淺談ARP原理及解決方案

引言：本文通過分析了ARP（Address Resolution Protocol）協議的漏洞，ARP攻擊的原理，提出了三種ARP欺騙攻擊的解決方案。在ARP攻擊發生時，能夠迅速發現攻擊源并給出針對性的措施，有效的保證局域網的安全穩定運行。

本文通過分析了ARP（Address Reso lution Protocol）協議的漏洞，ARP攻擊的原理，提出ARP欺騙攻擊的解決方案。在ARP攻擊發生時，能迅速發現攻擊源并給出針對性措施，有效保證局域網的安全穩定運行。

工作過程

假設局域網中A計算機和B計算機之間需要進行通信，首先A需要知道B的MAC地址，A就會發送一個ARP協議的廣播數據包，數據包的內容是請求獲得B的MAC的地址，當B收到這個數據包是查詢自己的MAC地址時，B就會向A發送一個RARP協議的數據包告訴A自己的MAC地址，這樣A計算機就可以與B計算機進行通信了。同時A計算機將B的IP地址與MAC地址的對應關系寫進ARP高速緩存表中，以便以后通信時可以直接進行通信而不用重新獲得B計算機MAC地址。在Window操作系統中一般可以使用cmd命令“arp -a”的命令查看。

缺陷

ARP協議在設計之初沒有考慮安全性問題，在設備收到ARP數據包時并沒有對收到的數據包內容的真實性進行驗證的機制，且沒有對數據的發送方和接受方做任何的認證，這樣在網絡中可能會存在偽造的ARP數據包，導致攻擊的可能性。例如A計算機和B據算計進行通信，但是C計算機監聽了A計算機和B計算機的通信，C計算機就可以發送一個虛假的ARP報文告訴A計算機自己是B計算機，然后C計算機使用同樣的方法告訴B計算機自己是A計算機，這樣A計算機和B計算機之間的通信就要通過C計算機，而A計算機和B計算機并不知道它們的通信經過了C計算機。

解決方案

由于ARP攻擊對局域網正常安全的運行存在威脅，所以人們使用了各種各樣的防范措施來預防ARP攻擊的發生。但這些方法都有自己的優缺點和不同的使用范圍，下面就介紹三種常見的ARP攻擊預防方案。

1.IP地址和MAC地址綁定

IP地址和MAC地址綁定預防ARP的方法優點是簡單有效，缺點是綁定配置的工作量巨大、操作繁瑣。

針對由出口路由負責管理分配IP地址，可以在網關直接進行綁定，即在網關的ARP緩存表中添加靜態項，將終端的IP地址和對應的MAC地址進行綁定，這種方法相對直觀簡單。另一種是在核心或匯聚設備上使用命令行進行地址綁定，需要一定的網絡配置經驗，操作沒有前者直觀。

網關綁定后還可在客戶端也進行綁定形成雙向綁定，Window操作系統 使 用的是“arp -s”命令。例如我們要將IP地址192.168.1.1和MAC地址00-1E-EC-98-3B-7F進 行綁定，在cmd命令行模式下輸入“arp -s 192.168.1.1 00-1E-EC-98-3B-7F”即可。

2.DHCP Snooping +IP Source Guard + ARP-check防ARP欺騙方案

這種方案是在動態分配IP地址的環境中使用的，不需要進行繁瑣的IP和MAC地址綁定，但設備需要支持這些功能。原理是在客戶端動態獲取IP地址的過程中，通過接入層交換機的DHCP Snooping功能獲取到正確的IP地址，同時正確的IP與MAC信息記錄到交換機的DHCP Snooping軟件表；然后通過IP Source Guard功能將DHCP Snooping表的每個終端的IP和MAC信息寫入交換機的硬件表項（類似端口安全的綁定）；最后使用ARP-check功能校驗所有ARP報文的正確性。如果合法用戶獲取IP地址后試圖進行ARP欺騙，或者是非法用戶私自配置靜態的IP地址，他們的ARP校驗都將失敗，這樣的用戶將無法使用網絡。相關命令如下：的報文檢測，將DHCP Snooping形成的snooping表寫入地址綁定數據庫中。

//開啟該功能后，對于接口收到的ARP報文會檢測ARP報文字段里面的Sender IP及Sender MAC，與地址綁定庫中的IP及MAC進行匹配，如果匹配將放行，否則將丟棄該ARP報文。

3.基于802.1x協議的防范

現在802.1x更多用于局域網的有線接入控制，如大量的學校使用該協議用于校園網的認證和計費等工作。

802.1x認證體系結構包括三個主要組成部分：第一部分是客戶端請求系統，包括各個廠商開發的客戶端；第二部分是認證系統，通常為支持802.1x協議的網絡設備組成，這樣的設備也叫網絡接入服務器，簡稱NAS；第三部分是認證服務器系統，認證服務器是為認證系統提供認證服務的實體，一般為RADIUS服務器，該服務器可以存儲用戶的信息，并能進行賬戶管理等。

基于802.1x協議的防范方法為：RADIUS綜合認證計費管理服務器在受到客戶端的認證請求后，要進行一系列的處理，在允許用戶上網的同時記錄用戶合法的IP地址和MAC地址并填入相關數據庫的ARP列表，然后在之后的重認證過程中定時通過NAS下發記錄在數據庫中的對應該用戶這一網段的ARP列表內容，特別是網關的IP地址和MAC地址，客戶端將收到的ARP列表內容寫入本機的ARP緩存中。通過這種方法用戶和網關都能夠維持ARP表項的正確性，從而在用戶上網的同時有效的預防ARP欺騙攻擊。

綜上所述，通過以上介紹的三種ARP防范方案可以發現，每一種方案都有自己的優缺點和使用范圍，作為網絡管理員應結合自己局域網實際情況選擇有利方案，這樣才能有效的防范ARP攻擊，保證網絡的正常安全運行。