局域網中ARP的攻擊及防范措施

◆崔 婷

局域網中ARP的攻擊及防范措施

◆崔 婷

（山西省農業科學院棉花研究所 山西 044000）

局域網經常會受到各種各樣的攻擊，導致網絡不能正常工作，其中ARP攻擊是目前局域網遭受次數較多的一類攻擊，因此了解ARP的攻擊原理，掌握ARP攻擊的防御措施是保障局域網正常工作的必要前提。本文結合山西省農業科學院棉花研究所的網絡管理維護經驗，談一談對ARP攻擊的一些防范措施。

ARP欺騙；攻擊；防范措施

0 引言

ARP病毒攻擊是局域網最常見的一種攻擊方式。由于TCP/IP 協議存在的一些漏洞給ARP病毒有進行欺騙攻擊的機會，ARP 利用TCP/IP 協議的漏洞進行欺騙攻擊，現已嚴重影響到人們正常上網和通信安全[1]當局域網內的計算機遭到ARP的攻擊時，它就會持續地向局域網內所有的計算機及網絡通信設備發送大量的ARP欺騙數據包，如果不及時處理，便會造成網絡通道阻塞、網絡設備的承載過重、網絡的通訊質量不佳等情況。近段時間我所局域網經常遭受ARP病毒的攻擊，造成用戶斷網或者上網不穩定，這給管理員帶來了極大的壓力及負擔。因此掌握ARP的攻擊原理和防御手段是很有必要的。

1 局域網的簡述

局域網（Local Area Network，LAN），是指地理范圍在幾百米到十幾公里內辦公樓群或校園內的計算機相互連接所構成的計算機網絡。[2]，在有限區域內將多臺電腦接入交換機、路由器等通信設備。在局域網內計算機可實現文件管理、軟件共享、電子郵件相互通信等功能。

2 ARP地址解析協議

在局域網中，主機和主機之間的通訊是通過MAC地址來實現的，而主機的MAC地址是通過ARP協議獲取的。ARP（Address Resolution Protocol）即地址解析協議，負責將網絡中的IP地址轉換為MAC地址，來保證局域網中的正常通訊。在局域網中實際傳輸的是“幀”，里面包含目標主機的MAC地址。每個安裝以太網和TCP/IP的計算機都有一個ARP緩存表，緩存表里保存的IP地址和MAC地址是相互對應的。ARP 協議的基本功能就是執行地址解析，以保證通信的順利進行。

3 ARP的工作原理

ARP病毒并不是某一種真正的病毒，而是對利用ARP協議的漏洞進行傳播的一類病毒的總稱。[3]ARP協議是TCP/IP協議組的一個協議，這個協議是建立在局域網上主機相互信任的基礎上的，局域網中的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性并直接將其記入本機ARP緩存。ARP緩存表采用的是機械制原理，如果表中的某一列長時間不使用，就會被刪除。也就是說ARP的緩存表是可以被更改的。表中的IP地址和MAC地址也是隨時可以修改，這樣在局域網中很容易被ARP欺騙。通常此類攻擊的手段有兩種：路由欺騙和網關欺騙。[4]如果電腦中了ARP病毒后，會導致用戶的一些私密及重要性信息的泄露！可能給用戶帶來一定的財產損失。

4 ARP的欺騙原理

ARP欺騙是通過冒充網關或其他主機使得到達網關或主機的流量通過攻擊手段進行轉發。從而控制流量或得到機密信息。ARP欺騙不是真正使網絡無法正常通信，而是ARP欺騙發送虛假信息給局域網中其他的主機，這些信息中包含網關的IP地址和主機的MAC地址;并且也發送了ARP應答給網關，當局域網中主機和網關收到ARP應答跟新ARP表后，主機和網關之間的流量就需要通過攻擊主機進行轉發。冒充主機的過程和冒充網關相同。詳解如下圖1。

圖1　ARP的欺騙原理

5 處理ARP故障的方法：

5.1 將IP地址和MAC地址綁定

在已知網關的正確MAC地址時，手動將IP地址和正確的MAC地址綁定，這樣可以有效預防主機遭到攻擊。可以用DOS命令：arp-s把IP地址和MAC地址綁定。如圖2所示。

圖2　將IP地址和MAC地址綁定

如果設置成功在MS-DOS窗口下運行arp –a，可以看到相關信息提示如圖3，這時類型就變成靜態。這樣IP地址和MAC地址就綁定好了后就不會受到ARP的攻擊。

圖3　在MS-DOS窗口下運行arp –a

如被攻擊，用該命令查看，會發現該MAC已經被替換成攻擊機器的MAC，將該MAC記錄，以備查找。找出病毒計算機。如果已有病毒計算機的MAC地址，可使用NBTSCAN軟件找出網段內與該MAC地址對應的IP，即病毒計算機的IP地址。

5.2 路由器的綁定

在路由器上綁定主機的IP地址和MAC地址，啟用路由器自帶的防止ARP攻擊的功能并且在WEB配置界面中啟用ARP綁定功能，人工添加局域網所有主機IP地址和MAC地址后，將其綁定并保存為靜態表。

5.3 使用ARP防火墻

用ARP防火墻可以手動綁定IP地址和MAC地址。此類軟件有：360ARP防火墻、金山貝殼ARP防火墻、彩影ARP防火墻等。當局域網中出現病毒機時這些軟件會用提示框對用戶進行提示，并且能顯示出病毒機的MAC地址，方便用戶快速找到攻擊源，然后進行清除。

5.4 使用三層以上的交換機

第三層的交換機技術采用的是IP路由交換協議，因此ARP攻擊在這種環境上不起作用。

5.5 定期殺毒

殺毒軟件可以很好地預防病毒，但它也有一定的局限性，當出來一些新的病毒時，殺毒軟件就無能為力了，所以我們要定期地更新殺毒軟件，才能更好地防范病毒。另外我們還要及時更新操作系統，升級IE，打上各種漏洞補丁，通過Windows Update系統安裝好補丁程序，關閉一些不需要的服務，從而避免系統被病毒入侵。

6 結束語

作為網絡管理員我們必須對ARP協議有深刻的認識，ARP協議作為一個可信任的協議，在設計上有一些缺陷，ARP協議的缺陷導致了ARP欺騙的泛濫。本文結合山西省農業科學院棉花研究所的局域網的實際情況總結了一些預防ARP的防范措施。對于ARP的欺騙不僅需要用戶做好安全防范措施，更需要網絡管理員保持高度警惕，做到防患于未然。

[1]李軍鋒.基于計算機網絡安全防ARP攻擊的研究[J].武漢工業學院學報，2009，28(1)：57-59.

[2]東方人華.局域網組建、配置與管理[M].清華大學出版，2003.

[3]郭征，吳向前，劉勝全.針對校園網ARP攻擊的主動防護方案[J].計算機工程，2011，37(5)：181-183.

[4]于夫.ARP病毒在局域網中的防治研究[J].網絡安全技術與應用，2014（06）.