王默晗

（江蘇省阜寧中等專業(yè)學(xué)校,江蘇 阜寧 224400）

淺談校園網(wǎng)中ARP欺騙的防范

王默晗

（江蘇省阜寧中等專業(yè)學(xué)校,江蘇 阜寧 224400）

網(wǎng)吧是最常見的局域網(wǎng)，相信很多朋友都曾經(jīng)到網(wǎng)吧上網(wǎng)沖浪。不過在使用過程中是否出現(xiàn)過別人可以正常上網(wǎng)而自己卻無法訪問任何頁面和網(wǎng)絡(luò)信息的情況呢?雖然造成這種現(xiàn)象的情況有很多，但是目前最常見的就是ARP欺騙了，很多黑客工具甚至是病毒都是通過ARP欺騙來實(shí)現(xiàn)對(duì)主機(jī)進(jìn)行攻擊和阻止本機(jī)訪問任何網(wǎng)絡(luò)信息的目的，今天我們就為各位介紹ARP欺騙的原理及危害，讓我們對(duì)這個(gè)攻擊方式有一個(gè)清晰的了解。

ARP；廣播；病毒

一、ARP概述

（一）何謂ARP病毒

ARP地址欺騙類病毒（簡稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。

（二）ARP病毒發(fā)作時(shí)的現(xiàn)象

常見的現(xiàn)象有：網(wǎng)絡(luò)掉線，但網(wǎng)絡(luò)連接正常，整個(gè)網(wǎng)段內(nèi)部分計(jì)算機(jī)不能上網(wǎng)，或者所有計(jì)算機(jī)無法正常上網(wǎng)，無法打開網(wǎng)頁或打開網(wǎng)頁慢，訪問頁面時(shí)常常彈出廣告窗口，局域網(wǎng)時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等。

二、ARP欺騙原理

（一）什么是ARP

ARP是地址轉(zhuǎn)換協(xié)議（Address Resolution Protocol）的英文縮寫，它是一個(gè)鏈路層協(xié)議，工作在OSI模型的第二層，在本層和硬件接口間進(jìn)行聯(lián)系，同時(shí)對(duì)上層（網(wǎng)絡(luò)層）提供服務(wù)。

二層的以太網(wǎng)交換設(shè)備并不能識(shí)別32位的IP地址，它們是以48位以太網(wǎng)地址（就是常說的MAC地址）傳輸以太網(wǎng)數(shù)據(jù)包。也就是說IP數(shù)據(jù)包在局域網(wǎng)內(nèi)部傳輸時(shí)并不是靠IP地址而是靠MAC地址來識(shí)別目標(biāo)的，因此IP地址與MAC地址之間就必須存在一種對(duì)應(yīng)關(guān)系，而ARP協(xié)議就是用來確定這種對(duì)應(yīng)關(guān)系的協(xié)議。

（二）ARP欺騙的原理

主機(jī)在兩種情況下會(huì)保存、更新本機(jī)的ARP緩存表:（1）接收到“ARP廣播-請(qǐng)求”包時(shí)。（2）接收到“ARP非廣播-回復(fù)”包時(shí)。從中我們可以看出，ARP協(xié)議是沒有身份驗(yàn)證機(jī)制的，局域網(wǎng)內(nèi)任何主機(jī)都可以隨意偽造ARP數(shù)據(jù)包，ARP協(xié)議設(shè)計(jì)天生就存在嚴(yán)重缺陷。

當(dāng)局域網(wǎng)中一臺(tái)機(jī)器，反復(fù)向其他機(jī)器，特別是向網(wǎng)關(guān)，發(fā)送這樣無效假冒的ARP應(yīng)答信息包時(shí)，嚴(yán)重的網(wǎng)絡(luò)堵塞就會(huì)開始。由于網(wǎng)關(guān)MAC地址錯(cuò)誤，所以從網(wǎng)絡(luò)中計(jì)算機(jī)發(fā)來的數(shù)據(jù)無法正常發(fā)到網(wǎng)關(guān)，自然無法正常上網(wǎng)。這就造成了無法訪問外網(wǎng)的問題。

三、校園網(wǎng)ARP欺騙及其防范

校園網(wǎng)中，各種ARP攻擊類型都有發(fā)生過，但最主要的攻擊方式是冒充網(wǎng)關(guān)。攻擊者通過發(fā)送錯(cuò)誤的終端MAC地址給網(wǎng)關(guān)，從而導(dǎo)致網(wǎng)關(guān)無法和受攻擊計(jì)算機(jī)終端用戶進(jìn)行通信；然后是欺騙主機(jī)的方式，攻擊者通過發(fā)送錯(cuò)誤的網(wǎng)關(guān)MAC地址給受攻擊者或者發(fā)送錯(cuò)誤的終端MAC地址給受攻擊者，從而導(dǎo)致受害者無法與網(wǎng)關(guān)或本網(wǎng)段內(nèi)其他計(jì)算機(jī)終端互相通信；最后還有一種就是攻擊者通過欺騙PC和網(wǎng)關(guān)相結(jié)合的方法，導(dǎo)致網(wǎng)關(guān)和PC終端用戶無法正常通信。

（一）判斷PC是否受到ARP欺騙攻擊

某?，F(xiàn)有三幢樓，內(nèi)網(wǎng)中有網(wǎng)上辦公系統(tǒng)，每幢樓中都有很多計(jì)算機(jī)需要在校園內(nèi)網(wǎng)上辦公，目前學(xué)校內(nèi)網(wǎng)的所有計(jì)算機(jī)都在同一個(gè)廣播域中。時(shí)常出現(xiàn)無法連接互聯(lián)網(wǎng)、網(wǎng)速慢、計(jì)算機(jī)頻繁中毒、打開網(wǎng)頁時(shí)時(shí)常會(huì)彈出很多廣告等現(xiàn)象。

（二）校園網(wǎng)中ARP欺騙的防范措施

解決ARP欺騙攻擊是一個(gè)系統(tǒng)的綜合措施，我們可以從以下這些思路上尋求解決辦法：首先不能僅把網(wǎng)絡(luò)安全信任建立在IP或MAC地址的基礎(chǔ)上，理想的關(guān)系應(yīng)該建立在IP和MAC綁定的基礎(chǔ)上。我們需要設(shè)定靜態(tài)的MAC-IP對(duì)應(yīng)表，防止主機(jī)刷新設(shè)定好的轉(zhuǎn)換表。其次要使用硬件屏蔽主機(jī)，設(shè)置好路由器，務(wù)必保證IP地址能獲取合法正常的路徑。最后管理員要定期查詢，檢查主機(jī)的ARP緩存表，安裝軟件監(jiān)測網(wǎng)絡(luò)，一旦發(fā)現(xiàn)攻擊，立刻查找根源及時(shí)阻斷攻擊機(jī)器。

具體防范措施：首先，對(duì)于我們計(jì)算機(jī)的初級(jí)使用者來說，最直接的防范措施就是安裝ARP防火墻或者開啟局域網(wǎng)ARP防護(hù)，比如360安全衛(wèi)士等ARP病毒專殺工具，并且實(shí)時(shí)下載安裝系統(tǒng)漏洞補(bǔ)丁，關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。這些都是軟件的輔助防范。

（三）網(wǎng)關(guān)設(shè)備攻擊防范，主要是二層和三層交換機(jī)配置的規(guī)范。

1.二層交換機(jī)。與電腦直接相連的端口上配置靜態(tài)MAC地址，同時(shí)禁止動(dòng)態(tài)學(xué)習(xí)；如果需要修改或刪除靜態(tài)MAC綁定的數(shù)據(jù)，先要在端口下刪除mac-address max-mac-count 0,修改后在端口重新添加mac-address max-mac-count 0；暫時(shí)不用的端口手動(dòng)shutdown。

2.三層交換機(jī)。該設(shè)備上配置靜態(tài)ARP綁定下掛PC機(jī)的IP與MAC地址，防止下掛PC機(jī)隨意變動(dòng)IP地址。

3.交換機(jī)既作網(wǎng)關(guān)又作接入是的配置規(guī)范。首先與PC機(jī)直接相連的端口上配置MAC，禁止動(dòng)態(tài)學(xué)習(xí)MAC；暫時(shí)不用的端口手動(dòng)關(guān)閉；下掛的PC機(jī)不得隨意變動(dòng)已經(jīng)設(shè)置的IP地址。

四、小結(jié)

ARP欺騙攻擊雖然已經(jīng)在網(wǎng)絡(luò)發(fā)現(xiàn)這么多年了，我們能做的只是被動(dòng)的來采取一些綜合措施來防范這種攻擊，希望我的這些方法建議對(duì)于防范ARP欺騙攻擊有所幫助。也希望隨著計(jì)算機(jī)技術(shù)的不斷完善，通過變協(xié)議的方式來徹底解決ARP欺騙這一難題。

[1]計(jì)算機(jī)網(wǎng)絡(luò)原理實(shí)驗(yàn)教程[M].北京：科學(xué)出版社，2005.

[2]《關(guān)于校園網(wǎng)內(nèi)防范ARP欺騙病毒攻擊的重要通告》衢州學(xué)院,2007.

王默晗（1985-），女，漢族，江蘇阜寧人，江蘇省阜寧中等專業(yè)學(xué)校二級(jí)教師，研究方向：職業(yè)高中計(jì)算機(jī)教育教學(xué)。