淺談ARP病毒攻擊技術與防御策略

李 瑩

鐵嶺市信息工程學校

淺談ARP病毒攻擊技術與防御策略

李 瑩

鐵嶺市信息工程學校

本文主要對ARP病毒進行了分析，并根據一些我校網絡管理的經驗提出了一些具體的防范措施，來應對ARP病毒欺騙和攻擊。

ARP病毒，ARP病毒攻擊，防范措施

ARP攻擊近年來十分普遍，而且ARP地址欺騙技術已經被越來越多的病毒所采用，并成為病毒發展的主要趨勢，如何防范ARP攻擊越來越受到人們的重視。

一、ARP病毒原理分析

ARP協議就是地址解析協議，用于將計算機的網絡IP地址轉化為物理MAC地址，ARP協議對網絡安全具有重要的意義。在網絡中，一臺主機要與另一臺主機進行直接通信，必須要知道目標主機的MAC地址，但這個目標的MAC地址就是通過地址解析協議獲得的。所以地址解析協議就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信正常進行。

二、ARP的主要欺騙和攻擊方式

1、ARP欺騙

網絡欺騙是黑客常用的攻擊手段之一，網絡ARP欺騙分為兩種：一種是對路由器ARP表的欺騙，另一種是對內網主機的網關欺騙。前一種欺騙的原理是攻擊者通過截獲分析網關數據，并通知路由器一系列錯誤的內網IP地址和MAC地址的映射，按照一定的頻率不斷進行使真實的地址信息映射無法通過更新保存在路由器中，結果路由器轉發數據到錯誤的MAC地址的主機，造成正常主機無法收到信息；后一種ARP欺騙的原理是偽造網關，它的原理是把真實網關的IP地址映射到錯誤的MAC地址，這樣主機在向網關發送數據時，不能夠到達真正的網關，如果假網關不能上網，那么真實的主機通過假網關也不能上網。

2、中間人攻擊

按照ARP協議的設計，一臺主機即使收到的ARP應答并非自身請求得到的，也會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中。這樣可以減少網絡上過多的ARP數據通信，但也為ARP欺騙創造了條件。

三、ARP地址欺騙攻擊者的定位

1、主動定位方式

因為所有的ARP攻擊源都會有其特征，網卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網內有哪臺機器的網卡是處于混雜模式，從而判斷這臺機器有可能就是“元兇”。

2、被動定位方式

在局域網發生ARP攻擊時，查看交換機的動態ARP表中的內容，確定攻擊源的MAC地址；也可以在局域網中部署Sniffer工具，定位ARP攻擊源的MAC.。

四、ARP攻擊的主要防范措施

1、IP地址和MAC地址的靜態綁定

（1）在用戶端進行綁定

ARP欺騙是通過ARP的動態刷新，并不進行驗證的漏洞來欺騙內網主機的，所以我們把ARP表全部設置為靜態可以解決對內網的欺騙，也就是在用戶端實施IP和MAC地址綁定，可以在用戶主機上建立一個批處理文件，此文件內容是綁定內網主機IP地址和MAC地址，并包括網關主機的IP地址和MAC地址的綁定，并把此批處理文件放到系統的啟動目錄下，是系統每次重新啟動后，自動運行此文件，自動生成內網主機IP地址和MAC地址的映射表。這種方法使用于小型的網絡中。

（2）在交換機上綁定

在核心交換機上綁定核心用戶主機IP地址和MAC地址，同時在邊緣交換機上將用戶計算機網卡的IP地址和交換機端口綁定的雙重綁定方式。這樣可以極大程度上避免非法用戶使用ARP欺騙和盜用合法的IP地址。

2、采用VLAN技術隔離端口

局域網的網絡管理員可根據需要，將本單位網絡規劃處若干個VLAN，當發現有非法用戶在惡意利用ARP欺騙攻擊網絡，或合法用戶受病毒ARP病毒感染而影響網絡時，網絡管理員可先找到該用戶所在交換機端口，然后將該端口劃一個單獨的VLAN,將該用戶與其他用戶隔離，以避免對其他用戶造成影響。

3、防火墻和殺毒軟件

可以安裝ARP防火墻或者開啟局域網ARP防護，比如360安全衛士等ARP病毒專殺工具，并且實時下載安裝系統漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。

總之，網絡安全領域沒有任何一種手段是萬無一失的，對于各種網絡攻擊，要經常查看當前的網絡狀態，采用積極主動的防御措施，使ARP病毒的危害減少到最小程度。網絡管理員也要不斷的提高自身技術水平，確保網絡安全的正常運行。

1、馬軍，王巖ARP協議攻擊及其解決方案信息安全，2006.05