基于計算機網絡安全防ARP攻擊的研究

韓子寅

摘 要：ARP攻擊是計算機網絡安全面臨的主要威脅，如何保護計算機網絡安全，防止其遭受ARP攻擊已經成為網絡完全管理必須研究和解決的問題。本文主要介紹了ARP攻擊理論，在此基礎上探討了ARP防攻擊技術的實現，并提出了ARP病毒攻擊的防范措施，以供參考。

關鍵詞：計算機；網絡安全；ARP攻擊

計算機網絡在給人們帶來極大便利的同時，也因各種網絡攻擊極大地影響了人們的信息安全，在互聯網廣泛應用的大背景下，計算機網絡安全問題已經成為人們關注的焦點之一，同時也是計算機應用技術研究領域的重要課題之一。鑒于ARP攻擊是現階段計算機網絡安全面臨的主要威脅，加強對計算機網絡安全防ARP攻擊的研究，有其必要性和重要的現實意義。

1 ARP攻擊的理論分析

1.1 ARP攻擊的原理和特征

ARP協議（地址轉換協議）是網絡運行的基礎協議之一，其作用是將網絡中的IP地址轉換成MAC地址，以保證通信的正常運行，而該協議并未對ARP報文來源的合法性進行驗證。ARP協議的基礎是信任局域網內所有的人，這就為實現在以太網上的ARP期待帶來的可能，通過偽造目標的IP地址以及查詢目標的MAC地址對ARP實施欺詐行為，即所謂的ARP攻擊。ARP攻擊正是利用了ARP協議設計之初的缺陷，以大量的ARP通信量堵塞網絡，從而達到讓目標主機網絡中斷的目的。

ARP攻擊主要有三大特征，一是隱蔽性，計算機網絡系統并不能對ARP緩存操作的正確性進行有效的判斷，當計算機網絡受到ARP攻擊時并不會出現提示，因此，ARP攻擊具有跟強的隱蔽性；二是堵塞性，這一點很好理解，ARP攻擊的主要手段就是在通信網絡中產生大量的ARP通信數據，其目的就是為了造成網絡系統之間的通信堵塞以影響其通信功能；三是難除性，計算機網絡系統遭受ARP攻擊后，對該病毒的消除是非常困難的[1]。

1.2 ARP攻擊的類型和影響

ARP協議簡單、高效，但是并不安全，攻擊者可以冒充真正的主機發送任意偽造的應答報文，而該應答報文又缺乏認證機制，攻擊者能夠竊取真正主機的通信數據并對其進行攻擊。按照攻擊類型，ARP攻擊可分為仿冒用戶攻擊、仿冒網關攻擊、免費ARP攻擊、代理ARP攻擊以及泛洪攻擊。其中，仿冒用戶攻擊和仿冒網關攻擊是攻擊者采取的主要方式，仿冒用戶攻擊又分為欺騙網關和欺騙其他用戶，欺騙網關是由一個主機向網關設備發送偽造應答報文實現，欺騙其他用戶則是由一個主機向另一個主機發送偽造應答報文實現；仿冒網關攻擊與仿冒用戶攻擊中的欺騙其他用戶的方式大體上相同。

ARP攻擊對計算機網絡的危害極大，不僅會使計算機網絡系統之間無法進行正常連接，使通信功能喪失，還會使計算機中用戶存儲的密碼、個人信息、重要數據被盜竊，給用戶的信息安全和財產安全帶來極大的威脅。ARP攻擊造成的計算機網絡中毒現象主要表現為計算機死機、網絡信號不穩定、用戶信息丟失等。為了有效地防范ARP病毒的攻擊，計算機管理人員非常有必要進行事前預防，避免網絡癱瘓等不良后果發生[2]。

2 ARP防攻擊技術的實現

2.1 網管保護和主動確認功能

根據ARP攻擊的類型，我們可以設計有針對性的防御技術，ARP防攻擊技術需要具備網管保護、主動確認、ARP檢查、ARP固化、報文限速以及ARP防IP報文攻擊等功能。網管保護功能的實現體現在網關設備的端口上，網關對應的交換機收到ARP報文時，網管設備會對報文的IP地址進行合法驗證，一旦收到的報文不合法，就會被丟棄，只有能夠通過驗證的IP地址才會被轉發；主動確認功能的實現體現在網關設備上，這又分為新建表項前的主動確認與更新表項前的主動確認，前者在收到ARP報文時，設備會檢查系統中是否存在與該報文對應的ARP映射關系，后者在收到更新后的ARP報文時，設備會檢查檢查系統中是否存在與該報文對應的更新后的ARP映射關系，然后再進行檢查和處理。

2.2 ARP檢查和ARP固化功能

ARP檢查功能的實現體現在接入層設備上，虛擬局域網（VLAN）開啟ARP檢查后，就會對虛擬局域網內所有的ARP報文進行雙項檢測（用戶合法性檢測和報文有效性檢測），一旦收到的報文未通過檢測，就會被丟棄，只有通過雙項檢測，報文才能從設備端口進行轉發和后續處理，此外，ARP檢測還能對ARP報文進行強制轉發，即在虛擬局域網內，ARP非信任端口收到已經通過雙項檢測的ARP報文，設備會按照具體規則對其進行強制轉發；ARP固化功能的實現體現在系統中ARP的轉換上，即在設備中敲入ARP固化命令，將系統中所有的動態ARP轉換成靜態ARP，以此來防止攻擊者修改ARP地址。

2.3 報文限速和ARP防IP報文攻擊功能

報文限速功能的實現體現在設備端口上，主要是為了防范泛洪攻擊的發生，攻擊者通過主機向設備發送大量偽造ARP報文，使設備無法響應用戶的請求，報文也無法正常轉發，這說明網絡系統遭受了泛洪攻擊，而設備端口配備了報文限速功能，設備就會按照配備的報文速率接收ARP報文，那些在設備可接受范圍以外的速率就會被直接丟棄；ARP防IP報文攻擊功能的實現主要借助源抑制和ARP黑洞路由方法，源抑制方法適用于固定IP地址的攻擊類型，通過設定閥值來對不能解析的IP地址進行處理，ARP黑洞路由方法適用于不固定IP地址的攻擊類型，通過建立相應的黑洞路由表項來對不能解析的IP地址進行處理[3]。

3 ARP病毒攻擊的防范措施

3.1 ARP攻擊的初步防范

ARP攻擊的初步防范主要適用于在計算機方面技術水平一般的普通用戶，這些用戶在計算機受到ARP病毒攻擊時，可以采取暫時性的初步防范措施，如重啟計算機、禁用計算機網卡、網絡設備復位處理、安裝殺毒軟件等，重啟計算機能夠使ARP病毒暫時失去攻擊的環境，從而起到暫時性防范作用，禁用計算機網卡是為了讓ARP病毒無法發現可攻擊的目標，網絡設備復位處理實際上就是恢復網絡設備的出廠復位，安裝殺毒軟件也可以起到預防ARP病毒攻擊的效果。這些是非專業計算機人員采取的防御ARP病毒攻擊的最基本的方法，保護效果不會持續太久。

3.2 采取雙向地址綁定的方法

雙項地址綁定方法是防御ARP病毒攻擊最常用的一種手段，也是實踐環節應用較為廣泛的一類防范措施，通過將IP地址和MAC地址綁定在一起來防止ARP病毒攻擊，這樣即便攻擊者盜取了計算機系統的IP地址，由于MAC地址已經事前進行了修改，這樣反過來就會騙過攻擊者。雙向地址綁定主要考慮到ARP病毒攻擊是對相應的IP地址和MAC地址偽造操作實現的，所要要改變這一單一形式，將相應的IP地址和MAC地址進行一對一的映射操作，使其在實際基礎上進行有效的設置，以防止攻擊者對ARP數據的更改，從而避免ARP欺詐現象的發生[4]。

3.3 應用ARP防火墻

ARP防火墻是專門用于應對ARP病毒攻擊的一種殺毒軟件，其主要功能就是保證計算機獲取的MAC地址和設備網關獲取的MAC地址的合法性，保障數據流的正確，防止計算機和網管受到偽造ARP數據包的干擾。在計算機系統的殺毒軟件中加入ARP防火墻，能夠有效地攔截ARP病毒攻擊和IP沖突，確保通信數據的安全以及網絡的暢通?，F在市場上的主流ARP防火主要有金山ARP防火墻、彩影ARP防火墻、風云防火墻、360ARP防火墻等，如果用戶的操作系統是Windows，建議選用風云防火墻，如果用戶的操作系統是VISTA，建議選用金山ARP防火墻或彩影ARP防火墻。

3.4 開發Socket軟件

Socket軟件系統不僅可以防止ARP病毒的攻擊，還能在ARP攻擊時為用戶提供實時警報，便于用戶及時發現問題，對其進行處理。Socket編程軟件的開發和應用，能夠有效達到防范ARP病毒攻擊的目的，當然，該軟件對計算機網絡管理者提出了較高標準的要求，計算機網絡管理者要能夠對ARP攻擊原理以及Socket編程開發技術有一定的了解[5]。

4 結論

計算機網絡安全問題是計算機應用技術研究領域的一個重要課題，而ARP攻擊又是計算機網絡安全面臨的主要威脅，人們對此關注顯得更為密切，因此，探討ARP攻擊對計算機網絡安全和用戶信息安全的影響，對計算機網絡安全防ARP攻擊的相應措施進行研究，有著重要的現實意義。

[參考文獻]

[1]劉和偉.基于計算機網絡安全防ARP攻擊的研究[J].數字技術與應用.2013，12（5）：224-225.

[2]徐林.論計算機網絡安全的防ARP攻擊的安全策略[J].計算機光盤軟件與應用.2013，17（10）：164-166.

[3]王宇杰，王鋒，黃紅.基于ARP攻擊的網絡犯罪與防范的研究[J].信息網絡安全.2010，10（6）：66-69.

[4]馬蓉平.計算機網絡安全與ARP攻擊的解決方案[J].遼寧教育行政學院學報.2009，6（2）：159-161.

[5]胡亞希.一種基于交換機的局域網ARP攻擊防御方法的研究及系統實現[D].湖南大學.2010.