校園網中的ARP欺騙攻擊及其防護

摘要：ARP病毒是時利用ARP協議的漏洞進行傳播的一類病毒的總稱。這一類病毒對局域網的網絡安全威脅很大，而我們的校園網又是很容易受到這類病毒攻擊的局域網。本文從ARP協議原理出發，根據ARP病毒攻擊原理，提出一些有效的解決方案，對此類攻擊予以防護。

關鍵詞：ARP協議 ARP欺騙

[中圖分類號]：J95[文獻標識碼]：A[文章編號]：1002-2139(2010)-04-0247-01

一、隨著互聯網、局域網的日益普及，校園網的建設對一個學校的教學資源分享，信息化建設也越來越重要。隨著校園網的應用功能日益發展，其在教學、管理工作中的作用越來越重要，同時，校園網的安全問題也越來越受到人們的重視。現在較為流行的木馬病毒主要通過惡意網站、ARP欺騙、個人操作系統的自動運行功能等方法在互聯網、局域網和移動設備上傳播。在校園網中，威脅性較大的是ARP病毒。當校園網內的某臺主機感染ARP病毒后，就會啟動ARP欺騙程序，導致局域網網絡連接時斷時續，眾多網內主機感染此木馬，最終使網絡癱瘓。本文在充分分析該類病毒的運行機制的基礎上，提出了有效的防護此類病毒攻擊的方法。1、ARP協議及其工作原理ARP(Address

Resolution

Protocol，地址解析協議)是一個位于TCP/IP協議棧中的低層協議，負責將某個IP地址解析成對應的MAC地址。在TCP/IP網絡環境下，每個主機都分配了一個32位的IP地址，這種互聯網地址是在網際范圍標識主機的一種邏輯地址。為了讓報文在物理網路上傳送，還必須知道對方目_的主機的物理地址，即MAC地址。這樣就存在把IP地址變換成MAC地址的地址轉換問題。以以太網環境為例，為了正確地向目的主機傳送報文，必須把目的主機的32位IP地址轉換成為48位以太網地址。這就需要在互連層有一組服務將IP地址轉換為相應MAC地址，這組協議就是ARP協議。例如，某主機A要向主機B發送報文，就會查詢主機A本地的ARP緩存表，找到B的IP地址對應的MAC地址后，進行數據傳輸。如果未找到，則A廣播一個ARP請求報文(攜帶主機A的IP地址Ia，及其物理地址Pa)，請求IP地址為Ib的主機B回答其MAc地址Pb。網上所有主機(包括B)都收到ARP請求，但只有主機B識別出自己的IP地址Ib，于是B向A主機發回一個ARP響應報文。其中就包含有B的MAC地址Pb，A接收到B的應答后，就會更新本地的ARP緩存。

然后A就會用這個MAC地址向B傳送數據。所以，本地網絡數據傳遞的基礎就是本地緩存的這個AXP表，而且這個緩存是動態的。

二、ARP欺騙做為黑客慣用攻擊手段，分為兩種：一種是對路由器ARP表進行欺騙：一種是對內肉PC的網關進行欺騙。而第二種欺騙手段

是該類木馬病毒常用的伎倆，其原理是——偽造網關，此時，發起攻擊的主機會建立假網關，數據已經是被它欺騙的PC發送的了，并不是通過路由器正常途徑上網。

例如，當局域網中某用戶C已經被感染木馬，再向A發送假的ARP應答時，IP地址已經是C冒充B偽造的了，而MAC地址卻是C偽造的了。

一旦C假造的ARP應答傳送到A時，本地的ARP緩存就會得到更新，然而從A的角度看來B的IP地址并沒有發生改變，而它的MAC地址早已經變了。由于IP地址并不控制局域網的網絡數據，而是根據MAC地址進行傳送，因此，A向B發送的數據就會發往那個偽造出來的MAC地址，這樣就會造成數據被C截獲。如果B是路由器的話，則A就必須通過C來連接外網。這就是一個簡單的ARP欺騙。

三、ARP病毒校園網中常見的ARP病毒主要是利用ARP欺騙進行攻擊的木馬、病毒，主要目的是通過ARP欺騙，充當中間人，截取其他主機與網關之間的通信，進而獲取其他用戶的信息，例如用戶名、密碼等。同時己受感染的主機會試圖感染局域網內更多的主機，從而截取更多的用戶信息，反饋給木馬發布者。在不斷感染的惡性循環下，可能導致更多的信息泄露及局域網崩潰。常規來說，大面積掉線主要是因為APP欺騙攻擊的后果。當局域網內有某臺電腦運行了此類ARP欺騙的本馬的時候，

原本是通過路由器上網，現在就會通過病毒主機上網，切換的時候該用戶會出現斷線現象。

當切換到病毒主機上網之后，一旦用戶登陸了服務器，病毒主機就會出現斷線的假像，迫使用戶重新登錄服務器，以致病毒主機可以通過截取數據來盜取用戶名和密碼了。

用戶會發現網速越來越慢，是因為ARP欺騙的木馬運行時會發出大量的數據包而堵塞局域網通訊，

當木馬程序停止運行時，用戶就又恢復到之前的路由器上網了，在此過程中用戶會再一次斷線。

校園網中，某一子網只要有一臺或一臺以上這樣感染病毒的主機，就會使其他人上網斷斷續續，嚴重時將使整個網絡癱瘓。這種病毒以竊取已感染病毒機器和同一子網內其它主機上的用戶帳號和密碼為目的，而且它發的是ARP報文，具有一定的隱秘性，如果占系統資源不是很大，又無防病毒軟件監控，一般用戶不易察覺。4、ARP欺騙的防護在局域網內，要找出已感染病毒的主機，并查殺病毒。

全網會不斷的接收到ARP病毒主機發送的欺騙廣播，致使局域網中的其它主機自動更新自身的ARP緩存表，更換成ARP病毒主機的MAC地址，這時，只要在其它受影響的主機中搜索一下當前網關的MAC地址，就會查到中毒主機的MAC地址了。

對于局域網內已經中毒的主機要進行徹底殺毒。然后，建議采用雙向綁定的方法來解決和防止ARP欺騙，即在電腦上綁定路由器的IP和MAC地址。首先，打開命令提示符。輸入“ar-a”命令，獲得路由器的內網的地址。例如：網關的IP地址為192.168.0.1，其MAC地址為0123ab4567cd。然后，編寫一個批處理文件，內容如下：Oecho off ar-d ar-s 192.168.0.101-23-ab-45-67-cd將其保存為ar.bat，則該文件將ARP表中網關的IP和MAC地址更改為指定的靜態網關IP和MAC。由于靜態綁定網關地址會在關機后失效，所以，需要讓這個文件開機運行，例如，將其拖到“開始－程序－啟動”。這樣就可以保證每次開機時就會重新綁定一次網關IP和MAC地址。最后。給網內所有主機裝上ARP防火墻。市面上有眾多的ARP防火墻，筆者推薦使用360安全衛士附帶的ARP防火墻。5、結束語校園網中常見的ARP病毒主要是利用ARP欺騙進行攻擊，其主要目的是通過ARP欺騙，截取其他主機與網關之間的通信，進而獲取其他用戶的信息，例如用戶名、密碼等。通過了解ARP欺騙的原理，ARP病毒的攻擊方式，采取適當的應對措施就可以對此類病毒加以針對性的防護，凈化校園網絡環境。