ARP欺騙的防御

摘 要: 本文對ARP欺騙的原理、中毒現象進行了分析，同時列舉了ARP欺騙的主要方式，著重論述了ARP欺騙的防御技術，從而達到全面防御維護局域網絡安全的目的。

關鍵詞: ARP欺騙 原理 中毒現象 防御

隨著網絡技術日新月異的飛速發展，以太網技術由于標準化程度高、應用廣泛、帶寬提供能力強、擴展性良好、技術成熟，設備性價比高，對IP的良好支持，成為城域網和接入網的發展趨勢。但是，以太網技術的開放性和其應用的廣泛性，也帶來了一些安全上的問題。2007年6月上旬，國家計算機病毒應急處理中心通報一種新型“地址解析協議欺騙”(簡稱:ARP欺騙)的惡意木馬程序正在互聯網絡中傳播。從此，ARP(Address Resolution Protocol)欺騙逐漸在小區網、校園網、企業網及網吧等局域網中蔓延，嚴重影響了正常網絡通訊。因而如何有效防范ARP欺騙，避免受其影響，已成網絡安全工作的重中之重。

一、ARP欺騙的原理及中毒現象

1.ARP欺騙的原理

ARP欺騙攻擊主要是存在于局域網網絡中，局域網中若有一個人感染ARP病毒，則感染該ARP病毒的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其它計算機的通信故障。

在局域網中，我們的通信一般都是通過ARP協議來完成IP地址到第二層物理地址(即MAC地址)的第二層轉換。ARP協議對網絡安全具有重要的意義。ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或“中間人”攻擊。

ARP病毒是一種木馬程序，其本質就是通過偽造IP地址和MAC地址實現欺騙，在網絡中產生大量的ARP通信量使網絡阻塞，或使信息流向實際并不存在的看似合法的“IP地址和MAC地址”主機，致使真實地接收方收不到信息。

2.中毒現象

局域網出現突然掉線，過一段時間后又會恢復正常的現象;計算機系統也會受到影響，出現IP地址沖突，頻繁斷網、IE瀏覽器頻繁出錯，以及一些系統內常用軟件出現故障等現象;嚴重時會導致整個局域網癱瘓。ARP欺騙病毒只需成功感染一臺電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能引起整個網絡癱瘓。該病毒發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。

二、ARP欺騙的主要方式及防御技術

1.ARP欺騙的主要方式

ARP欺騙性攻擊常見有以下幾種。

(1)“中間人”攻擊，即冒充計算機欺騙計算機，達到信息截取或傳播惡意程序目的。攻擊源會以正常身份偽造虛假的ARP應答，欺騙其它計算機，結果其它計算機發給被冒充計算機的數據全部被攻擊源截取。如果冒充計算機啟動IP轉發功能，將很容易獲取發往被冒充計算機的數據而不被發現或傳播惡意數據。

正常的傳輸方式:Host A—正常數據—Host B;“中間人”攻擊傳輸方式:Host A—正常數據—Host C—修改好的數據(帶有惡意的)—Host B。

(2)ARP報文泛洪攻擊。攻擊源偽造出大量的ARP報文(內含MAC和IP地址)，對局域網內廣播，造成設備的ARP表項溢出，影響正常用戶的轉發，干擾正常通信。

(3)冒充網關欺騙局域網內計算機。通過建立假網關，讓被它欺騙的計算機向假網關發數據，而不能通過正常的路由途徑上網。從用戶的角度看來，就是上不了網或網絡掉線了。

(4)冒充計算機欺騙網關。這個與“中間人”攻擊類似，感染ARP病毒的計算機通知網關一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，致使真實的地址信息無法通過更新保存在網關ARP表中，結果網關發給正常計算機的數據被欺騙計算機攔截或發送給并不存在的錯誤的MAC地址，造成正常計算機無法收到信息。

2.常用ARP欺騙的防御技術

(1)靜態綁定。最常用的方法就是將IP和MAC作靜態綁定，此方法適用于較小型網絡。欺騙是通過ARP的動態實時的規則欺騙內網機器，所以我們把ARP全部設置為靜態可以解決對內網計算機的欺騙。同時在網關也要進行IP和MAC的靜態綁定，這樣雙向綁定才比較保險。

首先，在每臺計算機上綁定網關IP和MAC。打開命令提示符窗口，輸入命令:ARP-d，清除本地ARP緩存表，然后輸入命令ARP-s網關IP網關MAC;也可將上述命令做成批處理放在啟動項內，省去每次開機都要輸入的麻煩。

其次，在交換機或路由器上，為每個網內IP對應的MAC地址進行靜態綁定。對于內網IP是自動獲取的方式，可以通過DHCP服務器進行設置IP與MAC的對應關系。

(2)安裝ARP防護軟件和殺毒軟件。目前關于ARP類的軟防火墻產品比較多，比較常用的有360安全衛士、彩影ARP防火墻、欣向巡路ARP工具和金山ARP防火墻等。常用的殺毒軟件也比較多，國內品牌有瑞星、江民、金山毒霸等;國外品牌有卡巴斯基、Macfee等，但就目前使用效果而言，還沒一款殺毒軟件能真正查殺ARP病毒。

(3)使用具有ARP防護功能的路由設備。對于ARP病毒攻擊，我們主要是通過在路由器與PC終端機進行雙向綁定IP地址與MAC地址，這樣即使出現ARP欺騙攻擊，也不會使ARP表混亂，從而達到相應的防御目標。但是在路由器端與計算機端對IP地址與MAC地址的綁定比較復雜，需要查找每臺計算機的IP地址與MAC地址，其工作量非常大，操作過程中出也容易出現問題。因而，就有了第3種防御方法，這樣不但減小了工作量，而且可以有效地拒絕ARP對網關的欺騙，防止ARP病毒的攻擊。

隨著計算機技術的發展，ARP欺騙也在不斷地發展和變化中，網絡的安全需要廣大網絡用戶和管理員共同努力，密切配合，提高警惕性，加強網絡安全意識和責任感，從而減少ARP欺騙對網絡的影響。

參考文獻:

[1]http://www.antivirus-china.org.cn/head/yubao/yubao_227.htm.

[2]華為技術有限公司.ARP專題學習指導.2-7.

[3]王堅，梁海軍.ARP欺騙原理及其防范策略的探討[J].計算機與現代化，2008，(2):100.

[4]LionD8.ARP欺騙的技術原理及應用[J].黑客防線，2003，(11):42-44.