劉昌烜

【摘要】本文在對ARP欺騙攻擊防控方法分析研究中，對局域網(wǎng)在運行過程中存在的安全問題作為研究基礎，了解ARP協(xié)議存在的不足，同時為計算機系統(tǒng)帶來的安全隱患，進而對ARP欺騙攻擊防控方法進行詳細闡述。筆者在分析研究之后發(fā)現(xiàn)，不同類別ARP欺騙攻擊防控方法都具有不同特征，局域網(wǎng)在實際應用過程中可以按照實際應用情況進行結(jié)合。

【關鍵詞】網(wǎng)絡安全；ARP欺騙攻擊；防控方法

在傳統(tǒng)網(wǎng)絡安全內(nèi)，主要對外網(wǎng)對局域網(wǎng)所造成的攻擊進行分析研究，所采取的網(wǎng)絡安全技術主要針對外網(wǎng)攻擊進行設計，例如防火墻、入侵檢測系統(tǒng)等。內(nèi)部攻擊主要表示由內(nèi)部人員引起，對系統(tǒng)所造成的不良影響。研究人員在研究之后認為，在已經(jīng)發(fā)生的網(wǎng)絡安全事故內(nèi)，大部分網(wǎng)絡安全事故全部屬于內(nèi)網(wǎng)。在ARP欺騙攻擊防控方法內(nèi)，ARP是主要遭受到的安全威脅。

1 ARP欺騙攻擊

1.1 ARP工作原理

兩個主機在進行傳輸過程中，需要通過網(wǎng)卡內(nèi)物理地址落實，ARP在實際應用過程中主要功能就是對主機地址進行了解，了解對應主機地址，進而保證兩臺主機之間能夠順利通信。

主機在發(fā)出數(shù)據(jù)包之前，主機會按照網(wǎng)段廣播申請ARP，對目的主機進行查詢，物理網(wǎng)絡內(nèi)主機在接受到這ARP請求之后，需要對數(shù)據(jù)包內(nèi)地址進行對比，保證IP地址相一致，要是數(shù)據(jù)包存在差別，就可以忽略不計。要是IP地址相同，主機就會將ARP數(shù)據(jù)包回傳到主機內(nèi)。主機在接受到ARP數(shù)據(jù)包之后，主機地址和針對地址都存儲到針對緩存列表內(nèi)，并且借助物理通道對信息進行傳輸。

1.2 ARP欺騙攻擊類型

ARP協(xié)議是建設在局域網(wǎng)結(jié)點上面，在實際應用過程中具有較高運行效率，但是運行安全系數(shù)卻較低。主機在接受到目標之后，ARP協(xié)議會接受針對主機內(nèi)容，對目標內(nèi)容進行儲存，但是并不需要對主機ARP請求包進行檢驗，同時也不會判斷應打包是都合理。在這種情況下，ARP非常容易造成攻擊，攻擊者可以借助ARP存在的安全漏洞，傳播虛假信息，對主機之間的通信造成不良影響。從網(wǎng)絡連接通暢方式而言，ARP欺騙攻擊主要可以分為三種類別，分別為內(nèi)網(wǎng)主機欺騙、ARP表格欺騙及中間人攻擊。

2 ARP欺騙攻擊防控方法

2.1 IP靜態(tài)綁定

IP靜態(tài)綁定是以靜態(tài)ARP表作為基礎原理，將Mac地址和ARP地址進行綁定，非法攻擊者在向主機傳輸非法地址情況下，ARP就會申請針對性數(shù)據(jù)包，主機并不會發(fā)現(xiàn)自身所儲存的ARP緩存表存在錯誤。IP靜態(tài)綁定實現(xiàn)方法步驟為：（1）按照主機所應用指令，對命令進行針對性傳輸，主要是對IP地址及Mac地址進行傳輸；（2）以內(nèi)網(wǎng)交換機端口作為基礎條件，對Mac地址和IP地址在主機上合法綁定。IP靜態(tài)綁定方法在實際應用過程中，主要在機器數(shù)量較少及較為固定地點上應用，例如學校機房等地點，并不適合在大型局域網(wǎng)上面應用。主要原因是由于IP靜態(tài)綁定方法在應用過程中需要配置任務作為保證，工作數(shù)量及難度較高。

2.2劃分安全域

ARP遭受到局域網(wǎng)攻擊過程中，其中主機在遭受到ARP病毒感染情況下，整個局域網(wǎng)都會遭受到病毒影響。因此，局域網(wǎng)覆蓋范圍月越廣，病毒所造成的不良影響將會越加嚴重。在內(nèi)部網(wǎng)絡環(huán)境內(nèi)，可以借助VLAN對局域網(wǎng)進行劃分，也就是將ARP欺騙攻擊控制在合理范圍。劃分安全域在實際應用過程中能夠有效緩解ARP攻擊，對ARP攻擊傳播范圍進行控制。但是劃分安全域在應用過程中也存在一定缺點，也就是安全域劃分要是過細，就會造成局域網(wǎng)資源共享難度較高，局域網(wǎng)管理難度顯著提高。

2.3 s-arp

s-arp是以ARP協(xié)議作為基礎，所形成的協(xié)議，同時和ARP協(xié)議之間具有良好兼容性，借助非對稱加密機制，對ARP數(shù)據(jù)包完整性和精確性進行保證，有效填補原有ARP協(xié)議存在的缺陷，進而對ARP攻擊有效防范。局域網(wǎng)內(nèi)s-arp協(xié)議，主機上都具有針對性密鑰及證書，每一個證書上都具有Mac地址及IP地質(zhì)，并且主機上都具有簽名信息。不同主機在通信傳輸過程中，主機需要對傳輸?shù)腗ac地址及IP地質(zhì)信息進行驗證，保證用戶身份合理性，因此非法攻擊者無法通過竊取信息應打包進行檢驗。S-arp協(xié)議有效階級了傳統(tǒng)ARP協(xié)議存在的問題，但是現(xiàn)階段僅僅能夠在linux系統(tǒng)內(nèi)應用，無法在windows系統(tǒng)內(nèi)應用。S-arp協(xié)議在今后分析研究中，在windows平臺上應用進行分析研究。這幾種ARP欺騙攻擊防控方法在應用過程中存在不同優(yōu)勢，進而局域網(wǎng)管理人員在對其選擇中，需要按照局域網(wǎng)實際需求，選擇適合自身應用的ARP欺騙攻擊防控方法，保證局域網(wǎng)并不遭受到ARP欺騙攻擊。

結(jié)論

本文主要以局域網(wǎng)ARP工作原理進行分析研究，了解ARP欺騙攻擊防控類別，并且對不同ARP欺騙攻擊防控方法進行了解。簡而言之，在局域網(wǎng)內(nèi)，攻擊者在不了解局域網(wǎng)操作系統(tǒng)及應用軟件情況下，僅僅利用ARP協(xié)議存在的漏洞，可以對局域網(wǎng)網(wǎng)絡內(nèi)攻擊進行了解，提高主機信息利用效率。所以，提高網(wǎng)絡邊界防護的情況下，也需要提高對局域網(wǎng)內(nèi)部防護關注程度。

參考文獻

[1]邢金閣，劉揚.ARP欺騙攻擊的檢測及防御技術研究[J].東北農(nóng)業(yè)大學學報，2012，08：74-77.

[2]宋玉芹.基于WINPCAP實現(xiàn)ARP欺騙攻擊[J].吉林省教育學院學報，2011，09：150-152.

[3]王紹龍，王劍，馮超.ARP欺騙攻擊的取證和防御方法[J].網(wǎng)絡安全技術與應用，2016，10：27-28.