許杰

摘 要：隨著現(xiàn)代化科學(xué)技術(shù)的快速發(fā)展，局域網(wǎng)已經(jīng)成為人們生活、辦公和學(xué)習(xí)中的重要工具，局域網(wǎng)在給人們提供便利的同時(shí)，也經(jīng)常發(fā)生竊取和篡改數(shù)據(jù)、惡意攻擊等網(wǎng)絡(luò)安全事件，特別是ARP欺騙攻擊事件，嚴(yán)重影響了局域網(wǎng)的安全、穩(wěn)定運(yùn)行，給政府部門和人們?cè)斐删薮蟮膿p失。本文分析了ARP欺騙攻擊原理，闡述了局域網(wǎng)中ARP欺騙攻擊的應(yīng)對(duì)措施。

關(guān)鍵詞：局域網(wǎng)；ARP；欺騙攻擊；原理

近年來(lái)，局域網(wǎng)被廣泛的應(yīng)用在企業(yè)中，成為企業(yè)辦公的重要平臺(tái)，但是局域網(wǎng)遭受的破壞和攻擊行為也越來(lái)越多，ARP是計(jì)算機(jī)網(wǎng)絡(luò)中一種重要的安全協(xié)議，對(duì)于保障網(wǎng)絡(luò)安全有著重要的作用。局域網(wǎng)中ARP欺騙攻擊，會(huì)導(dǎo)致信息網(wǎng)絡(luò)的信號(hào)中斷或者終端掉線，造成局域網(wǎng)數(shù)據(jù)丟失，給企業(yè)帶來(lái)不可彌補(bǔ)的損失，因此要全面了解局域網(wǎng)中ARP欺騙攻擊原理，積極采取有效應(yīng)對(duì)措施，提高局域網(wǎng)的安全性。

1 ARP欺騙攻擊原理

ARP是一種重要的地址解析協(xié)議，該協(xié)議將計(jì)算機(jī)網(wǎng)絡(luò)IP地址轉(zhuǎn)化為物理地址，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)層IP地址，確定網(wǎng)絡(luò)設(shè)備數(shù)據(jù)鏈路層的MAC地址，確保局域網(wǎng)正常的信息通信。ARP欺騙攻擊主要針對(duì)局域網(wǎng)，網(wǎng)絡(luò)黑客根據(jù)ARP協(xié)議的特點(diǎn)和工作特性，通過(guò)偽造MAC地址和IP地址進(jìn)行ARP欺騙攻擊，向局域網(wǎng)中植入木馬病毒，大量的數(shù)據(jù)信息會(huì)造成局域網(wǎng)短時(shí)間內(nèi)發(fā)生網(wǎng)絡(luò)堵塞，導(dǎo)致局域網(wǎng)數(shù)據(jù)被篡改和竊取，或者網(wǎng)絡(luò)發(fā)生終端，嚴(yán)重威脅局域網(wǎng)信息和通信安全。

在局域網(wǎng)系統(tǒng)中，黑客機(jī)主要是在網(wǎng)關(guān)和用戶機(jī)之間進(jìn)行ARP欺騙攻擊[1]，黑客機(jī)冒充網(wǎng)關(guān)向主機(jī)A發(fā)送相關(guān)的欺騙信息，主機(jī)A在接收欺騙信息后會(huì)改變?cè)瓉?lái)的ARP緩沖，然后將原本的網(wǎng)關(guān)數(shù)據(jù)發(fā)送到黑客機(jī)，黑客機(jī)再利用相同的原理冒充主機(jī)A欺騙網(wǎng)關(guān)，網(wǎng)關(guān)被欺騙之后，將原本主機(jī)A的數(shù)據(jù)發(fā)送到黑客機(jī)，黑客機(jī)在網(wǎng)關(guān)和主機(jī)A之間，可以竊取、篡改相關(guān)數(shù)據(jù)信息，嚴(yán)重影響了局域網(wǎng)的通信安全。黑客機(jī)結(jié)合ARP協(xié)議的工作特性，向網(wǎng)關(guān)和主機(jī)A發(fā)送特殊字段的欺騙信息報(bào)文。

2 局域網(wǎng)中ARP欺騙攻擊的應(yīng)對(duì)措施

2.1 雙綁措施

雙綁措施是指將局域網(wǎng)PC終端和網(wǎng)關(guān)雙向綁定IP和MAC地址。首先，在局域網(wǎng)中利用IPCONFIG指令獲取MAC和IP地址[2]，并且在局域網(wǎng)路由器ARP映射表中更新這些信息。其次，利用路由器的LAN口參數(shù)獲取局域網(wǎng)的MAC和IP地址。最后，在局域網(wǎng)的所有計(jì)算機(jī)上綁定靜態(tài)的ARP，這樣可以有效避免網(wǎng)絡(luò)黑客冒充主機(jī)或者網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)進(jìn)行ARP欺騙攻擊，提高局域網(wǎng)的安全性。

2.2 交換機(jī)和VLAN端口綁定

根據(jù)局域網(wǎng)的實(shí)際情況，將局域網(wǎng)劃分為若干虛擬局域網(wǎng)（VLAN），縮小局域網(wǎng)的廣播域范圍，將ARP欺騙攻擊控制在局域網(wǎng)的小區(qū)域內(nèi)，避免局域網(wǎng)出現(xiàn)大面積的中斷。另外，充分利用局域網(wǎng)交換機(jī)的MAC地址記憶和學(xué)習(xí)功能，建立局域網(wǎng)端口和交換機(jī)MAC的綁定表，避免黑客對(duì)局域網(wǎng)進(jìn)行ARP欺騙攻擊從而篡改或者竊取用戶的IP地址信息，提高局域網(wǎng)抵抗ARP欺騙攻擊的能力。

2.3 PPPoE認(rèn)證

PPPoE認(rèn)證是一種重要的局域網(wǎng)用戶認(rèn)證機(jī)制，局域網(wǎng)的合法用戶擁有專屬的密碼和賬號(hào)，用戶輸入正確的密碼和賬號(hào)，通過(guò)PPPoE認(rèn)證，才能在局域網(wǎng)中接受和發(fā)送相關(guān)數(shù)據(jù)信息，并且局域網(wǎng)中的通信數(shù)據(jù)經(jīng)過(guò)二次封裝，可以有效防止通信數(shù)據(jù)被篡改，避免局域網(wǎng)對(duì)ARP的欺騙攻擊。但是PPPoE認(rèn)證也具有一定的缺點(diǎn)，在局域網(wǎng)中使用PPPoE認(rèn)證，會(huì)影響網(wǎng)絡(luò)的通信效率，有時(shí)無(wú)法滿足局域網(wǎng)大量數(shù)據(jù)信息通信的需求。

2.4 構(gòu)建免疫局域網(wǎng)系統(tǒng)

為了不斷提高局域網(wǎng)的安全性，要積極湊建免疫局域網(wǎng)系統(tǒng)，在普通的局域網(wǎng)系統(tǒng)中，結(jié)合網(wǎng)卡、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的特點(diǎn)，采用濾窗技術(shù)、內(nèi)網(wǎng)防火墻、ARP先天免疫等網(wǎng)絡(luò)防護(hù)技術(shù)[3]，設(shè)定局域網(wǎng)的相關(guān)安全策略，使局域網(wǎng)主動(dòng)干預(yù)和抵御ARP欺騙攻擊行為，提高局域網(wǎng)的安全管理水平。

⑴終端防護(hù)措施。局域網(wǎng)中的用戶要主動(dòng)在計(jì)算機(jī)系統(tǒng)安裝免疫驅(qū)動(dòng)程序，沒(méi)有經(jīng)過(guò)免疫驅(qū)動(dòng)的檢測(cè)不能進(jìn)入局域網(wǎng)，同時(shí)局域網(wǎng)管理員要嚴(yán)格管理用戶的終端信息，確定真實(shí)的身份，將真實(shí)IP和物理網(wǎng)卡MAC一一對(duì)應(yīng)起來(lái)，在局域網(wǎng)中進(jìn)行信息通信時(shí)，利用免疫驅(qū)動(dòng)對(duì)通信數(shù)據(jù)進(jìn)行封裝套取，將免疫標(biāo)識(shí)、真實(shí)IP和MAC整合成一個(gè)完成數(shù)據(jù)包，避免MAC的假冒和克隆。利用這種主動(dòng)的防護(hù)措施，加強(qiáng)局域網(wǎng)的信息通信監(jiān)管，實(shí)時(shí)保護(hù)真實(shí)的IP和MAC信息，避免被篡改。

⑵安裝免疫路由器。在局域網(wǎng)中安裝免疫路由器，和普通路由器相比，免疫路由器在NAT過(guò)程采用了不同的算法，改變了傳統(tǒng)的NAT映射IP-MAC轉(zhuǎn)發(fā)算法，融入了網(wǎng)絡(luò)安全技術(shù)，不處理局域網(wǎng)的ARP申告，ARP欺騙攻擊對(duì)于免疫路由器來(lái)說(shuō)沒(méi)有作用，這樣有效避免了局域網(wǎng)的ARP欺騙攻擊[4]。

3 結(jié)束語(yǔ)

局域網(wǎng)中的ARP欺騙攻擊是IT行業(yè)重點(diǎn)關(guān)注的問(wèn)題，結(jié)合ARP欺騙攻擊的原理，有針對(duì)性采取應(yīng)對(duì)措施，實(shí)現(xiàn)局域網(wǎng)的主動(dòng)干預(yù)，充分發(fā)揮職能監(jiān)控、裙房群控的重要作用，構(gòu)建高效、安全的局域網(wǎng)系統(tǒng)。

[參考文獻(xiàn)]

[1]戴子剛，主編.局域網(wǎng)應(yīng)用技術(shù)[M].東南大學(xué)出版社，2003.

[2]張振，楊闈元.局域網(wǎng)ARP攻擊分析及應(yīng)對(duì)策略[J].黑龍江科技信息，2010（17）.

[3]陳世紅.淺析校園網(wǎng)ARP攻擊及對(duì)策[J].科技信息，2010（19）.

[4]黃玉春，王自南.淺談局域網(wǎng)中的嗅探原理和ARP欺騙[J].大眾科技，2006（08）.