汪永生

摘要：當(dāng)前網(wǎng)絡(luò)與生活工作息息相關(guān)，通暢的網(wǎng)絡(luò)環(huán)境給廣大用戶單位提供了良好的運行環(huán)境。但是由于網(wǎng)絡(luò)病毒的肆意攻擊，給網(wǎng)絡(luò)用戶帶來巨大的危害。而網(wǎng)絡(luò)安全中的ARP安全問題尤其困擾著普通用戶的生活和工作，本文結(jié)合自身實際工作經(jīng)驗淺談網(wǎng)絡(luò)安全中的ARP攻擊問題和防御手段。

關(guān)鍵詞：網(wǎng)絡(luò)安全;ARP攻擊;ARP防御

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：1007-9416（2020）02-0181-02

0 引言

當(dāng)前時期網(wǎng)絡(luò)安全問題突出，ARP病毒攻擊不僅會斷開用戶的網(wǎng)絡(luò)，還會造成用戶信息和數(shù)據(jù)的泄露。如何正確地防范ARP攻擊，防止個人和單位遭受重大損失是本文主要解決的問題，本文在計算機網(wǎng)絡(luò)協(xié)議、IP和MAC地址的基礎(chǔ)上對ARP的工作原理和攻擊方式進行分析，以及針對ARP攻擊所采取的防御措施，以此來達到加強網(wǎng)絡(luò)安全防范的目的。

1 ARP協(xié)議的工作原理

1.1 ARP協(xié)議的含義及作用

ARP是“address resolution protocol”的縮寫，全稱“地址解析協(xié)議”。在網(wǎng)絡(luò)通信中，通信主機之間直接通過IP地址進行相互識別，而數(shù)據(jù)傳輸必須要依靠網(wǎng)卡的物理地址進行尋址。ARP的主要作用就是將IP地址轉(zhuǎn)換成MAC地址，保障網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間的正常通信[1]。

根據(jù)國際標(biāo)準(zhǔn)化組織（ISO）和國際電報電話咨詢委員會（CCITT）聯(lián)合制定的開放系統(tǒng)互連參考模型系統(tǒng)（OSI）定義的功能框架，ARP協(xié)議工作在其定義的第三層網(wǎng)絡(luò)層，而網(wǎng)絡(luò)層要和它的下一層數(shù)據(jù)鏈路層進行通信必須要依靠ARP協(xié)議。

1.2 ARP報文格式（表1）

硬件類型：表示ARP協(xié)議可以在某種類型的網(wǎng)絡(luò)上傳輸，其長度為2個字節(jié)，值為1的時候表示以太網(wǎng)地址類型。

上層協(xié)議類型：表示硬件地址要映射的協(xié)議地址類型，其長度為2個字節(jié)，值為0x800表示映射的是IP協(xié)議。

MAC地址長度：表示MAC地址的長度，其長度為1個字節(jié)，ARP協(xié)議中此值為6。

IP地址長度：表示IP地址的長度，其長度為1個字節(jié)，ARP協(xié)議中此值為4。

操作類型：表示本次ARP報文類型，其長度為2個字節(jié)，值為1時表示ARP請求報文，值為2時表示ARP應(yīng)答報文。

源MAC地址：表示發(fā)送設(shè)備的MAC地址，其長度為6個字節(jié)。

源IP地址：表示發(fā)送設(shè)備的IP地址，其長度為4個字節(jié)。

目的MAC地址：表示接收設(shè)備的MAC地址，其長度為6個字節(jié)。

目的IP地址：表示接收設(shè)備的IP地址，其長度為4個字節(jié)。

1.3 ARP地址映射表

硬件設(shè)備正常使用ARP協(xié)議工作離不開設(shè)備中的ARP映射表，ARP映射表中是IP和MAC地址的一一對應(yīng)關(guān)系。表1中可以看到ARP協(xié)議的工作離不開IP地址和MAC地址，圖1中可以看到每個IP地址對應(yīng)一個MAC地址，設(shè)備通過ARP協(xié)議解析把數(shù)據(jù)交付給目標(biāo)MAC設(shè)備，本機隨之更新ARP映射表，增加目標(biāo)設(shè)備的IP和MAC記錄，用于后續(xù)同一設(shè)備的數(shù)據(jù)幀的轉(zhuǎn)發(fā)。

2 ARP協(xié)議的攻擊原理

ARP映射表更新方式：ARP映射表設(shè)計之初遵循的工作方式就是“后到優(yōu)先”原則，即動態(tài)的ARP映射都是以最新的地址映射表唯一。

ARP欺騙過程：以圖2中PC3為ARP病毒宿主機為例，當(dāng)PC1和PC2通信開始之前，PC1發(fā)送ARP請求包，請求包經(jīng)過交換機進行廣播之后分別到達PC2和PC3。PC2和PC3同時向PC1返回ARP應(yīng)答包。PC2的應(yīng)答包地址映射為IP2-MAC2，而此時中了ARP病毒的PC3的應(yīng)答包地址映射卻為IP2-MAC3， PC2的IP地址被PC3偽造，并且發(fā)送大量的應(yīng)答包覆蓋PC2的數(shù)據(jù)包，PC1在本地ARP映射表中記錄映射地址為IP2-MAC3。PC3截斷所有去向PC2的數(shù)據(jù)包，達到ARP攻擊的目的。反之，PC3同樣攻擊PC1，造成PC1和PC2之間的通信全部經(jīng)過PC3。PC3通過丟棄收到的數(shù)據(jù)包達到斷網(wǎng)的目的[2]。

ARP攻擊方式：一是網(wǎng)關(guān)偽造攻擊。PC3發(fā)送偽造的內(nèi)部網(wǎng)關(guān)的ARP報文，欺騙同網(wǎng)段內(nèi)的PC1和PC2。PC1和PC2一旦訪問網(wǎng)關(guān)，所有的數(shù)據(jù)流量被重定向到PC3的MAC3地址，導(dǎo)致PC1和PC2無法訪問局域網(wǎng)外部網(wǎng)絡(luò)。二是網(wǎng)關(guān)欺騙攻擊。PC3虛假偽造的ARP報文欺騙內(nèi)部網(wǎng)關(guān)。網(wǎng)關(guān)和PC1、PC2通信時，發(fā)給用戶的所有數(shù)據(jù)流量全部重定向到PC3的MAC3地址，導(dǎo)致PC1和PC2無法訪問局域網(wǎng)外部網(wǎng)絡(luò)。三是用戶欺騙攻擊。PC1和PC2請求通信時，PC3偽造虛假的ARP報文欺騙PC1，PC1所有的數(shù)據(jù)重新定向到PC3的MAC3地址，PC3可以監(jiān)控、攔截甚至篡改數(shù)據(jù)，導(dǎo)致PC2數(shù)據(jù)泄露、斷網(wǎng)風(fēng)險。反之，PC3可以同樣偽造虛假的ARP報文欺騙PC2。四是ARP泛洪攻擊。PC3偽造大量不同的ARP報文在次網(wǎng)段內(nèi)進行廣播，導(dǎo)致PC1和PC2的ARP映射表項被占滿，無法及時正常地學(xué)習(xí)更新本身地址映射表，從而導(dǎo)致PC1和PC2無法訪問局域網(wǎng)外部網(wǎng)絡(luò)。

3 ARP攻擊防御措施

網(wǎng)絡(luò)安全設(shè)備防御：開啟ARP防火墻功能，配置ARP安全防護策略，ARP防火墻能夠及時攔截虛假ARP數(shù)據(jù)包并且主動通告網(wǎng)關(guān)本機正確的MAC地址，從而保證數(shù)據(jù)定向正確，保證數(shù)據(jù)安全、網(wǎng)絡(luò)暢通[3]。

網(wǎng)絡(luò)傳輸設(shè)備防御：一是針對網(wǎng)關(guān)防御，進行ARP綁定，防御網(wǎng)關(guān)被欺騙;同時采取ARP報文數(shù)量限制策略，防御ARP泛洪攻擊。二是接入設(shè)備防御，進行對終端的IP和MAC進行綁定，防過濾偽造網(wǎng)關(guān)報文[4]。三是采用VLAN隔離技術(shù)，VLAN隔離技術(shù)可以最大限度的減小ARP攻擊造成的危害，實現(xiàn)快速縮小查找ARP攻擊范圍和解決攻擊的難題。

用戶客戶端防御：一是安裝殺毒軟件，開啟防護功能，市場主流的殺毒軟件可以有效地控制ARP病毒的攻擊。二是配置靜態(tài)網(wǎng)關(guān)地址，可以有效的抵制網(wǎng)絡(luò)抵制的欺騙，為終端的網(wǎng)絡(luò)通常提供有效的保障。三是綁定網(wǎng)關(guān)地址，使用ARP-S命令可以綁定網(wǎng)關(guān)地址，有效防御ARP攻擊。

4 結(jié)語

綜上所述，通過對ARP協(xié)議的工作原理闡述以及ARP攻擊方式的分析，采取合理可行的防御對策，以此達到針對ARP攻擊的有效防御目的，確保網(wǎng)絡(luò)運行通暢，數(shù)據(jù)信息安全、保密。

參考文獻

[1] 何顯文.基于ARP協(xié)議的網(wǎng)絡(luò)欺騙與防范[J].通化師范學(xué)院學(xué)報，2011（06）：22-24.

[2] 鄭森森.基于ARP欺騙的數(shù)據(jù)截獲與高速轉(zhuǎn)發(fā)技術(shù)研究[D].成都：四川師范大學(xué)，2015.

[3] 溫卓然.ARP防御系統(tǒng)的設(shè)計與實現(xiàn)[D].北京：北京郵電大學(xué)，2009.

[4] 于夫.ARP病毒在局域網(wǎng)中的防治研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（06）：173-175.

ARP Attack Principle and Defense Measures

WANG Yong-sheng

（Naval Petty Officer school， Bengbu? Anhui? 233012）

Abstract：At present， the network is closely related to life and work， and the smooth network environment provides a good running environment for the majority of users. But because of the network virus's wanton attack， brings the huge harm to the network user. The ARP security problem in network security especially perplexes the ordinary user's life and the work， this article unifies own actual work experience to talk about the ARP attack problem and the defense means in network security.

Key words：network security;ARP attack;ARP defense