基于地址解析協議(A.RP)的局域網訪問控制方案

摘要：隨著網絡安全技術的發展.網絡安全措施越來越受到關注，當前來看，防火墻、VPN、信息加密等安全產品漸漸占據了市場，并且在學術界和商業界都得到了廣泛的運用。而作為網絡中的ARP協議機制，在網絡運用中，運用ARP協議機制杜絕非法訪問。保護局域網的信息安全成為了十分重要的環節。本文針對當前網絡ARP的具體情況，探討了在局域網中如何基于ARP協議及時發現內部網絡訪問中所出現的非法主機并對其網絡訪，控制信息安全的措施。

關鍵詞：地址解析協議 信息安全 訪問控制

中圖分類號：TP09 0.08 文獻標識碼：A 文章編號：1674-098X(2012)02(b)-0045-01

計算機網絡安壘是國家和單位信息安全的重要組成部分，也是國家和單位進行信息化建設與發展的關鍵，如今，隨著內部網絡的應用對于工作效率的提高，網絡主機的訪問控制也日益成為人們關注的焦點。網絡技術的發展與應用的普及，搭建內部網絡以高效地完成日常工作成為大多數單位的主要網絡運用手段。

1基于地址解析協議(ABP)的高速緩存表

1.1 ARP協議

Address Resolution Protocol協議又稱地址解析協議，它負責通知電腦要連接目標的MAc地址，以保證通信的順利進行。在局域網中，網絡中實際傳輸的是}幀”，幀里面是有目標主機的MAC地址的。在以太網中的數據幀從一個主機到達網內的另一臺主機是根據48位的以太網地址，從而根據這些來確定其接口。在以太網絡中，一個主機要和另一個主機進行直接通信，必須要通過ARP協議來獲取目標設備的IP地址，查詢目標設備的MAc地址。所以，ARP在局域網絡中起著保證網絡通信的順利進行的功能。

1.2 ARP工作原理

ARP的工作原理就是電腦上安裝的ARP緩存表。每一臺安裝TCP/IP協議電腦里面都會有ARP緩存表，當以太電腦發送數據的時候，另一臺主機就會根據這個緩存表，尋找這臺電腦的IP地址，一旦找到以后，就會將這臺電腦的地址入幀里面發送。這就有效的對各個信息的來往有了有據可查，如果在傳輸的過程中被ARP病毒攻擊，服務器也會做出反應，從而快速做出防患措施。

2解決和防患局域網ARP的安全

ARP協議是網絡中正常運行的關鍵，一般來說，當我們進行一個網址的輸入的時候，DNS服務器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網址。而IP地址轉換為第二層物理地址(即MAC地址)，在局域網中，這是通過ARP協議來完成的。一旦這個環節出錯，局域網的其他電腦就不能夠正常和目標主機進行通信，甚至使整個網絡癱瘓。因此，解決和防患局域網ARP的安全，是保障局域網正常運行，信息安全的重要保證。

2.1 ARP木馬防治

一般來說，局域網被破壞或者信息被竊取，主要運用的手段就有ARP木馬，表現為局域網突然掉線，或者客服端出錯，頻繁斷網等。針對這樣的情況，一般的手段就是進行IP和MAC的靜態綁定，在網內把主機和網關都做IP和MAC綁定。通過將ARP全部設置為靜態，就可以很好的解決對內網PC的欺騙。

2.2手動修改lP

網絡在運行的過程中，需要有外網與據以往進行連接，以保證網絡的暢通。一般來說，木馬的侵入主要是通過實現外網和內網相互連接的本地網卡的網關來實現的，通過外網直接入侵到局域內網，這也是很多網絡管理防不慎防的一方面，針對這樣的情況，可以通過添加路由表格中的記錄，設置優先級高于網關的默認路由來防止木馬的侵入。一般是開始手動對客戶主機進行網關地址的修改，將其修改為任意的IP，從而通過手動添加、腳本添加來實現永久對出口路由。

2.3改變wlnpcap驅動

winpcap驅動可以捕獲原始數據報，包括在共享網絡上各主機發送/接收的以及相互之間交換的數據報；在數據報發往應用程序之前，按照自定義的規則將某些特殊的數據報過濾掉，在網絡上發送原始的數據報；收集網絡通信過程中的統計信息。在針對局域網的交換器有網卡和MAC地址綁定功能的時候，如何運用很好的方法讓ARP欺騙和ARP木馬在本機安裝中無法運行，那么就是停止winpcap驅動在本集中無法運行。因為一般的木馬和欺騙軟件都是要通過winpcap驅動來實現運行的，所以，如果控制了wm‘pcap驅動的運行，那么木馬和欺騙軟件自然也無法入侵。

但是這個方法的實施需要有一定的條件才可以運行，一般來說，首先需要電腦主機所在的系統盤為NTFS分區格式，只有這種格式下，才能支持方法的實施-其次就是需要在使用注冊表和文件安裝監視軟件這兩個軟件來對安裝所生成的文件進行監視。最后就是安裝人員需要知道所要安裝的文件所在的系統中生成的哪些文件。只有這三個條件都滿足，才能夠適應這種方法。

2.4使用ARP防護軟件

主要來說就是利用防護軟件來控制木馬等人侵，一般來說，主要的軟件有Antiarp。其主要的功能就是可以攔截外部ARP攻擊。在系統內核層攔截接收到的虛假ARP數據包，保障本機ARP緩存表的正確性；攔截IP沖突。在系統內核層攔截接收到的IP沖突數據包，避免本機因IP沖突造成掉線，同時，還有智能防御，在網關受到ARP欺騙的情況下進行智能的防御等。另一種就是欣向ARP工具。欣向ARP工具一般具有五大優點，即IP/MAC清單、ARP欺騙檢測、欣向路由器、主動維護、抓包。我們以主動維護為例，主動維護主要是可以解決ARP掉線的問題，然后，按照常說的，這個并不是最理想的方法，典原理就在于，其通過網絡內不停的廣播指定的IP的正確的MAC地址，通過這個地址，不停的警醒廣播網關的正確IP、MAc來實現。目前市場上常用的就是免疫墻路由器。其獨有的免疫網絡解決方案能夠徹底解決arp攻擊問題。通過對協議的改動將nat表和arp表融合，當有arp請求時將直接查詢nat表，使針對網關arp表的欺騙完全失去作用。

3結語

網絡系統的安全性取決于網絡系統中最薄弱的環節。如何及時發現網絡系統中最薄弱的環節，如何控制網絡中的系統安全顯得十分重要。當前網絡的運用越來越普遍，網絡安全也隨之成為了各個單位企業關注的焦點，如何做好局域網的安全。成為了國家機關、企事業單位的重點關注所在，面對網絡安全的薄弱方面，除了網絡設計上增加安全服務功能，完善系統的安全保密措施外，還應當加強網絡安全管理規范的建立，統籌管理。在網絡運用上面，做好網絡安全保障。通過各方面的防治措施，提高局域網的安全。

參考文獻

[1]劉貴松，晏華，章毅.基于ARP協議的局域網訪問控制[J].電子科技大學學報，2005，08(19).

[2]馬躍龍.基于ARP協議的網絡訪問控制方法淺議[J].科技創新導報，2009，09(22).

[3]陳浩.ARP地址解析協議應用[J].科技資訊，2009，03(1).