高校校園網ARP病毒欺騙原理及防御方法

閆實 劉占波 馮修猛

1 牡丹江醫學院教育技術與信息中心 黑龍江 157011

2 牡丹江醫學院教務處 黑龍江 157011

0 引言

隨著互聯網在高校校園的普及，網絡安全成為高校網絡管理一大難題。教學活動對校園網的依賴程度越來越高，網絡安全成為高校教學工作能順利進行的重要保障之一。近兩年，校園網普遍爆發一種叫“ARP欺騙型”病毒，該病毒發作時會導致網絡時斷時續，嚴重影響了校園網的正常運行，給網絡管理人員帶來了前所未有的挑戰。

1 ARP病毒欺騙原理

1.1 ARP協議

地址解析協議(Address Resolution Protocol,ARP)。是一種將IP地址轉化為物理地址的協議。一般用于局域網中，它將IP地址解析為網卡的物理地址，又稱為MAC地址。局域網中的所有IP通訊最終都必須轉換成基于MAC地址的通信。ARP協議的工作就是查找目的主機的IP地址所對應的MAC地址，并實現雙方通信。

1.2 ARP協議的設計缺陷

由于ARP協議的設計初衷是為了方便數據傳輸，設計的前提是網絡絕對安全的，因此ARP協議不可避免的存在設計缺陷。

（1）ARP高速緩存根據所接到的ARP協議包隨時進行動態更新。

（2）ARP協議沒有連接的概念，任意主機即使在沒有ARP請求的時候也可以做出應答。

（3）ARP協議沒有認證機制，只要接收到的協議包是有效的，主機就無條件的根據協議包的內容刷新本機 ARP緩存，并不檢查該協議包的合法性。

1.3 ARP欺騙方式

ARP欺騙分為兩種：一種是對路由器ARP表的欺騙；另一種是對網段中網關的欺騙。第一種ARP欺騙的原理是截獲網關數據。然后按照一定頻率不斷的發送給路由器錯誤的MAC地址，結果路由器記錄的是錯誤的MAC地址。另一種方式是偽造網關。就是一臺感染 ARP病毒的主機偽造成網關，使本網段內所有欲訪問 Internet的主機轉而訪問病毒主機，導致同一網段內的所有主機都無法上網。

1.4 感染ARP病毒網絡癥狀

感染ARP病毒的網絡一般會有如下癥狀：

（1）網絡時斷時續且網速很慢，客戶端無法正常訪問網絡，本地連接中發包數據量遠遠大于收包數據量。

（2）同一網段的所有上網主機均無法正常連接網絡。

（3）打開 Windows任務管理器，出現可疑進程，如“MIE0.dat”等進程。

（4）客戶端利用“arp -a”命令返回的網關MAC地址與實際網關MAC地址不符。

（5）介入交換機指示燈大面積相同頻率的閃爍。

如果出現以上網絡現象，就表明該網段中至少有一臺主機感染了ARP病毒。

2 ARP病毒防御方法

2.1 安裝ARP軟件防火墻

目前 ARP軟件防火墻比較多，比如 360安全衛士、AntiARP、瑞星ARP防火墻等等。其原理是對本機IP地址和MAC地址及網關IP和MAC進行綁定，達到控制ARP病毒的目的。當網絡中出現ARP欺騙時，ARP防火墻需要占用一定的網絡帶寬來阻擋欺騙，因此對客戶端的正常上網造成一定的影響。

2.2 在介入交換機上做IP、Mac與交換機端口綁定

在介入交換機中將計算機的IP地址和MAC地址與交換據的正常轉發。但是此方案操作量大，不易維護，適合規模較小的校園網。

2.3 劃分VLAN(虛擬局域網)

ARP欺騙攻擊一般是針對同一網段內的所有主機，因此只要VLAN劃分的足夠小，就可以縮小ARP病毒影響范圍。而且可以很方便的找到病毒源，該方法適合規模適中校園網。

2.4 使用DHCP Snooping技術

如果校園網比較大，可以使用DHCP Snooping技術實現主機的IP地址動態分配。DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期和VLAN-ID接口等信息。交換機上連接普通主機的端口在發送ARP報文時受到交換機檢測，報文中IP地址與MAC地址對必須與DHCP Snooping檢測并記錄的主機當時動態申請的IP地址相符。這樣中毒主機就無法發送虛假的ARP報文了，同時還對端口發送ARP報文數量進行限制，防止中毒主機發送大量ARP報文造成網絡擁塞。

3 總結

由于 ARP欺騙利用的是網絡協議本身的缺陷，所以在IPv4時代我們無法從源頭上控制，只能制定出一套防御策略，將ARP病毒的發作幾率降到最低。隨著IPv6技術的即將的實施，相信高校校園網解決ARP欺騙的問題指日可待。

[1] 馬玲.如何防范校園網ARP攻擊[J].黑龍江科技信息.2009.

[2] 樊景博,劉愛軍.ARP病毒的原理及防御方法[J].商洛學院學報.2007.

[3] 康玉虎.配置交換機防范校園網ARP欺騙病毒[J].甘肅高師學報.2008.112