計算機網絡安全防ARP攻擊的研究

茹金平 王艷杰

摘 要 當今，隨著社會的快速發展，計算機網絡已經普及到各個領域，隨之網絡的安全性和可靠性擺在了網絡技術的首要位置。目前ARP 攻擊是計算機網絡安全面臨的一大安全隱患，本文從ARP攻擊的原理、特點及受到ARP 攻擊的癥狀等方面進行分析，提出了計算機網絡安全防ARP攻擊的安全策略，對提升計算機網絡系統綜合安全效能，實現穩定高效運行有積極的促進作用。

關鍵詞 計算機網絡安全 ARP 安全策略

中圖分類號：TP393.08 文獻標識碼：A

1 ARP攻擊的基本原理

1.1 ARP攻擊的理論依據

ARP攻擊，是針對以太網ARP協議的一種攻擊技術，通過偽造IP地址和MAC 地址實現ARP 欺騙，在計算機網絡中產生大量的ARP通信量使網絡阻塞。盜用IP地址實現對目標MAC地址的攻擊，出現多個地址對應一個MAC地址的現象，從而達到對計算機網絡進行攻擊的目的。

1.2 ARP攻擊的特點

（1）隱蔽性：傳統的防御手段，人們可以通過IP地址沖突進行判斷，并采取防御措施，但是ARP攻擊不會造成計算機系統的任何明顯變化這就給防御技術帶來了很大難度，具有很強的隱蔽性。（2）網絡阻塞性：ARP攻擊通過偽造IP地址和MAC 地址，能夠在網絡中產生大量的ARP通信量使網絡阻塞，通訊能力被嚴重破壞。（3）不易消除性：ARP攻擊的危害是非常難于對付和消除，這樣就增加了計算機網絡管理員維護計算機網絡安全的難度。

1.3 ARP攻擊的危害

按照ARP欺騙帶來的危害性質可分為四大類：網絡異常、數據竊取、數據篡改、非法控制。具體表現如下：網絡異常，計算機網絡的網速時快時慢，極其不穩定， 導致網絡的通訊質量不穩定，具體表現為頻繁的掉線、IP沖突；數據竊取，經常引起的后果是個人隱私泄露、賬號被盜；數據篡改，則是訪問的內容被添加惡意內容，比如木馬等；非法控制，主要表現為網絡速度、網絡訪問，受到第三方非法控制或者限制。

2 防ARP攻擊的網絡安全策略

2.1 判斷是否受到ARP攻擊的方法

及時、有效、正確的判斷出局域網內部是否存在ARP攻擊，是降低ARP對網絡攻擊的有效途徑。要求計算機網絡管理員定時對局域網進行檢測，一旦發現網絡狀態異常，就必須進入MS - DOS窗口并輸入ARP-a命令，檢驗局域網內所有IP地址中的MAC 地址的內容，通過比對找出局域網內部受到攻擊的計算機，并將其鎖定。

2.2 個人用戶防ARP攻擊辦法

對于個人用戶而言，要養成良好的上網習慣，并具備一定的安全意識。給個人電腦選擇安裝一個有效的殺毒軟件和防火墻。在使用U盤、光盤、軟盤等移動存儲器前先進行病毒掃描，并且定期給個人電腦進行殺毒，以及打系統補丁，關閉不必要的端口等。

2.2.1 簡單防ARP攻擊安全策略

這種策略對計算機水平要求不是很高，可以暫時消除故障， 但不能持久，適合計算機技術水平不高的人員，具體方法如下：（1）重啟計算機：由于計算機的重啟使ARP 攻擊失去了環境。（2）網絡設備復位：使設備恢復到出廠時的配置。（3）禁用網卡： ARP攻擊也就沒了目標，攻擊失敗。

2.2.2 ARP防火墻防ARP攻擊安全策略

ARP防火墻技術的主要功能是：（1）計算機獲取的網關MAC地址是合法的、網關獲取的計算機MAC 地址是合法的，即在計算機被動的防ARP攻擊而不受假的ARP 數據包影響，過濾假的ARP數據包，保證本計算機獲取的網關MAC 地址是正確的。（2）主動防御功能，向網關通告本計算機的正確MAC 地址，保證網關獲取到的本主機MAC 是正確的。

2.3 管理員防ARP攻擊方法

對于網吧經營者，小區局域網維護人員等網絡管理人員而言，防范ARP攻擊，目前主要的辦法有以下幾種：（1）設置靜態的MAC--IP對應表，不讓主機刷新設定好的轉換表；停止使用ARP，將ARP做為永久條目保存在對應表中。（2）使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被攻擊。（3）在主機數目較大的情況下，多采用各類ARP防護軟件，例如Antiarp等。它們除了本身能檢測出ARP攻擊外，還能在一定頻率向網絡廣播正確的ARP信息。這些軟件，一般都有ARP欺騙檢測、IP/MAC清單、主動維護、路由器日志、抓包等功能。（4）目前大多數路由器，都具備防ARP攻擊功能。在網絡組建初期，選用思科等防ARP攻擊能力強的路由器，也能起到很好的防護作用。

3 結束語

計算機網絡在給我們工作帶來方便的同時也帶來了安全隱患，如何在安全的環境下使用計算機網絡已成為社會需求的必然趨勢。本文從目前計算機網絡安全的ARP 攻擊現狀進行分析，提出了防御ARP攻擊常用的辦法，為解決計算機網絡安全方面的問題提供一些解決思路。

參考文獻

[1] 蔡學軍，梁廣民，王隆杰，等.網絡互聯技術.北京：高等教育出版社，2004.

[2] 袁津生，郭敏哲.計算機網絡與安全實用編程.北京：人民郵電出版社，2004.