黃元培

（國(guó)家新聞出版廣電總局九一六臺(tái)，青海 格爾木 816099）

ARP欺騙在局域網(wǎng)中的分析及防御探究

黃元培

（國(guó)家新聞出版廣電總局九一六臺(tái)，青海 格爾木 816099）

ARP欺騙是局域網(wǎng)中比較常見的一種攻擊方法，對(duì)于計(jì)算機(jī)的安全十分不利。本文主要圍繞著ARP欺騙展開了討論，先是分析了ARP欺騙的攻擊方式，然后詳細(xì)分析了如何應(yīng)對(duì)這種攻擊，保證局域網(wǎng)數(shù)據(jù)信息的可靠性和安全性。

ARP欺騙；局域網(wǎng)；防御

隨著我國(guó)計(jì)算機(jī)的發(fā)展，網(wǎng)絡(luò)入侵現(xiàn)象日益嚴(yán)重。同時(shí)人們?cè)谑褂糜?jì)算機(jī)時(shí)習(xí)慣將一些重要資料存放到其中。一旦發(fā)生計(jì)算機(jī)攻擊現(xiàn)象，會(huì)給人們?cè)斐梢欢ǖ慕?jīng)濟(jì)損失。而ARP欺騙就是一種黑客比較常用的攻擊行為，主要是通過(guò)偽裝假地址進(jìn)行數(shù)據(jù)攔截和偽裝。但是ARP欺騙又無(wú)法完全禁止。為此，做好ARP欺騙的分析和防御是非常重要的。

1 ARP欺騙和攻擊方式

1.1 簡(jiǎn)單攻擊方式

簡(jiǎn)單的說(shuō)就是攻擊主機(jī)偽裝成ARP包來(lái)欺騙目標(biāo)主機(jī)和局域網(wǎng)中的網(wǎng)關(guān)。這樣目標(biāo)主機(jī)就會(huì)認(rèn)為這個(gè)數(shù)據(jù)包是安全、合法的。就如同向其他人郵寄信件而寫錯(cuò)了地址，以致于發(fā)錯(cuò)了地方。這樣就會(huì)直接造成目標(biāo)主機(jī)的斷線。

1.2 中間人攻擊

所謂中間人攻擊就是在兩臺(tái)主機(jī)和多臺(tái)主機(jī)之間安裝一臺(tái)透明主機(jī)，當(dāng)主機(jī)之間相互傳遞信息和數(shù)據(jù)時(shí)，透明主機(jī)就會(huì)將這些數(shù)據(jù)信息截獲。最重要的是透明主機(jī)會(huì)與原始主機(jī)建立連接，并使得攻擊變得隱蔽。這種攻擊手段很難發(fā)現(xiàn)。

1.3 基于ARP的DOS攻擊

DOS攻擊，即拒絕服務(wù)攻擊。其主要作用是能夠讓被攻擊的主機(jī)拒絕用戶訪問(wèn)，從而造成主機(jī)系統(tǒng)崩潰。在這個(gè)過(guò)程中，攻擊主機(jī)會(huì)利用ARP欺騙工具，不斷向被攻擊主機(jī)發(fā)送大量的攻擊請(qǐng)求，這時(shí)被攻擊主機(jī)就會(huì)因?yàn)樽陨硐到y(tǒng)服務(wù)功能的限制和ARP欺騙，無(wú)法找到對(duì)方主機(jī)。顯然，ARP欺騙起到了主要的隱藏作用。

2 防御方法

2.1 靜態(tài)ARP表綁定

在使用局域無(wú)線網(wǎng)之時(shí)，計(jì)算機(jī)使用者可以固定IP避免地址沖突。但是同時(shí)IP的隨意修改容易造成計(jì)算機(jī)安全問(wèn)題。通常在路由器會(huì)進(jìn)行局域網(wǎng)IP綁定，但路由器再次被用在另一個(gè)局域網(wǎng)之中時(shí)，路由器會(huì)再次固定IP。在此配置的過(guò)程中，路由器會(huì)通過(guò)ARP協(xié)議生成MAC地址以及IP-MAC動(dòng)態(tài)對(duì)應(yīng)表。這樣數(shù)據(jù)數(shù)據(jù)在傳輸?shù)倪^(guò)程中就需要通過(guò)ARP表檢查，通過(guò)就進(jìn)行轉(zhuǎn)發(fā)，不通過(guò)則拒發(fā)。最重要的是還能夠保證在非法用戶不改變MAC地址的前提下，阻止冒用IP地址跨網(wǎng)段的訪問(wèn)。另外，在進(jìn)行MAC和IP地址綁定時(shí)，用戶可以通過(guò)直接在路由器設(shè)置選項(xiàng)中選擇，讓路由器自動(dòng)進(jìn)行綁定。或者也可以通過(guò)DOS命令，輸入ARP IP地址 MAC地址，這樣也能夠綁定IP地址和MAC地址。

比方說(shuō)：DOS界面下，輸入命令【arp -s 192.168.1.200 00-aa-00-62-c6-09】 回車即可。其中192.168.1.200表示IP地址，00-aa-00-62-c6-09表示MAC地址。需要注意的是這種方式死臨時(shí)性的，在系統(tǒng)重啟之后會(huì)自動(dòng)消失。也可以通過(guò)“netsh”命令來(lái)實(shí)現(xiàn)：DOS界面下，輸入命令【netsh i i show in】 ，查看本地網(wǎng)卡對(duì)應(yīng)的“Idx”值，接下來(lái)會(huì)使用到。然后在DOS界面下，輸入命令【netsh -c“i i" add ne 18 192.168.1.200 00-aa-00-62-c6-09】，綁定IP與MAC。這種綁定方式即使是在重啟系統(tǒng)之后仍然有效。

2.2 使用ARP軟件

隨著我國(guó)計(jì)算機(jī)技術(shù)的發(fā)展，很多防毒軟件和計(jì)算機(jī)安全防護(hù)軟件越來(lái)越多。而且很多公司還針對(duì)個(gè)人、企業(yè)制定了相應(yīng)的防護(hù)軟件。對(duì)于一些電腦小白來(lái)說(shuō)，就可以選擇一些軟件防止ARP欺騙。

目前給局域網(wǎng)的應(yīng)用十分廣泛，但是有些人為了搶占網(wǎng)速，會(huì)使用一些軟件來(lái)限制別人的網(wǎng)速。對(duì)于這些問(wèn)題可以采取安全防護(hù)軟件。如ARP防火墻、360和金山衛(wèi)士的ARP防火墻等。這些軟件都可以實(shí)現(xiàn)計(jì)算機(jī)防護(hù)。ARP的通病就是掉線，在掉線的基礎(chǔ)上可以通過(guò)以下幾種方式判別，一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。因?yàn)锳RP欺騙是由時(shí)限，過(guò)了期限就會(huì)自動(dòng)的回復(fù)正常。而且現(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停廣播自己的正確ARP，使受騙的機(jī)器回復(fù)正常。此外，打開被騙機(jī)器的DOS界面，輸入ARP -A命令會(huì)看到相關(guān)的ARP表，通過(guò)看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙，但是由于時(shí)限性，這個(gè)工作必須在機(jī)器回復(fù)正常之前完成。如果出現(xiàn)欺騙問(wèn)題，ARP表里面會(huì)出現(xiàn)錯(cuò)誤的網(wǎng)關(guān)MAC地址，和真實(shí)的網(wǎng)關(guān)MAC一對(duì)黑白立分。

這時(shí)個(gè)人用戶需要注意計(jì)算機(jī)是否遭受ARP攻擊。如可以打開DOS命令，并輸入arp-a，如果發(fā)現(xiàn)其中存在兩個(gè)相同的MAC地址，就表明電腦此時(shí)遭受了ARP攻擊。另外安裝了360的用戶有時(shí)也會(huì)顯示電腦正在遭受ARP攻擊。而如果是服務(wù)器用戶，可以安裝專業(yè)的服務(wù)器安全軟件?？偟膩?lái)說(shuō)，對(duì)于一些企業(yè)和個(gè)人用戶來(lái)說(shuō)，選擇ARP防護(hù)軟件是一種比較合適的防止ARP欺騙方法。

2.3 VLAN和交換機(jī)端口綁定

VLAN是指虛擬局域網(wǎng)，虛擬局域網(wǎng)和交換機(jī)端口綁定是一種比較常見和常用的防御方法。在虛擬局域網(wǎng)中，用戶并不受到物理位置的限制。通常會(huì)按照功能類型和應(yīng)用方式等因素將這些用戶組織在一起，保證這些用戶之間的相互通信。

將虛擬局域網(wǎng)和交換機(jī)端口主要做法是通過(guò)細(xì)化虛擬局域網(wǎng)，使局域網(wǎng)的范圍逐漸變小，而后使ARP的使用范圍縮小，這樣就不會(huì)造成大面積的ARP影響。另外，一些網(wǎng)關(guān)交換機(jī)能夠自動(dòng)學(xué)習(xí)MAC地址，在完成學(xué)習(xí)之后就會(huì)自動(dòng)將MAC地址和端口進(jìn)行綁定，以避免網(wǎng)絡(luò)病毒借助ARP攻擊篡改計(jì)算機(jī)。總的來(lái)說(shuō)，虛擬局域網(wǎng)和交換機(jī)端口綁定能夠有效避免ARP截獲數(shù)據(jù)，保證計(jì)算機(jī)安全性和可靠性。

2.4 設(shè)置ARP服務(wù)器

設(shè)置ARP服務(wù)器主要就是在局域網(wǎng)中制定一臺(tái)機(jī)器將其作為ARP服務(wù)器，然后將所有的主機(jī)的IP地址和MAC地址映射記錄存儲(chǔ)在這臺(tái)機(jī)器中，以保證信息的安全。同時(shí)，這臺(tái)服務(wù)器還會(huì)通過(guò)查閱服務(wù)器內(nèi)部的ARP靜態(tài)緩存記錄作為被查詢主機(jī)響應(yīng)局域網(wǎng)內(nèi)容的ARP請(qǐng)求。這樣就能夠避免ARP欺騙對(duì)其它主機(jī)的影響。但是需要注意的是隨著我國(guó)計(jì)算機(jī)技術(shù)的逐漸發(fā)展，ARP攻擊技術(shù)也在不斷地發(fā)展和完善。為此，個(gè)人用戶和企業(yè)應(yīng)當(dāng)中不斷采用最新、最先進(jìn)的防御方法，并不斷更新軟件。這樣才能在ARP攻擊不斷發(fā)展和更新的背景下，保證局域網(wǎng)的安全，真正推進(jìn)我國(guó)網(wǎng)絡(luò)技術(shù)的發(fā)展。

3 結(jié)語(yǔ)

綜上所述，在我國(guó)局域無(wú)線網(wǎng)不斷發(fā)展的背景下，應(yīng)當(dāng)重視不斷加強(qiáng)ARP的防范，保證計(jì)算機(jī)的安全和可靠。尤其是不斷深入研究造成ARP欺騙的原因，提出科學(xué)、合理的措施，來(lái)真正保證局域網(wǎng)的安全性。

[1] 朱小華.ARP欺騙在局域網(wǎng)中分析與防范[J].網(wǎng)絡(luò)財(cái)富，2010（11）：150-151.

[2] 張麗.局域網(wǎng)中ARP欺騙攻擊的防御思路與實(shí)現(xiàn)[J]. 數(shù)字通信，2013（2）：90-92.

[3] 周蘭香.局域網(wǎng)入侵攻擊的防范措施[A].中國(guó)職協(xié)2015年度優(yōu)秀科研成果獲獎(jiǎng)?wù)撐募ㄖ袃?cè)）[C]，2015:（16.）

Analysis and defense of ARP deception in local area network

Huang Yuanpei
(State Press and Publication Administration of Radio 916，Golmud 816099, China)

ARP spoofing is a common attack method in the LAN, is unfavorable for the security of the computer. This paper mainly focuses on the ARP spoofing is discussed, first analysis of the ARP spoofing attacks, then a detailed analysis of how to deal with this attack, ensure the safety and reliability of data information of local area network.

ARP deception; local area network; defense

黃元培（1990— ），男，河南南陽(yáng)人。