ARP技術淺析

張廣瑞

[摘 要] 隨著信息技術的飛速發展，ARP攻擊逐漸成為威脅計算機網絡安全的“兇手”之一，它常常偽造MAC地址，對計算機網絡加以侵害，使單位或個人遭受巨大經濟損失。為保障計算機網絡的安全、穩定、高效，我們要對ARP攻擊進行技術上的防范；要保證技術防范措施的科學、合理、有效，就要對ARP攻擊本身有系統詳細的了解。

[關鍵詞] ARP協議；工作原理；漏洞分析；防范

[中圖分類號] TP393.0 [文獻標識碼] A [文章編號] 1673 - 0194（2014）19- 0050- 02

1 ARP協議簡介

1.1 ARP協議

地址解析協議（Address Resolution Protocol，ARP）是工作在OSI模型數據鏈路層中的一個協議。在本層與硬件接口聯系，同時對上層提供服務。主要工作是將網絡層地址解析為數據鏈路層的物理地址。

在以太網中，數據包被發送之前，首先要進行數據包拆分、封裝，將數據包轉換成比特流，最后通過物理層設備進行傳輸。數據包到達目標設備或主機后再執行與發送方相反的過程，即把比特流轉變成幀，解封裝。如果發送方與接收方處于同一個網絡中，則下一跳的MAC地址就是目標的MAC地址；如果發送方和接收方不在同一個網絡內，則下一跳的MAC地址就是網關的MAC地址。通過這個過程我們不難發現，在以太網中數據的傳輸僅知道目標的IP地址是不夠的，還需要知道下一跳的MAC地址，這個在網絡通訊中至關重要的地址轉換或者說地址解析就是由ARP協議來完成的。

1.2 ARP工作原理

以主機A（10.70.1.2）向主機B（10.70.1.3）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標的MAC地址，直接把目標的MAC地址寫入幀里面發送就可以了；如果在ARP緩存表里面沒有目標的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是“ff-ff-ff-ff-ff-ff”，這表示向同一網段的所有主機發出這樣的詢問：“10.70.1.3的MAC地址是什么呀？”網絡上的其他主機并不回應這一詢問，只有主機B接收到這個幀時才向A作出回應：“10.70.1.3的MAC地址是03-03-03-03-03-03”這樣，主機A就知道了主機B的MAC地址，就可以向主機B發送信息了。同時，它還更新了自己的ARP緩存表，下次再向B發送數據時，直接在ARP緩存表中找就可以了。

2 ARP欺騙分析

2.1 ARP欺騙原理

局域網內數據包傳輸依靠的是MAC地址，IP地址與MAC對應的關系依靠ARP表，每臺主機都有一個ARP緩存表。在正常情況下這個緩存表能夠有效保證數據傳輸的一一對應。但是ARP協議的實現機制中存在缺陷，它是沒有身份驗證機制的。當主機收到一個ARP的應答包后，不論是否正確，都會直接把原有的ARP緩存表里的相應信息以應答包里的MAC-IP替換掉。

2.2 ARP欺騙的方式

ARP欺騙主要包括以下3種方式：

（1）中間人欺騙攻擊，攻擊者將自己的主機插入兩個目標主機通信路徑之間，使他的主機如同兩個目標主機通信路徑上的一個中繼，這樣攻擊者就可以監聽兩個目標主機之間的通信，甚至篡改通信的內容。

（2）拒絕服務式欺騙攻擊，就是使主機不能響應外界請求，從而不能對外提供服務的攻擊方法。如果攻擊者將目標主機ARP緩存中的MAC地址全部改為根本就不存在的地址，會使目標主機向外發送的所有以太網數據幀丟失，這樣上層應用忙于處理這種異常而無法響應外來請求，導致目標主機產生拒絕服務。

（3）克隆欺騙攻擊，攻擊者首先對目標主機實施拒絕服務攻擊，使其不能對外界作出任何反應。然后發動攻擊就可以將自己的IP與MAC地址分別改為目標主機的IP與MAC地址，這樣攻擊者的主機變成了與目標主機一樣的“克隆”。

2.3 ARP欺騙的危害

ARP欺騙可以造成內部網絡的混亂，只要感染一臺電腦，就可能導致整個網絡通訊中斷，嚴重的甚至可能導致整個網絡癱瘓。網內某臺機器感染ARP病毒后，會出現頻繁斷網，找不到網關服務器，IE瀏覽器頻繁出錯，以及一些常用軟件出現故障等現象；ARP病毒還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號進行非法交易活動等。

2.4 ARP欺騙的防范措施

（1）靜態IP地址與MAC地址綁定，在網內把主機和網關都做IP和MAC綁定。ARP欺騙通過ARP的動態實時的規則欺騙內網機器，所以可以將主機IP地址設為靜態地址，并進行綁定。在網關也進行IP和MAC的靜態綁定，只有采取雙向綁定才比較保險。

（2）采用劃分VLAN技術，通過細化VLAN來抑制ARP請求包的廣播域。如果某一主機要發送ARP請求包，只有同一VLAN段的主機才能收到該請求包，這種方法可以有效限制ARP欺騙攻擊的范圍。

（3）使用防護軟件，常見的是ARP防火墻，它通常在路由器中將IP-MAC地址進行綁定，或者利用NAT（地址轉換協議）重新指定網絡中主機互相找到對方的方式。ARP防火墻通常也具有網關的ARP廣播機制，它以一定的頻次，向內網公布正確的網關地址，能在一定程度上維持網絡的運行，避免災難性后果，贏取系統修復的時間。

（4）使用ARP服務器，在局域網中，指定一臺計算機作為專門的ARP服務器，可信范圍內所有主機的IP與MAC地址映射記錄都在ARP服務器上進行保存和記錄，使所有主機的ARP配置只能接受來自服務器的ARP響應。當有ARP請求時，該服務器通過查閱自己緩存的靜態記錄核對目標主機的MAC地址是否正確，并以被查詢主機的名義響應ARP局域網內部的請求，從而防止ARP欺騙攻擊的發生。

3 結束語

隨著網絡技術的升級，對于ARP攻擊的預防與維護手段也將逐步升級，但對于病毒的傳播與變異也提供了相當好的發展平臺。我們不能只依靠單一的技術手段來預防和維護，只有在不同的環境中運用不同的技術才能將病毒的危害降到最低，這樣才能有效預防病毒的傳播。

主要參考文獻

[1]王奇.以太網中ARP欺騙原理與解決辦法[J].網絡安全技術與應用，2007（2）.

[2]吳蓓. 淺論ARP攻擊的原理與防范方式[J]. 科協論壇：下半月，2010（9）.

[3]楊靜. 通過自助雙向綁定方案實現ARP攻擊防御的研究[J]. 電腦知識與技術，2010，6（35）.

[4]阮清強. ARP檢測與定位方法研究[J].信息網絡安全，2010（4）.