淺談校園網中ARP欺騙的防范

王默晗

（江蘇省阜寧中等專業學校,江蘇 阜寧 224400）

淺談校園網中ARP欺騙的防范

王默晗

（江蘇省阜寧中等專業學校,江蘇 阜寧 224400）

網吧是最常見的局域網，相信很多朋友都曾經到網吧上網沖浪。不過在使用過程中是否出現過別人可以正常上網而自己卻無法訪問任何頁面和網絡信息的情況呢?雖然造成這種現象的情況有很多，但是目前最常見的就是ARP欺騙了，很多黑客工具甚至是病毒都是通過ARP欺騙來實現對主機進行攻擊和阻止本機訪問任何網絡信息的目的，今天我們就為各位介紹ARP欺騙的原理及危害，讓我們對這個攻擊方式有一個清晰的了解。

ARP；廣播；病毒

一、ARP概述

（一）何謂ARP病毒

ARP地址欺騙類病毒（簡稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動傳播的特性，不會自我復制。但是由于其發作的時候會向全網發送偽造的ARP數據包，干擾全網的運行，因此它的危害比一些蠕蟲還要嚴重得多。

（二）ARP病毒發作時的現象

常見的現象有：網絡掉線，但網絡連接正常，整個網段內部分計算機不能上網，或者所有計算機無法正常上網，無法打開網頁或打開網頁慢，訪問頁面時常常彈出廣告窗口，局域網時斷時續并且網速較慢等。

二、ARP欺騙原理

（一）什么是ARP

ARP是地址轉換協議（Address Resolution Protocol）的英文縮寫，它是一個鏈路層協議，工作在OSI模型的第二層，在本層和硬件接口間進行聯系，同時對上層（網絡層）提供服務。

二層的以太網交換設備并不能識別32位的IP地址，它們是以48位以太網地址（就是常說的MAC地址）傳輸以太網數據包。也就是說IP數據包在局域網內部傳輸時并不是靠IP地址而是靠MAC地址來識別目標的，因此IP地址與MAC地址之間就必須存在一種對應關系，而ARP協議就是用來確定這種對應關系的協議。

（二）ARP欺騙的原理

主機在兩種情況下會保存、更新本機的ARP緩存表:（1）接收到“ARP廣播-請求”包時。（2）接收到“ARP非廣播-回復”包時。從中我們可以看出，ARP協議是沒有身份驗證機制的，局域網內任何主機都可以隨意偽造ARP數據包，ARP協議設計天生就存在嚴重缺陷。

當局域網中一臺機器，反復向其他機器，特別是向網關，發送這樣無效假冒的ARP應答信息包時，嚴重的網絡堵塞就會開始。由于網關MAC地址錯誤，所以從網絡中計算機發來的數據無法正常發到網關，自然無法正常上網。這就造成了無法訪問外網的問題。

三、校園網ARP欺騙及其防范

校園網中，各種ARP攻擊類型都有發生過，但最主要的攻擊方式是冒充網關。攻擊者通過發送錯誤的終端MAC地址給網關，從而導致網關無法和受攻擊計算機終端用戶進行通信；然后是欺騙主機的方式，攻擊者通過發送錯誤的網關MAC地址給受攻擊者或者發送錯誤的終端MAC地址給受攻擊者，從而導致受害者無法與網關或本網段內其他計算機終端互相通信；最后還有一種就是攻擊者通過欺騙PC和網關相結合的方法，導致網關和PC終端用戶無法正常通信。

（一）判斷PC是否受到ARP欺騙攻擊

某校現有三幢樓，內網中有網上辦公系統，每幢樓中都有很多計算機需要在校園內網上辦公，目前學校內網的所有計算機都在同一個廣播域中。時常出現無法連接互聯網、網速慢、計算機頻繁中毒、打開網頁時時常會彈出很多廣告等現象。

（二）校園網中ARP欺騙的防范措施

解決ARP欺騙攻擊是一個系統的綜合措施，我們可以從以下這些思路上尋求解決辦法：首先不能僅把網絡安全信任建立在IP或MAC地址的基礎上，理想的關系應該建立在IP和MAC綁定的基礎上。我們需要設定靜態的MAC-IP對應表，防止主機刷新設定好的轉換表。其次要使用硬件屏蔽主機，設置好路由器，務必保證IP地址能獲取合法正常的路徑。最后管理員要定期查詢，檢查主機的ARP緩存表，安裝軟件監測網絡，一旦發現攻擊，立刻查找根源及時阻斷攻擊機器。

具體防范措施：首先，對于我們計算機的初級使用者來說，最直接的防范措施就是安裝ARP防火墻或者開啟局域網ARP防護，比如360安全衛士等ARP病毒專殺工具，并且實時下載安裝系統漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。這些都是軟件的輔助防范。

（三）網關設備攻擊防范，主要是二層和三層交換機配置的規范。

1.二層交換機。與電腦直接相連的端口上配置靜態MAC地址，同時禁止動態學習；如果需要修改或刪除靜態MAC綁定的數據，先要在端口下刪除mac-address max-mac-count 0,修改后在端口重新添加mac-address max-mac-count 0；暫時不用的端口手動shutdown。

2.三層交換機。該設備上配置靜態ARP綁定下掛PC機的IP與MAC地址，防止下掛PC機隨意變動IP地址。

3.交換機既作網關又作接入是的配置規范。首先與PC機直接相連的端口上配置MAC，禁止動態學習MAC；暫時不用的端口手動關閉；下掛的PC機不得隨意變動已經設置的IP地址。

四、小結

ARP欺騙攻擊雖然已經在網絡發現這么多年了，我們能做的只是被動的來采取一些綜合措施來防范這種攻擊，希望我的這些方法建議對于防范ARP欺騙攻擊有所幫助。也希望隨著計算機技術的不斷完善，通過變協議的方式來徹底解決ARP欺騙這一難題。

[1]計算機網絡原理實驗教程[M].北京：科學出版社，2005.

[2]《關于校園網內防范ARP欺騙病毒攻擊的重要通告》衢州學院,2007.

王默晗（1985-），女，漢族，江蘇阜寧人，江蘇省阜寧中等專業學校二級教師，研究方向：職業高中計算機教育教學。