局域网中ARP欺骗攻击的防御思路与实现

2022-04-04 09:57:58 | 浏览次数：

摘要：介绍了局域网中经常出现的ARP（address resolution protocol）攻击的概念，说明了ARP攻击的原理及查找感染病毒的方法。结合实际情况列举了在局域网中实施多层次的防御措施，提出了静态ARP表绑定、交换机端口绑定、使用ARP软件防护以及VLAN和交换机端口绑定等综合解决方式，以解决因ARP攻击而引发的网络安全问题。

关键词：ARP欺骗；地址解析协议；局域网安全；物理地址

中国分类号：TP393.1文献标识码：A文章编号：10053824（2013）02009003

0引言

ARP欺骗攻击是针对以太网地址解析协议的一种攻击技术[1]。这种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，使网络上某台计算机甚至全部计算机无法正常连接。目前这种ARP欺骗在局域网中非常活跃，某台计算机如果受到感染，会通过ARP欺骗获取网络中其他计算机的信息，造成其他计算机的通信故障。机器受到ARP攻击后就会出现掉包频繁、网速突然变慢，同时ping指令中数据流量很不稳定等现象。此前可正常上网的机器，突然出现可认证，却不能上网的现象，重启机器或在MSDOS窗口下运行ARP-d命令后，又可恢复上网一段时间。这就使得在局域网中，如果有一台计算机受到了感染，就会影响整个局域网的网络运行，甚者会使整个网络瘫痪。

1ARP欺骗攻击的原理及防护

1.1ARP与MAC 地址

ARP即地址解析协议，是获取物理地址的一个TCP/IP协议[23]。在以太网中，数据传输的目的地址和源地址的正式名称是 MAC 地址。MAC地址也称物理地址，用来定义网络设备的位置，是厂商向IETF等机构申请用来标识厂商的代码，被称为“编制上唯一的标识符”。

在ARP缓存表中的IP地址与MAC地址是相对应的，如表1所示。

1.2故障原理

2查找感染病毒主机

当发现上网明显变慢或者经常性突然断网时，可以用arp命令来检查ARP表：点击“开始”按钮-选择“运行”-输入cmd命令，点击"确定"按钮，在窗口中输入arpa命令，如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那肯定就是ARP欺骗所致。

如何查找MAC地址：在win9x系统中，点击“开始-程序-MSDOS”或者在开始-运行中输入“winipcfg”，在win2k/xp系统中，点击开始-运行中输入“cmd”进入MSDOS，然后输入ipconfig /all，会出现如图1中所示的对话框。图1查找MAC地址操作示意回车之后出现如图2所示的对话框。如图2所示，我们会看到以下信息，其中的“Physical Address”就是所查的MAC地址，“IP address”是所查的IP地址。通过查询IPMAC对应表，就能查出病毒主机的IP地址。

3.1静态ARP表的绑定

关于随意修改IP地址造成冲突的问题，可以在作为网关的路由器上进行IP地址的绑定，在配置路由器时，路由器通过arp协议生成IPMAC动态对应表，根据静态的ARP表检查数据包，不能对应的就不进行数据转发。这样在非法用户不修改MAC地址的前提下，就阻止了冒用IP地址跨网段的访问，进入“MSDOS”，在命令提示符下输入命令：ARPs<空格>IP地址<空格>MAC地址，就可把MAC地址和IP地址捆绑在一起。

用一台机器举例说明，首先查看机器的MAC和IP地址，然后输入命令：ARP s 10.64.73.36 00EO4C4E4B8F，这样IP地址为10.64.73.36与MAC地址为00EO4C4E4B8F的计算机被绑定，这台主机可以有效地受到保护，防止局域网被ARP病毒攻击。

3.2交换机端口绑定

利用智能交换机的物理地址与交换机端口绑定功能（交换机端口绑定命令：arp static ip mac），可以有效地解决非法修改物理地址适应路由器中静态ARP表的问题。智能交换机有端口地址过滤模式，可以设定只具有允许合法物理地址的终端通过此端口对网络进行访问，其它不在设定范围内的终端将不被允许访问网络。要真正消除ARP攻击的隐患，必须从局域网的核心，即交换机下手。由于任何ARP包都必须经由交换机转发才能达到被攻击目标，只要交换机拒收非法的ARP包， ARP攻击就不能造成任何影响。在每台接入交换机上实现ARP绑定，并且过滤掉所有非法的ARP包。限制病毒机器传播数据包，在局域网内消除了ARP攻击[56]。

利用交换机等设备具有管理端口及节点的MAC地址功能的特点，将网络进行分段。该交换机知道所连主机的MAC地址，并将这些MAC地址及其对应的端口保存在内部表格中。当某个端口接收到ARP数据包时，交换机就会将包中记录的源地址与端口读到的源地址进行比较。如果源地址发生了改变，一个通知被发送到管理工作站，该端口被自动禁止直到冲突解决为止。

3.3使用ARP防护软件

现在有很多预防ARP病毒的软件已经上市，ARP防火墙、影彩软件、Antiarp软件等，例如使用ARP防火墙，只要在局域网内设置一台主机做管理端，连接其他客户端计算机，如果任何一台机器发出了ARP攻击，客户端就会收到报警，这些软件对预防和排查ARP攻击起着很关键的作用。

3.4VLAN和交换机端口绑定

通过划分VLAN和交换机端口绑定以防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。

3.5设置ARP服务器

指定局域网内部的一台机器作为ARP服务器，专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录并以被查询主机的名义响应局域网内部的ARP请求。同时还可以设置局域网内部的其它主机仅使用来自ARP服务器的ARP响应。

3.6验证结果

通过以上方法，对本单位500余台计算机进行了ARP安全防护，如图3所示。经过实践，能有效的阻止ARP病毒传播，解决了因ARP攻击而引发的网络安全问题。图3ARP防护效果图4结束语

ARP协议自身的缺陷已经给网络尤其是局域网安全带来很大的隐患，计算机工作者应引起高度的重视。本文介绍了ARP攻击的原理及查找感染病毒主机的方法，并根据实际局域网运行中的情况给出了5种防御方法，对防止ARP病毒肆意传播，减少其对网络的危害，有效保护网络安全有一定的借鉴意义。

参考文献：

[1]王群.非常网管：网络安全[M].北京：人民邮电出版社，2007：4.

[2]谭敏，杨卫平.ARP 病毒攻击与防范[J].网络安全技术与应用，2008（4）：2930.

[3]裴秀琴.局域网中ARP病毒的分析与防范[J].电脑知识与技术，2009（9）：23452346.

[4]刘艳霞，郑羽.局域网ARP欺骗原理与抵御的研究[J].山西大同大学学报：自然科学版，2011（3）：1416.

[5]高军.浅谈局域网内在交换机上定位和防御ARP欺骗的方法[J]. 电脑知识与技术，2011（3）：536537.

[6]徐平均.网络安全攻击中ARP欺骗案例研究[J].计算机安全，2011（8）：6264.