校園網(wǎng)ARP欺騙機(jī)理的研究

摘要：本文首先分析了ARP協(xié)議及其存在的漏洞，ARP欺騙原理和方式方法，并對(duì)比了現(xiàn)有的檢測(cè)、定位和防范方法的優(yōu)缺點(diǎn)，然后著重講述了現(xiàn)有網(wǎng)絡(luò)入侵的防范方法，從而更有效地防范校園網(wǎng)中ARP的欺騙現(xiàn)象。

關(guān)鍵詞：ARP；規(guī)則；檢測(cè)

中圖分類(lèi)號(hào)：G642.0？搖 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1674-9324（2013）26-0250-02

ARP協(xié)議簡(jiǎn)介

互聯(lián)網(wǎng)是由許多的物理網(wǎng)絡(luò)和一些如路由器和網(wǎng)關(guān)的互聯(lián)設(shè)備組成，發(fā)送的分組數(shù)據(jù)在到達(dá)目的主機(jī)之前可能要經(jīng)過(guò)許多不同的物理網(wǎng)絡(luò)。在網(wǎng)絡(luò)層上，主機(jī)和路由器用它們的邏輯地址來(lái)標(biāo)識(shí)，邏輯地址就是一個(gè)IP地址。而在數(shù)據(jù)鏈路層上，主機(jī)、交換機(jī)等網(wǎng)絡(luò)設(shè)備用他們的物理地址來(lái)標(biāo)識(shí)。物理地址是本地地址，例如以太網(wǎng)和令牌環(huán)中的48位的MAC地址，它被寫(xiě)入在自己主機(jī)的網(wǎng)卡上。也就是說(shuō)IP地址是提供路徑選擇的依據(jù)，而MAC地址則是具體的通信地址。

在計(jì)算機(jī)領(lǐng)域中，ARP全稱(chēng)為Address Resolution Protocol，可以把PC電腦的邏輯IP地址轉(zhuǎn)變成PC電腦的物理地址，主要作用是電腦先找網(wǎng)絡(luò)中的目的邏輯地址，通過(guò)它找到網(wǎng)絡(luò)中的物理地址，以便完成網(wǎng)絡(luò)上的正常通信。我們每臺(tái)電腦都應(yīng)該有一個(gè)TCP協(xié)議，里面有ARP表，以便我們用戶(hù)查詢(xún)，并且里面的邏輯地址和物理地址是對(duì)應(yīng)關(guān)系的，如下圖所示。所以說(shuō)ARP的運(yùn)行過(guò)程是離不開(kāi)這個(gè)表的，它的里面詳細(xì)記錄了用戶(hù)電腦通過(guò)網(wǎng)絡(luò)通信時(shí)別的電腦與其通信過(guò)的物理地址的對(duì)應(yīng)關(guān)系，以及在一般的局域網(wǎng)傳輸中需要查找物理地址時(shí)ARP的工作過(guò)程，如圖1.1所示：

隨著ARP欺騙病毒的發(fā)展，相應(yīng)的防御方式也有了很大的進(jìn)步，出現(xiàn)了很多的安全方式，雖然不能徹底解決問(wèn)題，但是在問(wèn)題研究上已經(jīng)取得了巨大的進(jìn)步。下面是現(xiàn)有防范方法的分類(lèi)：

1.在連接端設(shè)備應(yīng)用PVLAN。計(jì)算機(jī)上的病毒清理要是只用人為的查殺電腦主機(jī)的病毒顯然力不從心，應(yīng)該再有一些其它設(shè)備來(lái)幫助查殺和防范。APR病毒的傳播主要是同一網(wǎng)絡(luò)的電腦主機(jī)，根據(jù)這個(gè)原則我們只要把網(wǎng)絡(luò)的虛擬局域網(wǎng)劃分的范圍小些，每個(gè)虛擬局域網(wǎng)給兩個(gè)網(wǎng)絡(luò)段，分別是電腦主機(jī)和電腦網(wǎng)關(guān)，這樣ARP病毒就不容易擴(kuò)散。可是它也有弊端，就是我們的網(wǎng)絡(luò)段邏輯地址的分配會(huì)有嚴(yán)重的浪費(fèi)而且也會(huì)給路由器的配置帶來(lái)一定的困難。在我們用戶(hù)眾多的校園網(wǎng)絡(luò)中，這樣的操作是不可行的。

2.在主交換機(jī)上把網(wǎng)絡(luò)上的邏輯地址與物理地址綁定。上面第一點(diǎn)的操作可以暫時(shí)防止ARP病毒的傳播，可是假設(shè)別的電腦的邏輯地址和不正確的物理地址來(lái)欺騙默認(rèn)網(wǎng)關(guān)，那么網(wǎng)關(guān)會(huì)分辨不出真假。由此看來(lái)網(wǎng)絡(luò)的安全必須應(yīng)該由邏輯地址和物理地址共同作用建立起來(lái)，這樣網(wǎng)絡(luò)才能更安全可靠。把電腦的邏輯地址和物理地址綁定后不再有變化和變動(dòng)，就可以讓真正需要訪問(wèn)的電腦找到所對(duì)應(yīng)的真實(shí)物理地址，從而防止ARP的病毒傳播和避免其它電腦欺詐默認(rèn)網(wǎng)關(guān)地址。

3.使用交換機(jī)的控制訪問(wèn)列表。使用控制訪問(wèn)列表ACL規(guī)則把欺詐默認(rèn)網(wǎng)關(guān)的ARP病毒篩選出來(lái)，也就是說(shuō)在配置交換機(jī)控制列表的時(shí)候，把源邏輯地址指向默認(rèn)網(wǎng)關(guān)的地址，再把源物理地址指向默認(rèn)網(wǎng)關(guān)地址，其它要訪問(wèn)默認(rèn)網(wǎng)關(guān)的邏輯和物理地址都一概過(guò)濾掉，就剩下真實(shí)訪問(wèn)的地址以便保證電腦正常訪問(wèn)默認(rèn)網(wǎng)關(guān)。

4.采用專(zhuān)門(mén)的ARP地址映射服務(wù)器。當(dāng)網(wǎng)絡(luò)內(nèi)主機(jī)之間通信時(shí)先到ARP服務(wù)器取得目標(biāo)主機(jī)的MAC地址。但是這種方法造成硬件上的多投入，同時(shí)還得安裝相應(yīng)程序。