基于DHCP Snooping的校園網ARP防范研究

摘要：針對校園網普遍存在的ARP攻擊、私設DHCP服務器和IP地址沖突等問題，經過分析ARP攻擊原理，并結合本院實例給出了基于DHCP Snooping的校園網ARP防范解決方案。

關鍵詞：ARP；DHCP； DHCP Snooping；IPSG；ARP-Check

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）19-4438-04

Study on ARPs Preventions on School Intranet Based on DHCP Snooping

QIN Zhong-yu

（Guangzhou Institute of Railway Technology，Guangzhou 510430，China）

Abstract： Aiming at the problems of attack by ARP on the school intranet， Private DHCP server and the conflict by IP address， this article accounts for the principles of ARP. Moreover， it also provides the how to prevent attack by ARP with the concrete examples base on DHCP Snooping.

Key words： ARP； DHCP；DHCP snooping； IPSG； ARP-Check

隨著高校不斷擴招，校園網用戶規模不斷壯大，校園網將面臨更多的安全隱患。內網用戶頻繁掉線、網速變慢甚至不能上網等現象時有發生，這嚴重影響了校園網絡的正常運行，此類現象基本上都是由ARP欺騙攻擊引起的，這在校園網是很普遍的現象，也是很難解決的問題。結合我院校園網的實際情況，給出了基于DHCP Snooping的ARP防范解決方案。

1 ARP協議

ARP協議是“Address Resolution Protocol”（即地址解析協議）的縮寫，其主要功能是將IP地址轉化成對應的MAC地址（物理地址），建立IP地址與MAC地址的動態映射關系。

在以太網中，同一局域網內的主機是依據MAC地址（即物理地址）來確定目的接口，從而實現相互之間的通信；而根據TCP/IP層次模型，網絡層及以上是根據IP地址來確定通信對象的。當數據鏈路層接收到上層的數據幀時，由于數據幀中包含有IP地址，但沒有包含MAC地址，從而導致主機之間不能通信，這就需要把IP地址轉換成MAC地址的機制，由此ARP協議應運而生。ARP協議的功能就是將IP地址轉換成對應的MAC地址。

正常的ARP通訊過程只需廣播ARP Request和單播ARP Replay兩個過程，也就是一問一答。如圖1所示：

主機A：192.168.0.2 主機B：192.168.0.1

MAC：00d0.f800.02 MAC：00d0.f800.01

圖1 ARP通訊過程

每臺主機上都有一個ARP高速緩存，用于存放IP地址和MAC地址的動態映射關系，在主機上可用'cmd'、'arp —a'命令來查看。以主機A向主機B發送數據為例：如果主機A的ARP高速緩存表中有主機B的IP地址與MAC地址的映射關系，此時可直接把目標主機B的MAC地址寫入數據幀里即可發送數據幀；……