某試驗中心局域網常見ARP故障分析及診斷方法研究

摘要： 隨著局域網在科研試驗中應用越來越廣泛，為了解決科研試驗局域網中ARP病毒廣為傳播造成用戶信息被盜竊、網絡斷線、網絡不穩、阻塞等問題，采用查找攻擊源，在MAC和IP的層次上，從源頭上消滅ARP病毒的攻擊空間，達到了從根本上杜絕ARP攻擊發生的可能性。掌握ARP的攻擊原理以及防御方法，對局域網運行安全具有十分重要的意義。

關鍵字： 局域網； ARP攻擊； ARP病毒； MAC

中圖分類號： TN911?34； TP393.3 文獻標識碼： A 文章編號： 1004?373X（2013）06?0019?03

0 引 言

局域網（Local Area Network）[3]是在一個有限范圍內（如一個公司、學校和單位內），將很多計算機、外部設備和數據庫等相互聯接起來組成的一個網絡通道。它可以通過數據通信網或專用數據電路，與其他的局域網、數據庫或處理中心互相連接，構成一個大范圍的信息處理系統網絡，被稱作局域網，英文簡稱LAN，是指在某一區域內由多臺計算機互聯成的計算機組。地址解析協議（Address Resolution Protocol，ARP）[1]，工作在數據鏈路層， 在本層和硬件接口聯系，同時對上層（網絡層）提供服務。在以太網中，由于以太網設備并不識別32位的IP地址，所以數據包的傳送不是通過IP地址，而是通過48位MAC地址（網卡的物理地址）來完成的。也就是說，在以太網中， 一臺主機要和另一臺主機進行直接通信， 必須要知道目標主機的MAC地址。但這個目標主機的MAC地址如何獲得呢，它就是通過地址解析協議（ARP）獲得的ARP協議用于將網絡中的IP地址解析為MAC地址， 以保證通信的順利進行。而在TCP/IP協議中，網絡層和傳輸層只關心目標主機的IP地址。這就導致在以太網中使用IP協議時，數據鏈路層的以太網協議接到上層IP協議提供的數據中，只包含目的主機的IP地址。于是需要一種方法，根據目的主機的IP地址，獲得其MAC地址。這就是ARP協議要做的事情。所謂地址解析（Address Resolution）就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。

認識了局域網和ARP的相關知識，就從根本上解決ARP病毒攻擊提供了理論基礎。

1 ARP的攻擊

每臺安裝TCP/IP協議的電腦主機都有一個ARP高速緩存[1]，存放著其他主機的IP 地址和MAC 地址的映射關系。當源主機需要將一個數據包發送到目的主機時，首先檢查自己ARP列表中是否存在該IP 地址對應的MAC地址，如果存在，就直接將數據包發送到該MAC地址；如果沒有，就向本地網段發起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP廣播包有源主機的IP 地址、硬件地址以及目的主機的IP地址等。網絡中所有的主機收到這個ARP請求后，會自動檢查該包中的目的IP是否和自己的IP 地址一致，如果不同就忽略此數據包；如果相同，該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經存在該IP的信息，則將其覆蓋，然后給源主機發送一個ARP響應數據包，告訴對方自己是其需要查找的MAC 地址。源主機收到這個ARP響應數據包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP 列表中，并利用此信息開始數據傳輸。如果源主機一直沒有收到ARP響應數據包，則表示ARP 查詢失敗。

ARP 攻擊是指攻擊者利用地址解析協議本身的運行機制而發動的攻擊行為，包括對主機發動IP 沖突攻擊、數據包轟炸、切斷局域網上任何一臺主機的網絡連接等。

ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP?MAC條目，造成網絡中斷或中間人攻擊。

ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其他計算機的通信信息，并因此造成網內其他計算機的通信故障。

基于ARP協議的這一工作特性，黑客向對方計算機不斷發送有欺詐性質的ARP數據包，數據包內包含有與當前設備重復的MAC地址，使對方在回應報文時，由于簡單的地址重復錯誤而導致不能進行正常的網絡通信。一般情況下，受到ARP攻擊的計算機會出現兩種現象：

（1）不斷彈出“本機的0～255段硬件地址與網絡中的0～255段地址沖突”的對話框；

（2）計算機不能正常上網，出現網絡中斷的癥狀。

2 處理ARP攻擊

2.1 NBTSCAN查詢處理法

3 結 語

局域網病毒是網絡發展到一定規模的產物， 它的能量極大， 但它的危害性又取決于人們對它的認識、關注和防范的程度。因此， 樹立和健全必要的前瞻性局域網防范意識和防范措施非常必要。由于大部分黑客對網絡系統十分熟悉， 他們對網絡的攻擊能力、手法與日俱增， 其陣營日益擴大。因此加快網絡立法和建立良好的網絡運行機制， 有針對性地引進先進局域網的防范技術和研究應對策略， 開發更新的局域網的防范體系， 加強前瞻性局域網的防范意識和措施， 不斷完善和提高局域網自身的管理水平十分必要。

參考文獻

[1] 佚名.局域網[EB/OL].[2011?04?30].http：//zh.wikipedia.org/wiki/%E5%B1%80%E5%9F%9F%E7%BD%91.

[2] 佚名.飛信[EB/OL].[2011?04?30].http：//zh.wikIPedia.org/wiki/%E9%A3%9E%E4%BF%A1.

[3] Anon.ARP [EB/OL]. [2011?04?30].http：//zh.wikipedia.org/wiki/ARP.

[4] 羅永昌，王基一.ARP攻擊原理及局域網防范[J].商丘職業技術學院學報，2008（2）：42?45.

[5] 吳慧敏.局域網ARP欺騙攻擊及防御方案[J].電腦知識與技術，2008（5）：869?871.

[6] 陳博超.關于對局域網IP沖突的研究[J].軟件導刊，2010（2）：111?112.

[7] 徐連霞.ARP攻擊識別及防范措施[J].寧波職業技術學院學報，2009（2）：99?102.

[8] 張耀輝.ARP地址欺騙及防范措施的探討[J].長沙通信職業技術學院學報，2007（3）：46?49.

[9] 何家棟，楊銘，劉欣.ARP攻擊的定位與防范[J].計算機光盤軟件與應用，2011（6）：91.

[10] 呂燁.高手教你如何清除局域網中的ARP病毒[EB/OL].[2007?05?25].http：//www.ctocio.com.cn.

[11] 孫新英.論局域網的安全管理策略[J].電腦知識與技術，2009（5）：5363?5364.