摘要：在目前的高職校園網(wǎng)中，對網(wǎng)絡(luò)安全威脅最大的就是ARP欺騙。ARP欺騙不但會威脅用戶的信息安全，還會導(dǎo)致網(wǎng)絡(luò)出現(xiàn)故障，網(wǎng)速緩慢或者根本無法上網(wǎng)。筆者根據(jù)多年的經(jīng)驗，在本文中介紹了ARP協(xié)議的概念、工作原理、ARP協(xié)議存在的設(shè)計缺陷以及感染ARP病毒的癥狀，然后介紹了常見的ARP欺騙形式，最后介紹了防御ARP欺騙的對策。

關(guān)鍵詞：高職校園網(wǎng)；ARP欺騙；防御對策

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）13-3012-02

隨著信息化水平的不斷提高和計算機技術(shù)的普及，很多高職都加大了對校園網(wǎng)的建設(shè)力度，校園內(nèi)的網(wǎng)絡(luò)越來越普及。人們在感受到網(wǎng)絡(luò)帶來的快捷和方便之外，也感受到了網(wǎng)絡(luò)帶來的危害，比如說網(wǎng)絡(luò)安全問題。ARP攻擊是校園局域網(wǎng)中最為常見的一種攻擊方式，很多學校的校園網(wǎng)都深受其害，有些還造成了大面積的計算機網(wǎng)絡(luò)中斷，給學校都正常教學和工作帶來了極為不利的影響。

校園網(wǎng)內(nèi)的計算機實驗室飽受ARP攻擊最為嚴重的場所之一，主要原因為實驗室中計算機數(shù)量多而且集中，而且由于用戶的I知識水平參差不齊，容易收到ARP病毒的攻擊。ARP病毒攻擊給校園網(wǎng)絡(luò)管理人員帶來了巨大的工作量，而且也嚴重影響了學校正常的工作和教學秩序。要減小或者消除ARP欺騙的攻擊，我們必須對ARP有個全面而準確的了解。

1 ARP簡介及ARP病毒攻擊原理

1.1 ARP協(xié)議概念

ARP是Address Resolution Protocol的簡稱，即地址解析協(xié)議。ARP協(xié)議的作用是將計算機的網(wǎng)絡(luò)地址轉(zhuǎn)化為物理地址，即將IP地址轉(zhuǎn)化為MAC地址。使用ARP協(xié)議，通過目標計算機的IP地址查詢到目標計算機的MAC地址，從而達到與目標計算機通信的目的。在網(wǎng)絡(luò)中，只有知道目標設(shè)備的物理地址，才能實現(xiàn)通信，因此，在學校的局域網(wǎng)中，所有的IP通訊最終都要轉(zhuǎn)化為物理地址的通信，而這些就是ARP協(xié)議所要實現(xiàn)的功能。IP地址與物理地址的映射方式有兩種，表格方式和非表格方式。

1.2 ARP協(xié)議的工作原理

每一個安裝了TCP/IP協(xié)議的計算機都有一個ARP高速緩存，里面放著一個IP地址-MAC地址的映射表，映射表中包含目前計算機所知道的的局域網(wǎng)中各個主機和路由器的IP地址與MAC地址的對應(yīng)關(guān)系。

下面我們以實例來對說明ARP協(xié)議的工作原理。假設(shè)有一臺主機A，其IP地址是192.168.0.112，MAC地址為00-36-ac-78-24-cb，有一臺主機B，其IP地址是192.168.0.36，MAC地址是00-ca-65-40-cb-78。

當主機A想要向主機B發(fā)送數(shù)據(jù)包的時候，主機A會去查詢自己的ARP高速緩存表，看自己的ARP高速緩存表中是否有主機B的映射信息，即主機B的IP地址和MAC地址的對應(yīng)關(guān)系。如果主機A的ARP高速緩存表中有主機B的映射信息，那么找出主機B的MAC地址，然后根據(jù)主機B的MAC地址向主機B發(fā)送數(shù)據(jù)包。如果主機A的高速緩存表中沒有主機B的映射信息，那么主機A會向網(wǎng)絡(luò)中的所有主機都發(fā)送一個ARP請求的廣播數(shù)據(jù)包，這個數(shù)據(jù)包是向所有主機詢問“192.168.0.36”的主機的MAC地址。別的主機在接收到這個廣播數(shù)據(jù)包之后，不會回應(yīng)這個廣播數(shù)據(jù)包，只有主機B接收到這個廣播數(shù)據(jù)包之后，會以ARP應(yīng)答包的方式回應(yīng)主機A，即告訴主機A，本機的IP地址就是“192.168.0.36”，本機的MAC地址是“00-ca-65-40-cb-78”。主機B發(fā)出的數(shù)據(jù)會發(fā)送給主機A，主機A在接收到主機B的MAC地址之后會根據(jù)這個MAC地址向主機B發(fā)送數(shù)據(jù)包。同時，主機A還會把主機B的IP地址與MAC地址對應(yīng)關(guān)系寫入高速緩存表中，這樣，當主機A下次還要向主機B發(fā)送數(shù)據(jù)包的時候就可以直接在ARP高速緩存表中找到主機B的MAC地址。

ARP高速緩存表采用了老化機制，即ARP表中的IP地址與MAC地址的對應(yīng)關(guān)系只會存在一定的時間，超過這個設(shè)置的時間之后，如果緩存表中有一行沒有使用的話就會被刪除，從而加快查詢的速度。

1.3 ARP協(xié)議的設(shè)計缺陷

ARP協(xié)議在設(shè)計之初就沒有考慮過安全性，在設(shè)計ARP協(xié)議時，是認為局域網(wǎng)的所有節(jié)點都是可以信任的，網(wǎng)絡(luò)是絕對安全的，因此，不會去檢查是否發(fā)送過廣播數(shù)據(jù)包，也不會去檢查受到的應(yīng)答是否合法。因此，ARP協(xié)議是存在著設(shè)計缺陷的，主要表現(xiàn)如下：

1）主機的ARP高速緩存表是依據(jù)接收到的ARP應(yīng)答包來進行動態(tài)更新的。主機的高速緩存表會在一個設(shè)置時間后進行刷新，很多攻擊者就是利用更新數(shù)據(jù)之前的時間段來修改被攻擊機器上的地址緩存，從而來進行拒絕服務(wù)或者假冒的攻擊的。

2）ARP協(xié)議沒有連接的概念，局域網(wǎng)中的主機在沒有發(fā)出ARP請求的情況下，也會做出應(yīng)答。有些攻擊者向主機發(fā)送ARP響應(yīng)，而主機即使沒有向攻擊者發(fā)送ARP請求，也會接受ARP響應(yīng)，從而根據(jù)攻擊者發(fā)出的虛假的信息來修改其高速緩存表。

3）ARP協(xié)議沒有認證機制，只要接收到協(xié)議包就會就會根據(jù)協(xié)議包來修改ARP緩存表，而不去檢查其是否合法。這樣完全信任局域網(wǎng)內(nèi)主機的方式，給局域網(wǎng)的安全帶來了相當大的安全隱患。

由此可見，ARP協(xié)議中存在很多的安全漏洞，而這些安全漏洞導(dǎo)致了ARP攻擊具備了欺騙性和隱蔽性，而且ARP攻擊的技術(shù)門檻比較低，因此，對ARP攻擊的防御難度比較大。

1.4感染ARP病毒的癥狀

網(wǎng)絡(luò)中的計算機被ARP病毒攻擊之后，主要表現(xiàn)為以下一些癥狀：在某一個網(wǎng)段中的所有主機都無法正常連接網(wǎng)絡(luò)；網(wǎng)速很慢，網(wǎng)絡(luò)連接時斷時續(xù)，嚴重者甚至根本就無法連接網(wǎng)絡(luò)，發(fā)送包數(shù)據(jù)量遠遠高出接收到的數(shù)據(jù)包量；會發(fā)現(xiàn)一些可疑的進程；交換機指示燈出現(xiàn)大面積相同頻率的閃爍；查看當前緩存表時返回的網(wǎng)關(guān)的MAC地址與實際網(wǎng)關(guān)的MAC地址不同。出現(xiàn)這些情況，則可以證明局域網(wǎng)中有主機感染了ARP病毒。

2 常見的ARP欺騙形式

2.1欺騙主機

所謂的欺騙主機，就是采用偽造、假冒等方法來迷惑局域網(wǎng)中的主機。具體在ARP攻擊中，主要指攻擊者偽裝為網(wǎng)絡(luò)中的網(wǎng)關(guān)，從使得被欺騙的主機無法連接網(wǎng)絡(luò)。當ARP攻擊者使用欺騙主機的手段的時候，它把自己的MAC地址對應(yīng)的IP地址以廣播數(shù)據(jù)包或者ARP應(yīng)答包的形式不斷向被欺騙的主機發(fā)送信息，由于ARP協(xié)議的設(shè)計存在缺陷，因此，被欺騙的主機中的ARP高速緩存表中存儲的網(wǎng)關(guān)的MAC地址就變成了攻擊者的MAC地址，從而導(dǎo)致被欺騙的主機無法正常連接網(wǎng)絡(luò)，出現(xiàn)掉線。

2.2欺騙交換機

我們知道，交換機會對各端口以及端口所連接的主機的對應(yīng)關(guān)系進行記錄，形成一個端口和主機MAC地址的對應(yīng)關(guān)系表，這個表就是CAM表。當攻擊者使用欺騙交換機的手段來攻擊的時候，它會連續(xù)不斷的將包含有錯誤MAC地址的ARP包發(fā)送給交換機，因此，交換機中的CAM表會被很快的填滿直至溢出，當CAM表發(fā)生溢出之后，交換機負荷量會很大，容易導(dǎo)致丟包、網(wǎng)絡(luò)緩慢甚至是網(wǎng)絡(luò)的癱瘓。

2.3欺騙路由器/網(wǎng)關(guān)

欺騙路由器/網(wǎng)關(guān)，攻擊者是冒充局域網(wǎng)中的主機的MAC地址，截獲主機數(shù)據(jù)，或者偽造一些局域網(wǎng)中主機的MAC地址，然后持續(xù)不斷的向這些路由器發(fā)送偽造的主機的MAC地址，由于路由器收到的都是偽造的主機的MAC地址，因此，局域網(wǎng)中主機的真實MAC地址就無法保存到路由器中。路由器的數(shù)據(jù)就會發(fā)送給這些偽造的MAC地址，導(dǎo)致局域網(wǎng)中的主機都無法接收到來自路由器的信息，也就無法響應(yīng)正常的ARP請求，從而導(dǎo)致路由器無法正常通信。

3 ARP欺騙的防御對策

根據(jù)對高職校園網(wǎng)中ARP欺騙的案例的分析，我們可以很明顯的發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部主機的ARP欺騙是高職校園網(wǎng)中的ARP欺騙主要來源。比起其他網(wǎng)絡(luò)相比，高職校園網(wǎng)有其特殊的一面，這也給ARP病毒攻擊的防護帶來了一定的困難，我們在防御ARP病毒攻擊的時候要根據(jù)這個特點來采取相應(yīng)的措施。就目前而言，ARP欺騙的防御還沒有一種特別有效的措施，通常情況下都是采用IP地址和MAC地址的靜態(tài)綁定的形式或者啟用ARP報文限速功能等。

3.1客戶端的防御

1）加強客戶端ARP的檢測。在客戶端正常的情況下，查看本機正確的IP地址以及記錄本機ARP緩存表中網(wǎng)關(guān)及其對應(yīng)的MAC地址，當客戶端出現(xiàn)異常時，可以查看這些記錄，如果存在差異則說明主機已經(jīng)感染ARP病毒。

2）將客戶端的操作系統(tǒng)打上最新的補丁，讓系統(tǒng)的防御能力得到提升。此外，還可以使用靜態(tài)綁定的方法，即將本機的IP地址與MAC地址進行綁定，不允許進行修改。同時，還可以安裝一些防御ARP攻擊的軟件來防御和處理ARP病毒。

3.2交換機的防御

1）對交換機中的日志文件和ARP緩存表進行監(jiān)控，從而及時發(fā)現(xiàn)ARP病毒。

2）在發(fā)現(xiàn)某個VLAN有ARP欺騙攻擊后，可以查找出ARP攻擊的計算機所在的端口，然后將端口和計算機的連接線拔出，再對感染的計算機進行殺毒。

3.3其他防御策略

1）在局域網(wǎng)中安裝ARP服務(wù)器，替代局域網(wǎng)中的主機ARP應(yīng)答包。這種方法可以很好的防御ARP病毒攻擊，但是存在配置復(fù)雜、成本高的缺點。

2）安裝ARP防火墻。ARP防火墻簡單易用，而且防護全面。

3）在交換機端口上綁定IP地址和MAC地址，限制ARP流量，開啟ARP報文限速功能，從而杜絕ARP攻擊。

4）用戶要養(yǎng)成良好的上網(wǎng)習慣，提高自身的安全意識，不隨便打開可疑的文件盒程序，及時更新操作系統(tǒng)的補丁。

參考文獻：

[1] 王小玲，周剛.一種擴展的ARP協(xié)議設(shè)計[J]. 四川理工學院學報：自然科學版，2011，24（02）：59-62.

[2] 潘曉君.基于緩存超時的ARP欺騙攻擊協(xié)議的研究[J]. 計算機技術(shù)與發(fā)展，2009，19（10）：173-175.

[3] 胡清桂.一種新的ARP協(xié)議改進方案[J]. 陜西科技大學學報：自然科學版，2011，30（05）：84-89.