī)在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)會(huì)以第二層廣播的方式發(fā)送ARP請(qǐng)求報(bào)文。ARP請(qǐng)求報(bào)文中含有源主機(jī)的IP地址和MAC地址，以及目的主機(jī)的IP地址。當(dāng)該報(bào)文通過(guò)廣播方式到達(dá)目的主機(jī)時(shí)，目的主機(jī)會(huì)響應(yīng)該請(qǐng)求，并返回ARP響應(yīng)報(bào)文從而源主機(jī)可以獲取目的主機(jī)的地址同樣目的主機(jī)也能夠獲得源主機(jī)的MAC地址。如果目的主機(jī)和源主機(jī)地址不在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)發(fā)出的IP數(shù)據(jù)包會(huì)送到交換機(jī)的默認(rèn)網(wǎng)關(guān)，而默認(rèn)網(wǎng)關(guān)的MAC地址同樣可以通過(guò)ARP協(xié)議獲取。經(jīng)過(guò)ARP協(xié)議解析IP地址之后，主機(jī)會(huì)在緩存中保存IP地址和MAC地址的映射條目，此后再進(jìn)行數(shù)據(jù)交換時(shí)只要從緩存中讀取映射條目即可。ARP協(xié)議工作原理詳見(jiàn)圖1和圖2。

3 ARP病毒的癥狀

局域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過(guò)ARP攻擊者控制的主機(jī)。其他用戶原來(lái)直接通過(guò)網(wǎng)關(guān)上網(wǎng)，現(xiàn)在卻轉(zhuǎn)由通過(guò)被控主機(jī)轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機(jī)性能和程序性能的影響，這種轉(zhuǎn)發(fā)并不會(huì)非常流暢，因此就會(huì)導(dǎo)致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙需要不停地發(fā)送ARP應(yīng)答包，會(huì)造成網(wǎng)絡(luò)擁塞。

綜上所述在用戶方面表現(xiàn)為計(jì)算機(jī)有時(shí)候無(wú)法正常上網(wǎng)，有時(shí)候又好了，包括訪問(wèn)網(wǎng)上鄰居也是如此，拷貝文件無(wú)法完成，出現(xiàn)錯(cuò)誤;網(wǎng)管員會(huì)發(fā)現(xiàn)局域網(wǎng)內(nèi)的ARP包爆增，使用Arp查詢的時(shí)候會(huì)發(fā)現(xiàn)不正常的Mac地址，或者是錯(cuò)誤的Mac地址對(duì)應(yīng)，還有就是一個(gè)Mac地址對(duì)應(yīng)多個(gè)IP的情況也會(huì)有出現(xiàn)。

在網(wǎng)絡(luò)設(shè)備上來(lái)說(shuō)由于ARP病毒機(jī)使用網(wǎng)關(guān)IP地址和自己的MAC地址向本網(wǎng)段主機(jī)廣播，所以必然會(huì)在三層交換機(jī)的日志上出現(xiàn)IP地址沖突的記錄。同時(shí)病毒機(jī)還會(huì)和所有主機(jī)沖突，造成網(wǎng)段內(nèi)計(jì)算機(jī)出現(xiàn)依次瞬斷，時(shí)斷時(shí)續(xù)的現(xiàn)象出現(xiàn)，當(dāng)然這也會(huì)在三層交換機(jī)的日志中留下相應(yīng)的記錄。

4 ARP欺騙攻擊的實(shí)現(xiàn)過(guò)程

4.1 網(wǎng)段內(nèi)的ARP欺騙攻擊

ARP欺騙攻擊的核心就是向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答，并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP與 MAC間的映射對(duì)，并以此更新目標(biāo)主機(jī)緩存。設(shè)在同一網(wǎng)段的三臺(tái)主機(jī)分別為A，B，C，詳見(jiàn)表1。

假設(shè)A與B是信任關(guān)系，A欲向B發(fā)送數(shù)據(jù)包。攻擊方C通過(guò)前期準(zhǔn)備，可以發(fā)現(xiàn)B的漏洞，使B暫時(shí)無(wú)法工作，然后C發(fā)送包含自己MAC地址的ARP應(yīng)答給A。由于大多數(shù)的操作系統(tǒng)在接收到ARP應(yīng) 答后會(huì)及時(shí)更新ARP緩存，而不考慮是否發(fā)出過(guò)真 實(shí)的ARP請(qǐng)求，所以A接收到應(yīng)答后，就更新它的ARP緩存，建立新的IP和MAC地址映射對(duì)，即B的 IP地址10. 10. 100. 2對(duì)應(yīng)了C的MAC地址00-E0 4C-33-33-33。這樣，導(dǎo)致A將發(fā)往B的數(shù)據(jù)包發(fā)向 了C，但A和B卻對(duì)此全然不知，因此C就實(shí)現(xiàn)對(duì)A 和B的監(jiān)聽(tīng)。

4.2 跨網(wǎng)段的ARP欺騙攻擊

跨網(wǎng)段的ARP欺騙比同一網(wǎng)段的ARP欺騙要 復(fù)雜得多，它需要把ARP欺騙與ICMP重定向攻擊 結(jié)合在一起。假設(shè)A和B在同一網(wǎng)段， C在另一網(wǎng)段，詳見(jiàn)表2。

首先攻擊方C修改IP包的生存時(shí)間，將其延 長(zhǎng)，以便做充足的廣播。然后和上面提到的一樣，尋 找主機(jī)B的漏洞，攻擊此漏洞，使主機(jī)B暫時(shí)無(wú)法工 作。此后，攻擊方C發(fā)送IP地址為B的IP地址10. 10.100.2，MAC地址為C的MAC地址00-E0-4C-33 33-33的ARP應(yīng)答給A。A接收到應(yīng)答后，更新其 ARP緩存。這樣，在主機(jī)A上B的IP地址就對(duì)應(yīng)C 的MAC地址。但是，A在發(fā)數(shù)據(jù)包給B時(shí)，仍然會(huì)在局域網(wǎng)內(nèi)尋找10. 10. 100. 2的MAC地址，不會(huì)把包發(fā)給路由器，這時(shí)就需要進(jìn)行ICMP重定向，告訴主機(jī)A到10. 10. 100. 2的最短路徑不是局域網(wǎng)，而是路由，請(qǐng)主機(jī)重定向路由路徑，把所有到10. 10. 100.2的包發(fā)給路由器。主機(jī)A在接受到這個(gè)合理 的ICMP重定向后，修改自己的路由路徑，把對(duì)10. 10.100.2的數(shù)據(jù)包都發(fā)給路由器。這樣攻擊方C就 能得到來(lái)自內(nèi)部網(wǎng)段的數(shù)據(jù)包。

5 ARP欺騙攻擊安全防范策略

5.1 用戶端綁定

在用戶端計(jì)算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP和 MAC地址。

1)首先，要求用戶獲得交換機(jī)網(wǎng)關(guān)的IP地址和MAC地址，用戶在DOS提示符下執(zhí)行arp -a命令， 具體如下:

C: \\Documents and Settings\\user>arp -a

Interface 10.10.100.1---0x2

InternetAddressPhysicalAddressType

10.10.100.25400-40-66-77-88-d7dynamic

其中10. 10. 100. 254和00-30-6d-bc-9c-d7分別為網(wǎng)關(guān)的IP地址和MAC地址，因用戶所在的區(qū)域、 樓體和交換機(jī)不同，其對(duì)應(yīng)網(wǎng)關(guān)的IP地址和MAC地 址也不相同。

2)編寫一個(gè)批處理文件arp. bat，實(shí)現(xiàn)將交換機(jī)網(wǎng)關(guān)的MAC地址和網(wǎng)關(guān)的IP地址的綁定，內(nèi)容如下:

@ echo off

Arp -d

Arp -s10.10.100.25400-40-66-77-88-d7

用戶應(yīng)該按照第一步中查找到的交換機(jī)網(wǎng)關(guān)的 IP地址和MAC地址，填入arp -s后面即可，同時(shí)需要將這個(gè)批處理軟件拖到“windows—開(kāi)始—程序—啟 動(dòng)”中，以便用戶每次開(kāi)機(jī)后計(jì)算機(jī)自動(dòng)加載并執(zhí)行該批處理文件，對(duì)用戶起到一個(gè)很好的保護(hù)作用。

5.2 網(wǎng)管交換機(jī)端綁定

在核心交換機(jī)上綁定用戶主機(jī)的IP地址和網(wǎng)卡的MAC地址，同時(shí)在邊緣交換機(jī)上將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。

1)IP和MAC地址的綁定。在核心交換機(jī)上將所有局域網(wǎng)絡(luò)用戶的IP地址與其網(wǎng)卡MAC地址一一對(duì)應(yīng)進(jìn)行全部綁定。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進(jìn)行流量的盜取。具體實(shí)現(xiàn)方法如下(以AVAYA三層交換機(jī)為例):

P580(Configure)#arp 10. 10. 100. 100:E0: 4C: 11: 11:11 P580(Configure)#arp 10. 10. 100. 200:E0: 4C: 22: 22:22 P580(Configure)#arp 10. 10. 200.3 00:E0:4C: 33: 33:33

2)MAC地址與交換機(jī)端口的綁定。根據(jù)局域網(wǎng)絡(luò)用戶所在的區(qū)域、樓體和用戶房間所對(duì)應(yīng)的交換機(jī)端口號(hào)，將用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定。此方案可以防止非法用戶隨意接入網(wǎng) 絡(luò)端口上網(wǎng)。網(wǎng)絡(luò)用戶如果擅自改動(dòng)本機(jī)網(wǎng)卡的MAC地址，該機(jī)器的網(wǎng)絡(luò)訪問(wèn)將因其MAC地址被交換機(jī)認(rèn)定為非法而無(wú)法實(shí)現(xiàn)上網(wǎng)，自然也就不會(huì)對(duì)局域網(wǎng)造成干擾了。具體操作如下(以AVAYA二層邊緣交換機(jī)為例):

console> (enable) lock port1/1

console> (enable) addmac 00:E0:4C:11:11:11 1

Address 00:E0: 4C: 11: 11: 11 was added to the secure list!

console> (enable) lock port1/2

console> (enable) addmac 00:E0:4C:22:22:22 2

Address 00:E0: 4C: 22: 22: 22 was added to the secure list!

console> (enable) lock port1/3

console> (enable) addmac 00:E0:4C:33:33:33 3

Address 00:E0: 4C: 33: 33: 33 was added to the secure list!

console> (enable) show cam

VLANDesMt AC/RouteDesDestination Port

100:E0:4C:11:11:111/1

100:E0:4C:22:22:221/2

100:E0:4C:33:33:331/3

5.3 采用VLAN技術(shù)隔離端口

局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)本單位網(wǎng)絡(luò)的拓卜結(jié)構(gòu)，具體規(guī)劃出若干個(gè)VLAN，當(dāng)管理員發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò)，或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)管理員可利用技術(shù)手段首先查找到該用戶所在的交換機(jī)端口，然后將該端口劃一個(gè)單獨(dú)的VLAN將該用戶與 其它用戶進(jìn)行物理隔離，以避免對(duì)其它用戶的影響。當(dāng)然也可以利用將交換機(jī)端口Disable掉來(lái)屏蔽該用戶對(duì)網(wǎng)絡(luò)造成影響，從而達(dá)到安全防范的目的。

6 局域網(wǎng)內(nèi)ARP病毒捕殺實(shí)例

某學(xué)校的局域網(wǎng)總是不穩(wěn)定，連連出現(xiàn)斷網(wǎng)的現(xiàn)象。網(wǎng)段10.218.102.129--10.218.102.254。根據(jù)局域網(wǎng)內(nèi)計(jì)算機(jī)頻繁掉線的現(xiàn)象，分析認(rèn)為分場(chǎng)內(nèi)的某臺(tái)電腦可能中了“ARP”的病毒，于是便在局域網(wǎng)內(nèi)展開(kāi)了ARP病毒捕殺過(guò)程。

6.1 找出病毒的根源

首先登陸到核心三層交換機(jī)上，由于是星形網(wǎng)絡(luò)，所有網(wǎng)關(guān)地址都集中在三層交換機(jī)上，通過(guò)查看交換機(jī)日志就可以看見(jiàn)IP沖突記錄。ARP病毒一旦開(kāi)始攻擊會(huì)導(dǎo)致局域網(wǎng)中多數(shù)計(jì)算機(jī)都不能上網(wǎng)，當(dāng)然也不能登錄交換機(jī)(不在同一

VLAN)，通過(guò)交換機(jī)日志遠(yuǎn)程查找病毒源是最快捷有效的方法。

通過(guò)日志可以明顯看出有一個(gè)MAC地址是0050-BAA4-4B10的計(jì)算機(jī)和10.218.102網(wǎng)段內(nèi)的計(jì)算機(jī)挨著沖突，此MAC地址應(yīng)該就是病毒機(jī)的網(wǎng)卡地址。處理辦法如下:首先打開(kāi)局域網(wǎng)一臺(tái)電腦，在客戶端使用arp命令綁定網(wǎng)關(guān)的真實(shí)MAC地址命令如下:

Arp -d(先清除錯(cuò)誤的ARP表)

arp s 10.218.102.254 00-e0-03-03-03-03(靜態(tài)指定網(wǎng)關(guān)的MAC地址)

隨后下載了一款名為“Anti Arp Sniffer”的工具，這是一款A(yù)RP防火墻軟件，該軟件通過(guò)在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包來(lái)獲取中毒電腦的IP地址和MAC地址。此外，該軟件能有效攔截ARP病毒的攻擊，保障該電腦數(shù)據(jù)流向正確。使用“Anti Arp Sniffer”查找感染毒電腦時(shí)，啟動(dòng)該程序，隨后在右側(cè)的“網(wǎng)關(guān)地址”項(xiàng)中輸入該局域網(wǎng)內(nèi)的網(wǎng)關(guān)IP，隨后單擊“枚取MAC”這是該出現(xiàn)會(huì)自動(dòng)獲取到網(wǎng)關(guān)電腦網(wǎng)卡的MAC地址。MAC獲取后單擊“自動(dòng)保護(hù)”按鈕，這樣“Anti Arp Sniffer”便開(kāi)始監(jiān)視通過(guò)該網(wǎng)關(guān)上網(wǎng)的所有電腦了。片刻功夫，看到系統(tǒng)的任務(wù)欄中的“Anti Arp Sniffer”圖標(biāo)上彈出一個(gè)“ARP欺騙數(shù)據(jù)包”提示信息。這就說(shuō)明該軟件已經(jīng)偵測(cè)到ARP病毒。于是打開(kāi)“Anti Arp Sniffer”程序的主窗口，在程序的“欺騙數(shù)據(jù)詳細(xì)記錄”列表中看到一條信息，這就是“Anti Arp Sniffer”程序捕獲的ARP病毒信息。其中“網(wǎng)關(guān)IP地址”和“網(wǎng)關(guān)MAC地址”兩項(xiàng)中是網(wǎng)關(guān)電腦的的真實(shí)地址，后面的欺騙機(jī)MAC地址就是中ARP病毒的MAC地址。ARP病毒將該局域網(wǎng)的網(wǎng)關(guān)指向了這個(gè)IP地址，導(dǎo)致其他電腦無(wú)法上網(wǎng)。

6.2 獲取欺騙機(jī)IP

知道MAC地址后，就可直接通過(guò)IP地址工具查看尋找IP及計(jì)算機(jī)名。

6.3 清除ARP病毒

順藤摸瓜，通過(guò)IP地址有找到了感染病毒的電腦，首先就是將這臺(tái)電腦斷網(wǎng)，隨后在該電腦上運(yùn)行“ARP病毒專殺”包中的“TSC.EXE”程序，該程序運(yùn)行后，自動(dòng)掃描電腦中的ARP病毒，功夫不大就將該電腦上的ARP病毒清除了。

6.4 ARP病毒預(yù)防措施

對(duì)于計(jì)算機(jī)來(lái)說(shuō)，預(yù)防措施是保證自己計(jì)算機(jī)正常運(yùn)行的主要手段，在日常工作中我們要作到以下幾個(gè)方面才能更有效的遏制病毒的蔓延，保護(hù)我們工作的正常進(jìn)行。

1)及時(shí)升級(jí)客戶端的操作系統(tǒng)和應(yīng)用程式補(bǔ)丁;

2)安裝和更新殺毒軟件。

3)如果網(wǎng)絡(luò)規(guī)模較少，盡量使用手動(dòng)指定IP設(shè)置，而不是使用DHCP來(lái)分配IP地址。

4)如果交換機(jī)支持，在交換機(jī)上綁定MAC地址與IP地址。(不過(guò)這個(gè)實(shí)在不是好主意)

5)網(wǎng)絡(luò)管理員定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行巡檢，對(duì)與日志中的IP沖突記錄要多加注意。

6)在路由器上做IP地址與MAC地址的靜態(tài)綁定。

7)最主要是要提高用戶的安全意識(shí)，養(yǎng)成良好的安全習(xí)慣，包括:及時(shí)安裝系統(tǒng)補(bǔ)丁程序;為系統(tǒng)設(shè)置強(qiáng)壯的密碼;安裝防火墻;安裝有效的殺毒軟件并及時(shí)升級(jí)病毒庫(kù);不主動(dòng)進(jìn)行網(wǎng)絡(luò)攻擊，不隨便運(yùn)行不受信任的軟件。

7 結(jié)束語(yǔ)

網(wǎng)絡(luò)欺騙攻擊作為一種非常專業(yè)化的攻擊手段，給網(wǎng)絡(luò)安全管理者帶來(lái)了嚴(yán)峻的考驗(yàn)。ARP欺騙是一種典型的欺騙攻擊類型，它利用了ARP協(xié)議存在的安全隱患，并使用一些專門的攻擊工具，使得這種攻擊變得普及并有較高的成功率。文中通過(guò)分析ARP協(xié)議的工作原理，探討了ARP協(xié)議從IP地址到MAC地址解析過(guò)程中的安全性，給出了網(wǎng)段內(nèi)和跨網(wǎng)段ARP欺騙的實(shí)現(xiàn)過(guò)程，提出了幾種常規(guī)可行的解決方案，如在用戶計(jì)算機(jī)上綁定交換機(jī)網(wǎng)關(guān) 的IP地址和MAC地址、在交換機(jī)上綁定用戶主機(jī)的 IP地址和網(wǎng)卡的MAC地址或綁定用戶計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口、VLAN隔離等技術(shù)。如果多種方案配合使用，就可以最大限度的杜絕ARP 欺騙攻擊的出現(xiàn)。總之，對(duì)ARP欺騙的網(wǎng)絡(luò)攻擊，不僅需要用戶自身做好防范工作之外，更需要網(wǎng)絡(luò)管理員應(yīng)該時(shí)刻保持高度警惕，并不斷跟蹤防范欺騙類攻擊的最新技術(shù)，做到防范于未然。

參考文獻(xiàn):

[1] 鄧清華，陳松喬.ARP欺騙攻擊及其防范[J].微機(jī)發(fā)展，2004，14(8):126-128.

[2] 孟曉明.基于ARP的網(wǎng)絡(luò)欺騙的檢測(cè)與防范[J].信息技術(shù)，2005，(5):41-44.

[3] 徐功文，陳曙，時(shí)研會(huì).ARP協(xié)議攻擊原理及其防范措施[J].網(wǎng)絡(luò)與信息安全，2005，(1): 4-6.

[4] 張海燕.ARP漏洞及其防范技術(shù)[J].網(wǎng)絡(luò)安全，2005，(4): 40~42.

[5] 王佳，李志蜀.基于ARP協(xié)議的攻擊原理分析[J].微電子學(xué)與計(jì)算機(jī)，2004，21(4):10-12.