ARP欺騙在局域網中的分析及防御探究

黃元培

（國家新聞出版廣電總局九一六臺，青海 格爾木 816099）

ARP欺騙在局域網中的分析及防御探究

黃元培

（國家新聞出版廣電總局九一六臺，青海 格爾木 816099）

ARP欺騙是局域網中比較常見的一種攻擊方法，對于計算機的安全十分不利。本文主要圍繞著ARP欺騙展開了討論，先是分析了ARP欺騙的攻擊方式，然后詳細分析了如何應對這種攻擊，保證局域網數據信息的可靠性和安全性。

ARP欺騙；局域網；防御

隨著我國計算機的發展，網絡入侵現象日益嚴重。同時人們在使用計算機時習慣將一些重要資料存放到其中。一旦發生計算機攻擊現象，會給人們造成一定的經濟損失。而ARP欺騙就是一種黑客比較常用的攻擊行為，主要是通過偽裝假地址進行數據攔截和偽裝。但是ARP欺騙又無法完全禁止。為此，做好ARP欺騙的分析和防御是非常重要的。

1 ARP欺騙和攻擊方式

1.1 簡單攻擊方式

簡單的說就是攻擊主機偽裝成ARP包來欺騙目標主機和局域網中的網關。這樣目標主機就會認為這個數據包是安全、合法的。就如同向其他人郵寄信件而寫錯了地址，以致于發錯了地方。這樣就會直接造成目標主機的斷線。

1.2 中間人攻擊

所謂中間人攻擊就是在兩臺主機和多臺主機之間安裝一臺透明主機，當主機之間相互傳遞信息和數據時，透明主機就會將這些數據信息截獲。最重要的是透明主機會與原始主機建立連接，并使得攻擊變得隱蔽。這種攻擊手段很難發現。

1.3 基于ARP的DOS攻擊

DOS攻擊，即拒絕服務攻擊。其主要作用是能夠讓被攻擊的主機拒絕用戶訪問，從而造成主機系統崩潰。在這個過程中，攻擊主機會利用ARP欺騙工具，不斷向被攻擊主機發送大量的攻擊請求，這時被攻擊主機就會因為自身系統服務功能的限制和ARP欺騙，無法找到對方主機。顯然，ARP欺騙起到了主要的隱藏作用。

2 防御方法

2.1 靜態ARP表綁定

在使用局域無線網之時，計算機使用者可以固定IP避免地址沖突。但是同時IP的隨意修改容易造成計算機安全問題。通常在路由器會進行局域網IP綁定，但路由器再次被用在另一個局域網之中時，路由器會再次固定IP。在此配置的過程中，路由器會通過ARP協議生成MAC地址以及IP-MAC動態對應表。這樣數據數據在傳輸的過程中就需要通過ARP表檢查，通過就進行轉發，不通過則拒發。最重要的是還能夠保證在非法用戶不改變MAC地址的前提下，阻止冒用IP地址跨網段的訪問。另外，在進行MAC和IP地址綁定時，用戶可以通過直接在路由器設置選項中選擇，讓路由器自動進行綁定。或者也可以通過DOS命令，輸入ARP IP地址 MAC地址，這樣也能夠綁定IP地址和MAC地址。

比方說：DOS界面下，輸入命令【arp -s 192.168.1.200 00-aa-00-62-c6-09】 回車即可。其中192.168.1.200表示IP地址，00-aa-00-62-c6-09表示MAC地址。需要注意的是這種方式死臨時性的，在系統重啟之后會自動消失。也可以通過“netsh”命令來實現：DOS界面下，輸入命令【netsh i i show in】 ，查看本地網卡對應的“Idx”值，接下來會使用到。然后在DOS界面下，輸入命令【netsh -c“i i" add ne 18 192.168.1.200 00-aa-00-62-c6-09】，綁定IP與MAC。這種綁定方式即使是在重啟系統之后仍然有效。

2.2 使用ARP軟件

隨著我國計算機技術的發展，很多防毒軟件和計算機安全防護軟件越來越多。而且很多公司還針對個人、企業制定了相應的防護軟件。對于一些電腦小白來說，就可以選擇一些軟件防止ARP欺騙。

目前給局域網的應用十分廣泛，但是有些人為了搶占網速，會使用一些軟件來限制別人的網速。對于這些問題可以采取安全防護軟件。如ARP防火墻、360和金山衛士的ARP防火墻等。這些軟件都可以實現計算機防護。ARP的通病就是掉線，在掉線的基礎上可以通過以下幾種方式判別，一般情況下不需要處理1分鐘之內就可以回復正常上網。因為ARP欺騙是由時限，過了期限就會自動的回復正常。而且現在大多數路由器都會在很短時間內不停廣播自己的正確ARP，使受騙的機器回復正常。此外，打開被騙機器的DOS界面，輸入ARP -A命令會看到相關的ARP表，通過看到的網關的MAC地址可以去判別是否出現ARP欺騙，但是由于時限性，這個工作必須在機器回復正常之前完成。如果出現欺騙問題，ARP表里面會出現錯誤的網關MAC地址，和真實的網關MAC一對黑白立分。

這時個人用戶需要注意計算機是否遭受ARP攻擊。如可以打開DOS命令，并輸入arp-a，如果發現其中存在兩個相同的MAC地址，就表明電腦此時遭受了ARP攻擊。另外安裝了360的用戶有時也會顯示電腦正在遭受ARP攻擊。而如果是服務器用戶，可以安裝專業的服務器安全軟件。總的來說，對于一些企業和個人用戶來說，選擇ARP防護軟件是一種比較合適的防止ARP欺騙方法。

2.3 VLAN和交換機端口綁定

VLAN是指虛擬局域網，虛擬局域網和交換機端口綁定是一種比較常見和常用的防御方法。在虛擬局域網中，用戶并不受到物理位置的限制。通常會按照功能類型和應用方式等因素將這些用戶組織在一起，保證這些用戶之間的相互通信。

將虛擬局域網和交換機端口主要做法是通過細化虛擬局域網，使局域網的范圍逐漸變小，而后使ARP的使用范圍縮小，這樣就不會造成大面積的ARP影響。另外，一些網關交換機能夠自動學習MAC地址，在完成學習之后就會自動將MAC地址和端口進行綁定，以避免網絡病毒借助ARP攻擊篡改計算機。總的來說，虛擬局域網和交換機端口綁定能夠有效避免ARP截獲數據，保證計算機安全性和可靠性。

2.4 設置ARP服務器

設置ARP服務器主要就是在局域網中制定一臺機器將其作為ARP服務器，然后將所有的主機的IP地址和MAC地址映射記錄存儲在這臺機器中，以保證信息的安全。同時，這臺服務器還會通過查閱服務器內部的ARP靜態緩存記錄作為被查詢主機響應局域網內容的ARP請求。這樣就能夠避免ARP欺騙對其它主機的影響。但是需要注意的是隨著我國計算機技術的逐漸發展，ARP攻擊技術也在不斷地發展和完善。為此，個人用戶和企業應當中不斷采用最新、最先進的防御方法，并不斷更新軟件。這樣才能在ARP攻擊不斷發展和更新的背景下，保證局域網的安全，真正推進我國網絡技術的發展。

3 結語

綜上所述，在我國局域無線網不斷發展的背景下，應當重視不斷加強ARP的防范，保證計算機的安全和可靠。尤其是不斷深入研究造成ARP欺騙的原因，提出科學、合理的措施，來真正保證局域網的安全性。

[1] 朱小華.ARP欺騙在局域網中分析與防范[J].網絡財富，2010（11）：150-151.

[2] 張麗.局域網中ARP欺騙攻擊的防御思路與實現[J]. 數字通信，2013（2）：90-92.

[3] 周蘭香.局域網入侵攻擊的防范措施[A].中國職協2015年度優秀科研成果獲獎論文集（中冊）[C]，2015:（16.）

Analysis and defense of ARP deception in local area network

Huang Yuanpei
(State Press and Publication Administration of Radio 916，Golmud 816099, China)

ARP spoofing is a common attack method in the LAN, is unfavorable for the security of the computer. This paper mainly focuses on the ARP spoofing is discussed, first analysis of the ARP spoofing attacks, then a detailed analysis of how to deal with this attack, ensure the safety and reliability of data information of local area network.

ARP deception; local area network; defense

黃元培（1990— ），男，河南南陽人。