校園網中ARP協議欺騙及其防范措施研究

摘 要：隨著網絡的發展，其面臨的攻擊也越來越多，ARP協議自身的漏洞使得局域網很容易受到各種ARP欺騙的攻擊，高校網絡是ARP攻擊的高發地，通常會引起網絡中斷和信息泄漏，危害極大。文章詳細分析了典型的ARP欺騙的原理，指出了其嚴重危害性，并提出了針對校園網的有效防范措施。

關鍵詞：校園網；ARP；協議欺騙；防范措施

目前各種局域網中的ARP協議欺騙攻擊屢見不鮮，在高校尤為流行，經常會遇到網絡無故中斷的情況。ARP欺騙技術易于操作、隱蔽性強，校園網中一旦有主機感染，便會迅速蔓延，導致嚴重的網絡故障以及用戶信息泄漏。黑客通過ARP欺騙技術，可以對網站內容進行篡改、發布不良信息、竊取用戶賬號以及對傳輸數據的非法監聽。這對校園網的安全帶來了嚴重的威脅，如何有效防范ARP欺騙的攻擊，已成為高校網絡管理工作的重中之重。

1 ARP協議概述

ARP即地址解析協議，作用是將IP地址解析為設備的物理地址，每臺主機都有一個ARP緩存表，用來記錄IP地址與MAC地址的對應關系。假設主機A要和B通信，它先在本地緩存中查詢B的IP，如果找到對應的MAC地址，就直接發送數據給這個地址；否則會廣播發送一個ARP請求包，其中包含A的IP和MAC以及B的IP，各主機收到后將請求包中的目的IP同自身IP相比較，不同則忽略，只有B會發現請求包中目的IP與自己的相同，它先將A的IP和MAC記錄到自己的ARP列表中，如之前已存在該IP的信息，則進行覆蓋，然后向A發回ARP響應包，其中添加了它的MAC，A收到響應包后，將B的MAC與B的IP記錄到自己的ARP緩存中，然后就可以發送數據。如果A一直沒收到響應包，則說明ARP查詢失敗。

2 ARP欺騙原理及危害

大部分操作系統在接收到ARP響應后不做檢查便直接更新其ARP列表，ARP欺騙的原理就是偽造一個ARP響應包發送給被騙主機，響應包中的源IP和MAC的關系是偽造的，被騙主機收到后，更新ARP列表，從而建立IP與MAC之間錯誤的對應關系，發送數據到該IP時，無法到達正確的主機。下面是幾種典型的ARP欺騙。

（1）偽造網關。其原理是在局域網的同一網段內建立假網關，發送ARP欺騙攻擊給網絡中的所有主機，被其欺騙的主機不能向正確的網關發送數據，而是將數據發送給了這個假網關，因而會導致主機與網關之間無法正常通信，對網絡用戶來說就是計算機無法正常上網。

（2）對路由器的欺騙。其原理是給路由器發送ARP欺騙攻擊，使路由器獲取到一系列錯誤的MAC地址信息，并按照特定的頻率不斷進行刷新，因而真實的MAC地址信息也不能通過更新而存入路由器，這樣，路由器中的所有數據都被發送到了錯誤的MAC地址，主機也就不能正常收到路由器的信息。

（3）ARP雙向欺騙。假設主機A和網關之間能正常通信，主機B為攻擊者，它首先向A發一個非法的ARP應答，告訴A網關IP對應的MAC為B的MAC，A收到后會將本機ARP緩存中網關的MAC改為B的MAC。同理，主機B以同樣的方式欺騙網關，使網關中A的MAC更新為B的MAC。這樣，通信雙方的數據都會到達B，B作為中間人竊取信息并轉發給對方。

ARP欺騙具有嚴重的危害性。一旦某臺主機感染ARP病毒，就會迅速蔓延至整個局域網，導致該網絡中的主機無法正常通信，如果網關被欺騙，則所有主機都會和外界失去聯系，通常的攻擊都是頻繁在網絡中發送ARP欺騙，會耗費大量的帶寬，即使能通信網速也會很慢，這些將嚴重影響到學校的正常工作。ARP的雙向欺騙雖不影響網絡正常通信，但其對數據信息的竊取，直接威脅到高校網絡的信息安全。

3 ARP欺騙防范措施

3.1 建立靜態ARP緩存

在主機中建立靜態ARP緩存，主機向其它計算機或網關發送數據時，直接從靜態緩存中查找目的IP對應的MAC。當收到欺騙的ARP響應包時，設置好的IP與MAC的對應關系不會被更新，因而攻擊者無法達到其欺騙的目的。此方法只能人工設置，工作量巨大，校園網中設備數目較大，不可能一一設置，因此綜合校園網的情況，可以對其中某些重要的小型子網以及網關之間采取這種方法，既不用投入過多的網絡管理成本，又能有效保障網絡的安全穩定。

3.2 綁定主機MAC地址與交換機端口

在局域網的交換機上將各端口與其所連主機的MAC進行綁定，通過這個端口的數據幀的MAC是固定的，如端口發現數據中的MAC與其綁定的MAC不同，則鎖定該端口，與其相連的主機則無法接入局域網。當攻擊者發送偽造的ARP響應時，會立即被端口檢測到其MAC值不同并中斷連接。此方法適用于高端交換機，可有效防止攻擊者接入局域網，但是合法主機更換端口也必須重新綁定，增加了網管工作量。在校園網中，通常對重要的服務器和相關安全設備所連接的交換機應用此方法。

3.3 安裝ARP防欺騙軟件

目前大部分安全軟件都含有ARP防火墻，如360安全衛士、騰訊電腦管家等，可以有效抵御ARP病毒的侵入，啟動ARP防火墻后，系統會將網關與本機的IP與MAC地址進行綁定，當其遭受ARP欺騙攻擊時會進行警告。ARP防欺騙軟件可以有效攔截ARP攻擊，但需要不斷地在網絡中廣播正確的IP和MAC地址信息，會占用一定的網絡負載。同時ARP防欺騙軟件也可阻止攻擊者修改主機ARP緩存，能有效保障主機在局域網中的正常通信。

參考文獻

[1]李愛貞.高校防范ARP病毒攻擊的策略和方法[J].計算機安全，2010（12）.

[2]向磊，賀琦.淺析校園網ARP病毒的防范[J].計算機光盤軟件與應用，2011（2）.

[3]王和平.校園網環境中ARP的欺騙原理與防范方法[J].軟件工程師，2010（12）.

[4]戴桂欽.校園網ARP欺騙攻擊及其對策思考[J].計算機光盤軟件與應用，2010（10）.

[5]姜曉峰.ARP協議簡析與ARP欺騙攻擊防范[J].電腦知識與技術，2008，4（33）.

作者簡介：柳華，男，碩士，助理工程師，研究方向為網絡技術與信息化。