茹金平 王艷杰

摘 要 當今，隨著社會的快速發(fā)展，計算機網(wǎng)絡已經(jīng)普及到各個領域，隨之網(wǎng)絡的安全性和可靠性擺在了網(wǎng)絡技術的首要位置。目前ARP 攻擊是計算機網(wǎng)絡安全面臨的一大安全隱患，本文從ARP攻擊的原理、特點及受到ARP 攻擊的癥狀等方面進行分析，提出了計算機網(wǎng)絡安全防ARP攻擊的安全策略，對提升計算機網(wǎng)絡系統(tǒng)綜合安全效能，實現(xiàn)穩(wěn)定高效運行有積極的促進作用。

關鍵詞 計算機網(wǎng)絡安全 ARP 安全策略

中圖分類號：TP393.08 文獻標識碼：A

1 ARP攻擊的基本原理

1.1 ARP攻擊的理論依據(jù)

ARP攻擊，是針對以太網(wǎng)ARP協(xié)議的一種攻擊技術，通過偽造IP地址和MAC 地址實現(xiàn)ARP 欺騙，在計算機網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞。盜用IP地址實現(xiàn)對目標MAC地址的攻擊，出現(xiàn)多個地址對應一個MAC地址的現(xiàn)象，從而達到對計算機網(wǎng)絡進行攻擊的目的。

1.2 ARP攻擊的特點

（1）隱蔽性：傳統(tǒng)的防御手段，人們可以通過IP地址沖突進行判斷，并采取防御措施，但是ARP攻擊不會造成計算機系統(tǒng)的任何明顯變化這就給防御技術帶來了很大難度，具有很強的隱蔽性。（2）網(wǎng)絡阻塞性：ARP攻擊通過偽造IP地址和MAC 地址，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞，通訊能力被嚴重破壞。（3）不易消除性：ARP攻擊的危害是非常難于對付和消除，這樣就增加了計算機網(wǎng)絡管理員維護計算機網(wǎng)絡安全的難度。

1.3 ARP攻擊的危害

按照ARP欺騙帶來的危害性質(zhì)可分為四大類：網(wǎng)絡異常、數(shù)據(jù)竊取、數(shù)據(jù)篡改、非法控制。具體表現(xiàn)如下：網(wǎng)絡異常，計算機網(wǎng)絡的網(wǎng)速時快時慢，極其不穩(wěn)定， 導致網(wǎng)絡的通訊質(zhì)量不穩(wěn)定，具體表現(xiàn)為頻繁的掉線、IP沖突；數(shù)據(jù)竊取，經(jīng)常引起的后果是個人隱私泄露、賬號被盜；數(shù)據(jù)篡改，則是訪問的內(nèi)容被添加惡意內(nèi)容，比如木馬等；非法控制，主要表現(xiàn)為網(wǎng)絡速度、網(wǎng)絡訪問，受到第三方非法控制或者限制。

2 防ARP攻擊的網(wǎng)絡安全策略

2.1 判斷是否受到ARP攻擊的方法

及時、有效、正確的判斷出局域網(wǎng)內(nèi)部是否存在ARP攻擊，是降低ARP對網(wǎng)絡攻擊的有效途徑。要求計算機網(wǎng)絡管理員定時對局域網(wǎng)進行檢測，一旦發(fā)現(xiàn)網(wǎng)絡狀態(tài)異常，就必須進入MS - DOS窗口并輸入ARP-a命令，檢驗局域網(wǎng)內(nèi)所有IP地址中的MAC 地址的內(nèi)容，通過比對找出局域網(wǎng)內(nèi)部受到攻擊的計算機，并將其鎖定。

2.2 個人用戶防ARP攻擊辦法

對于個人用戶而言，要養(yǎng)成良好的上網(wǎng)習慣，并具備一定的安全意識。給個人電腦選擇安裝一個有效的殺毒軟件和防火墻。在使用U盤、光盤、軟盤等移動存儲器前先進行病毒掃描，并且定期給個人電腦進行殺毒，以及打系統(tǒng)補丁，關閉不必要的端口等。

2.2.1 簡單防ARP攻擊安全策略

這種策略對計算機水平要求不是很高，可以暫時消除故障， 但不能持久，適合計算機技術水平不高的人員，具體方法如下：（1）重啟計算機：由于計算機的重啟使ARP 攻擊失去了環(huán)境。（2）網(wǎng)絡設備復位：使設備恢復到出廠時的配置。（3）禁用網(wǎng)卡： ARP攻擊也就沒了目標，攻擊失敗。

2.2.2 ARP防火墻防ARP攻擊安全策略

ARP防火墻技術的主要功能是：（1）計算機獲取的網(wǎng)關MAC地址是合法的、網(wǎng)關獲取的計算機MAC 地址是合法的，即在計算機被動的防ARP攻擊而不受假的ARP 數(shù)據(jù)包影響，過濾假的ARP數(shù)據(jù)包，保證本計算機獲取的網(wǎng)關MAC 地址是正確的。（2）主動防御功能，向網(wǎng)關通告本計算機的正確MAC 地址，保證網(wǎng)關獲取到的本主機MAC 是正確的。

2.3 管理員防ARP攻擊方法

對于網(wǎng)吧經(jīng)營者，小區(qū)局域網(wǎng)維護人員等網(wǎng)絡管理人員而言，防范ARP攻擊，目前主要的辦法有以下幾種：（1）設置靜態(tài)的MAC--IP對應表，不讓主機刷新設定好的轉(zhuǎn)換表；停止使用ARP，將ARP做為永久條目保存在對應表中。（2）使用ARP服務器。通過該服務器查找自己的ARP轉(zhuǎn)換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被攻擊。（3）在主機數(shù)目較大的情況下，多采用各類ARP防護軟件，例如Antiarp等。它們除了本身能檢測出ARP攻擊外，還能在一定頻率向網(wǎng)絡廣播正確的ARP信息。這些軟件，一般都有ARP欺騙檢測、IP/MAC清單、主動維護、路由器日志、抓包等功能。（4）目前大多數(shù)路由器，都具備防ARP攻擊功能。在網(wǎng)絡組建初期，選用思科等防ARP攻擊能力強的路由器，也能起到很好的防護作用。

3 結(jié)束語

計算機網(wǎng)絡在給我們工作帶來方便的同時也帶來了安全隱患，如何在安全的環(huán)境下使用計算機網(wǎng)絡已成為社會需求的必然趨勢。本文從目前計算機網(wǎng)絡安全的ARP 攻擊現(xiàn)狀進行分析，提出了防御ARP攻擊常用的辦法，為解決計算機網(wǎng)絡安全方面的問題提供一些解決思路。

參考文獻

[1] 蔡學軍，梁廣民，王隆杰，等.網(wǎng)絡互聯(lián)技術.北京：高等教育出版社，2004.

[2] 袁津生，郭敏哲.計算機網(wǎng)絡與安全實用編程.北京：人民郵電出版社，2004.