ARP欺騙類病毒該如何防御

李春 郭景宏

摘 要： 在計算機技術和網絡技術日漸發展的當今時代，在數據處理生產運營中普遍使用網絡技術。保護網絡環境安全，對于企業的發展具有深遠影響。特別是對ARP欺騙類病毒高度重視，避免由于ARP欺騙類病毒的影響而造成企業受損。通過對如何防御ARP欺騙類病毒進行研究分析，希望能夠為相關人員提供一定的理論借鑒。

關鍵詞：ARP 欺騙類病毒 防御

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2016）06-0006-01

前言：ARP全稱為Address Resolution Protocol，地址解析協議。ARP病毒并不是某一種病毒的名稱，而是對利用ARP協議的漏洞進行傳播的一類病毒的總稱。ARP欺騙主要指的是，利用ARP協議中存在的漏洞，將偽造過的虛假ARP報文發送到目標主機設備，進而實現截取目標主機數據、或者監聽主機數據的攻擊方式。ARP欺騙具有一定的隨機性、以及隱蔽性等特點，ARP欺騙工具廣泛的存在于網絡環境中，進而致使ARP欺騙更加普遍。現階段，很多木馬病毒利用ARP欺騙，廣泛傳播于網絡中，嚴重影響網絡的安全運行。特別是在企業內部局域網絡中，ARP欺騙更是屢次出現，如果某臺計算機感染ARP欺騙類病毒程序，將會發送偽造過的ARP相應報文，嚴重影響網絡環境的穩定。

一、ARP的主要攻擊類型

攻擊類型主要包括以下兩種：冒充主機欺騙網關和冒充網關欺騙主機[1]。

1.冒充主機欺騙網關

可以將源MAC地址設置為MAC_C，將源IP地址設置為IP_A，攻擊主機C發出一個報文。從而所有向主機A發送的報文，都會由攻擊主機C所接收，而且中斷了網絡同真實主機A的直接通信關系。如果攻擊主機C持續地根據自身的MAC地址，與其他主機IP地址作為源地址進行ARP包的發送，那么除了攻擊主機C，網關將無法直接通信網段內的所有主機 [2]。在此種背景下，交換機無法記錄任何的報警日志，主要是交換機認為多個IP地址對應一個MAC地址正常可行，對其他利用IP對應的MAC交付報文不會造成任何影響。如果將網關ARP緩存中的MAC地址進行更改，使之換成原本就不存在的地址，則網關所發送出來的網絡數據幀將會全部丟失，致使上層急于處理此種異常情況，而無法對外來請求進行解決，最終使得網關不提供任何服務。

2.冒充網關欺騙主機

首先，在主動攻擊中，主機A接收到來自攻擊者C的ARP應答數據包，然后使主機A和網關B的IP地址明確所對應的MAC地址，也就是CC-CC-CC-CC-CC-CC，致使主機A對自身的ARP列表進行修復，然后將網關B的IP地址進行修改，將原有的MAC地址修改成攻擊者C的MAC地址；其次，攻擊者C在向主機A發送ARP數據包的同時，也向網關B發送ARP應答數據包，也告知網關B主機A的IP地址所對應的MAC地址，也就是CC-CC-CC-CC-CC-CC，致使網關B將自身的ARP列表進行修改，然后將A的IP地址進行修改，將原有的MAC地址修改成攻擊者C的MAC地址；最終致使主機A與網關B之間的通信，變成主機A與攻擊者C之間的通信，以及攻擊者C與網關B之間的通信，主機A和B之間無法直接通信[3]。

在被動攻擊中，主機A或者網關B發送出ARP請求數據包時，攻擊者C在一段時間之后，發送應答數據包，保證自身的應答包能夠在正確的應答包之后達到，避免出現自己修改的相應主機的ARP列表，被正確的應答包再次修改。因此，主機A向網關B所發送的報文，都會向攻擊主機C發送，進而導致主機A出現斷網的情況。如果攻擊主機C先是收到來自主機A的報文，然后在向網關B轉發，則主機A可以利用攻擊主機C繼續上網，但是，主機A的網絡質量，將會由攻擊主機C來控制，一般具有時斷時續的表現。

二、ARP欺騙類病毒入侵后的表象

當局域網中的某臺電腦找到ARP欺騙類病毒控制的時候，其他用戶若通過原來的路由器連接上網，將變成通過病毒主機連接網絡，而切換過程用戶將出現一次斷線現象。當切換到病毒主機上網后，若用戶登錄某個服務器，病毒主機則會偽裝成經常斷線，誘使用戶頻繁登錄，從而利于病毒主機盜取賬戶信息。當ARP欺騙類病毒運行時，會產生很多數據包，大量數據包造成局域網擁堵，使用戶感覺網速變慢，而當病毒停止時，用戶將恢復到原有路由器上網，但切換過程用戶會再次斷線。這種ARP欺騙類病毒在入侵后不僅影響他人上網，還會對病毒主機與子網機器的安全造成影響，很可能竊取用戶賬戶信息，同時這種病毒發送ARP報文十分隱秘，在占用系統資源較少時，很難被用戶察覺。

三、解決ARP協議攻擊的兩個措施和攻擊類型的對應關系

1.解決ARP欺騙攻擊的措施

加強保護接入層網絡設備ARP表項，是防御ARP欺騙類病毒攻擊的重要所在。具體原理是指將具有智能性質的ARP表項綁定機制啟動，同時在ARP報文的接收階段，實現對ARP綁定表的動態檢測，從而對其合法性進行有效判斷[4]。可以通過以下網絡設備的設置進行詳細了解；在局域網接入交換機中，將DHCP嗅探開啟之后，立刻對MAC、IP進行校驗，以此實現對ARP欺騙、以及DHCP欺騙等攻擊行為的有效控制。

具體配置步驟如下所示：（1）全局模式下：ip dhcp snooping //開啟DHCP嗅探；（2）普通接入端口下：ip verify source port-security //開啟端口安全功能；（3）普通接入端口下：arp-check //進行IP-MAC的對應校驗，將dhcp snooping獲取的關系作為相關參考，避免arp地址欺騙行為的出現；（4）上聯端口下：ip dhcp snooping trust //開啟snooping信任端口，dhcp offer的報文只有借助上聯端口實現通過，進而防止出現私設DHCP服務器的情況。

2.解決MAC地址攻擊的措施

通過控制網絡設備ARP報文處理閾值，能夠有效解決ARP的掃描攻擊行為。通常情況下，對于ARP報文的控制，可以由以下兩種方式實現，分別為基于IP的ARP掃描以及基于端口的ARP掃描。基于IP的ARP掃描是指，在一段時間中，對網段中某IP收到ARP報文的數量進行計算，如果計算結果高于提前設置的閾值，那么可以將此IP定義為問題主機IP，對源自此IP的所有流量進行禁止，但是與此IP相連的端口不進行關閉操作。基于端口的ARP掃描是指，在一段時間內，對某端口所接收到的ARP報文數量進行計算，如果計算數量高于提前設置的閾值，那么可以將此端口定義為問題主機所在的端口，同時關閉此關口[5]。上述兩種MAC地址的功能，能夠同時開啟。如果IP或者端口禁止，利用自動恢復功能，能夠實現其狀態的自動恢復。可以從以下網絡設備的配置詳細了解：（1）全局模式下：anti-arpscan enable //開啟arp掃描功能；（2）全局模式下：anti-arpscan port-based threshold 62//基于端口的ARP掃描，可以將掃描速率閾值設定為62個/s；（3）全局模式下：anti-arpscan ip-based threshold 18 //基于IP地址的ARP掃描，可以將掃描速率閾值設置為18個/s；（4）全局模型下：anti-arpscan recocery time 280 //可以將掃描恢復時間設置為280s；（5）上聯端口下：anti-arpscan trust supertrust-port // 可以將ARP掃描的信任端口設置為交換機的上聯端口。

綜上所述，利用相關技術措施，能夠將基于ARP協議的攻擊行為有效控制，同時能夠促使ARP協議在網絡中順利工作。

總結：通過以上論述可以了解到，由于ARP的不堅定性質，導致其容易被網絡中不法分子所攻擊，并且成為被利用的對象。特別是最近幾年，ARP欺騙方式更加猖狂，嚴重影響到個人和企業的計算機系統安全，為用戶帶來較大損失。因此，網絡用戶必須對此給予足夠重視，只有全面了解ARP欺騙類病毒，才能制定出相應的應對措施和解決措施，以此保護信息數據的安全。

參考文獻

[1]張睿.ARP欺騙防御在政企客戶網絡中的應用[J].科技與企業，2014（24）：146-147.

[2]朱秀娟，葉娜，羅淯新.局域網ARP欺騙的工作原理與防范策略[J].電子技術與軟件工程，2014（23）：21-21.

[3]趙飛.基于ARP欺騙的局域網防御界面研究[J].綏化學院學報，2014，34（6）：150-153.

[4]池新杰.淺析ARP攻擊防御策略[J].電腦與電信，2015（Z1）：58-59.

[5]王曉妮.基于WinPcap的校園網ARP攻擊檢測防御系統研究與設計[J].辦公自動化：綜合版，2014（11）：46-47.

作者簡介：李春，（1968.10-），男，河北秦皇島人，本科，內蒙古軍區，工程師。

郭景宏，（1960.7-），男，河北保定人，本科，內蒙古軍區，高級工程師。研究方向：無線通信發展，網絡病毒防御。