ＡＲＰ欺騙及其對策

[摘 要]隨著計算機技術和網絡技術的發展和普及，網絡本身的開放性、不確定性、交互性和脆弱性使得網絡安全問題顯得日益重要和突出，網絡安全問題越來越得到人們的重視。由于ARP協議發展較早，協議相對比較簡單，并且沒有驗證或校對等措施，因此存在著嚴重的安全隱患。它是局域網進行通訊的基礎，是以信任為基礎的，如果信任被破壞了，那就形成了ARP欺騙。

[關鍵詞]ARP欺騙 對策

作者簡介：王盤崗，男，漢族，河南省西平縣人，講師，主要研究方向：網絡安全。

一、ARP原理

ARP即地址解析協議，是一個位于TCP/IP協議中的低層協議，其將各設備的IP地址和MAC地址對應起來，即將網絡層地址解析為數據鏈路層的MAC地址，保證通信的順利進行。

其基本原理：用戶甲要向乙發送報文，會查詢本地的ARP緩存表，找到乙的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，會將甲的ARP請求報文進行廣播，請求指定IP地址的乙回答其物理地址。網上所有主機包括乙都會收到ARP請求，但只有乙才能識別自己的IP地址，于是向甲發回一個ARP響應報文。其中就包含有乙的MAC地址，甲收到乙的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據。因此，本地高速緩存的這個ARP表是動態的且是本地網絡流通的基礎。ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。

二、ARP欺騙

由于ARP協議發展較早，協議相對比較簡單，采用了廣播、動態學習機制，并且沒有任何驗證或校對等安全措施，因此存在著比較嚴重的安全隱患。它是系統進行通訊的基礎，是以信任為基礎的，如果破壞了這個信任，那就形成ARP欺騙了。

ARP欺騙簡單來說，偽造源MAC地址發送ARP響應包，破壞ARP緩存機制。ARP協議在局域網通信中，處于一個非常關鍵的位置，一旦出現問題，將直接導致以局域網環境中的設備無法通信。如果ARP欺騙問題處理不好，將給網絡帶來嚴重影響。

當局域網中的某臺機器乙向甲發送一個自己偽造的ARP應答，而如果這個應答是乙冒充丙偽造來的，即IP地址為丙的IP，而MAC地址是偽造的，則當甲接收到乙偽造的ARP應答后，就會更新本地的ARP緩存，這樣在甲看來丙的IP地址沒有變，而它的MAC地址已經不是原來那個了。由于局域網的網絡流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在甲上被改變成一個不存在的MAC地址，這樣就會造成網絡不通，造成甲Ping不通丙，這就是一個ARP欺騙。

當局域網中一臺機器，反復向其他機器，特別是向網關，發送這樣無效假冒的ARP應答信息包時，嚴重的網絡堵塞就會開始。由于網關MAC地址錯誤，所以從網絡中計算機發來的數據無法正常發到網關，自然無法正常上網，這就造成了無法訪問外網的問題。

可以通過如下方式確定是否是ARP欺騙：在確保局域網交換機正常工作和網線正常連接的情況下，在命令提示符狀態下，執行arp/a，查看網關ip地址對應的mac是否是路由器的網口的mac地址，如果不是，基本可以確定是ARP欺騙。

ARP欺騙只要一開始就可能造成局域網內計算機無法和其他計算機進行通訊，只要局域網中存在一臺感染“ARP欺騙”病毒的計算機將會造成整個局域網通訊中斷，IE瀏覽器和常用軟件出現故障，嚴重的甚至可能帶來整個網絡的癱瘓。它不但會使網絡產生較大的延時，而且會造成局域網的中斷，并且中毒主機會截取局域網內所有的通訊數據，并向其他用戶發送帶了自身ARP病毒的數據，對局域網用戶的網絡使用造成非常嚴重的影響，直接威脅著局域網用戶自身的信息安全。

三、ARP欺騙的攻擊類型

（一）盜用或強占IP

利用ARP機制，盜用或者強占他人IP，由此進行侵權或其他非法操作

（二）網關或服務器IP欺騙

發送一系列錯誤的內網MAC地址，假冒局域網中的網關或其他服務器IP地址，把正常應該傳給網關或服務器的數據流引向進行ARP欺騙的計算機，讓被欺騙的主機向假網關發數據，造成無法通過正常的路由器上網，使其無法實現正常的數據通信，從而造成網絡中斷或時斷時續，或數據丟失，造成正常PC無法收到信息。

（三）搶占資源

使用ARP欺騙技術將別人的網絡斷掉，搶占出口網絡帶寬，以方便自己快速下載。

四、ARP欺騙的解決方案

（一）靜態綁定

單純依靠IP地址或MAC地址來建立信任關系是不安全，必須建立在IP地址及MAC地址關聯基礎上。所以將IP和MAC靜態綁定，在網內把主機和網關都做進行IP和MAC綁定。欺騙是通過ARP的動態實時的規則欺騙內網機器，所以我們把ARP全部設置為靜態可以解決對內網機器的欺騙，同時在網關也要進行IP和MAC的靜態綁定。這樣每臺電腦都需綁定，且重啟后仍需綁定。

（二）采用ARP防火墻軟件

ARP防火墻軟件具有智能檢測和防御ARP欺騙的功能，ARP防火墻采用系統內層攔截技術和主動防御技術，可解決大部分欺騙、ARP攻擊帶來的問題， 保障通訊數據不被惡意軟件監聽和控制，保證網絡暢通。ARP防火墻軟件可以攔截接收到的虛假ARP數據包，保障本機ARP緩存表的正確性，攔截本機對外的ARP攻擊數據包，避免本機感染ARP病毒后成為攻擊源，攔截接收到的IP沖突數據包，避免本機因IP沖突造成掉線等。另外其可以主動向網關通告本機正確的MAC地址，保障網關不受ARP欺騙影響。

（三）利用交換機或路由器過濾

即進行相關的配置，將IP地址與MAC地址綁定，啟用ARP檢查，以過濾偽造源MAC地址的ARP攻擊，使ARP欺騙攻擊的破壞性減到最小。

（四）主動查詢

在某個正常的時刻，做一個IP和MAC對應的數據庫，以后定期檢查當前的IP和MAC對應關系是否正常。定期檢測交換機的流量列表，查看丟包率。

（五）部署網絡流量檢測設備，時刻監視全網的ARP廣播包，查看其MAC地址是否正確。

另外，還可遵循以下方法以減少或避免ARP欺騙：（1）加強安全意識。安裝正版的殺毒軟件，并及時更新；不瀏覽缺乏可信度的網站；不輕易下載和安裝盜版的、不可信任的軟件或者程序；不隨便打開不明來歷的電子郵件，尤其是郵件附件；不隨便點擊打開QQ等聊天工具上發來的鏈接信息；使用360安全衛士等工具軟件修復不安全的系統設置（2）及時使用工具軟件修補OS系統漏洞；（3）停止不必要的系統服務。

參考文獻

[1]葉成緒。校園網中基于ARP的欺騙及其預防， 青海大學學報（自然科學報） ， 2007 （3）

[2]曹洪武。ARP欺騙入侵的檢測與防范策略。塔里木大學學報， 2007 （2）.

[3]黃學林。ARP協議欺騙原理分析及防范措施。廣東科技，2007，（7）

[4]朱光迅。ARP欺騙原理及防護技術方案。韶關學院學報，2007，28（6）