局域网中ARP的攻击及防范措施

◆崔 婷

局域网中ARP的攻击及防范措施

◆崔 婷

（山西省农业科学院棉花研究所 山西 044000）

局域网经常会受到各种各样的攻击，导致网络不能正常工作，其中ARP攻击是目前局域网遭受次数较多的一类攻击，因此了解ARP的攻击原理，掌握ARP攻击的防御措施是保障局域网正常工作的必要前提。本文结合山西省农业科学院棉花研究所的网络管理维护经验，谈一谈对ARP攻击的一些防范措施。

ARP欺骗；攻击；防范措施

0 引言

ARP病毒攻击是局域网最常见的一种攻击方式。由于TCP/IP 协议存在的一些漏洞给ARP病毒有进行欺骗攻击的机会，ARP 利用TCP/IP 协议的漏洞进行欺骗攻击，现已严重影响到人们正常上网和通信安全[1]当局域网内的计算机遭到ARP的攻击时，它就会持续地向局域网内所有的计算机及网络通信设备发送大量的ARP欺骗数据包，如果不及时处理，便会造成网络通道阻塞、网络设备的承载过重、网络的通讯质量不佳等情况。近段时间我所局域网经常遭受ARP病毒的攻击，造成用户断网或者上网不稳定，这给管理员带来了极大的压力及负担。因此掌握ARP的攻击原理和防御手段是很有必要的。

1 局域网的简述

局域网（Local Area Network，LAN），是指地理范围在几百米到十几公里内办公楼群或校园内的计算机相互连接所构成的计算机网络。[2]，在有限区域内将多台电脑接入交换机、路由器等通信设备。在局域网内计算机可实现文件管理、软件共享、电子邮件相互通信等功能。

2 ARP地址解析协议

在局域网中，主机和主机之间的通讯是通过MAC地址来实现的，而主机的MAC地址是通过ARP协议获取的。ARP（Address Resolution Protocol）即地址解析协议，负责将网络中的IP地址转换为MAC地址，来保证局域网中的正常通讯。在局域网中实际传输的是“帧”，里面包含目标主机的MAC地址。每个安装以太网和TCP/IP的计算机都有一个ARP缓存表，缓存表里保存的IP地址和MAC地址是相互对应的。ARP 协议的基本功能就是执行地址解析，以保证通信的顺利进行。

3 ARP的工作原理

ARP病毒并不是某一种真正的病毒，而是对利用ARP协议的漏洞进行传播的一类病毒的总称。[3]ARP协议是TCP/IP协议组的一个协议，这个协议是建立在局域网上主机相互信任的基础上的，局域网中的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性并直接将其记入本机ARP缓存。ARP缓存表采用的是机械制原理，如果表中的某一列长时间不使用，就会被删除。也就是说ARP的缓存表是可以被更改的。表中的IP地址和MAC地址也是随时可以修改，这样在局域网中很容易被ARP欺骗。通常此类攻击的手段有两种：路由欺骗和网关欺骗。[4]如果电脑中了ARP病毒后，会导致用户的一些私密及重要性信息的泄露！可能给用户带来一定的财产损失。

4 ARP的欺骗原理

ARP欺骗是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击手段进行转发。从而控制流量或得到机密信息。ARP欺骗不是真正使网络无法正常通信，而是ARP欺骗发送虚假信息给局域网中其他的主机，这些信息中包含网关的IP地址和主机的MAC地址;并且也发送了ARP应答给网关，当局域网中主机和网关收到ARP应答跟新ARP表后，主机和网关之间的流量就需要通过攻击主机进行转发。冒充主机的过程和冒充网关相同。详解如下图1。

图1　ARP的欺骗原理

5 处理ARP故障的方法：

5.1 将IP地址和MAC地址绑定

在已知网关的正确MAC地址时，手动将IP地址和正确的MAC地址绑定，这样可以有效预防主机遭到攻击。可以用DOS命令：arp-s把IP地址和MAC地址绑定。如图2所示。

图2　将IP地址和MAC地址绑定

如果设置成功在MS-DOS窗口下运行arp –a，可以看到相关信息提示如图3，这时类型就变成静态。这样IP地址和MAC地址就绑定好了后就不会受到ARP的攻击。

图3　在MS-DOS窗口下运行arp –a

如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机。如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址。

5.2 路由器的绑定

在路由器上绑定主机的IP地址和MAC地址，启用路由器自带的防止ARP攻击的功能并且在WEB配置界面中启用ARP绑定功能，人工添加局域网所有主机IP地址和MAC地址后，将其绑定并保存为静态表。

5.3 使用ARP防火墙

用ARP防火墙可以手动绑定IP地址和MAC地址。此类软件有：360ARP防火墙、金山贝壳ARP防火墙、彩影ARP防火墙等。当局域网中出现病毒机时这些软件会用提示框对用户进行提示，并且能显示出病毒机的MAC地址，方便用户快速找到攻击源，然后进行清除。

5.4 使用三层以上的交换机

第三层的交换机技术采用的是IP路由交换协议，因此ARP攻击在这种环境上不起作用。

5.5 定期杀毒

杀毒软件可以很好地预防病毒，但它也有一定的局限性，当出来一些新的病毒时，杀毒软件就无能为力了，所以我们要定期地更新杀毒软件，才能更好地防范病毒。另外我们还要及时更新操作系统，升级IE，打上各种漏洞补丁，通过Windows Update系统安装好补丁程序，关闭一些不需要的服务，从而避免系统被病毒入侵。

6 结束语

作为网络管理员我们必须对ARP协议有深刻的认识，ARP协议作为一个可信任的协议，在设计上有一些缺陷，ARP协议的缺陷导致了ARP欺骗的泛滥。本文结合山西省农业科学院棉花研究所的局域网的实际情况总结了一些预防ARP的防范措施。对于ARP的欺骗不仅需要用户做好安全防范措施，更需要网络管理员保持高度警惕，做到防患于未然。

[1]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报，2009，28(1)：57-59.

[2]东方人华.局域网组建、配置与管理[M].清华大学出版，2003.

[3]郭征，吴向前，刘胜全.针对校园网ARP攻击的主动防护方案[J].计算机工程，2011，37(5)：181-183.

[4]于夫.ARP病毒在局域网中的防治研究[J].网络安全技术与应用，2014（06）.