高校局域網ARP病毒攻擊與防御問題研究

郭奇峰，曾大軍

（1江西師范大學 瑤湖校區現代教育技術中心 江西 南昌 330027）

（2吉安職業技術學院 江西 吉安 343000）

1 ARP產生的原因與危害

每一臺主機在出廠的時候都會有一個唯一標識自己的物理地址，也就是我們通常說的MAC地址，每臺電腦會在本地電腦上建立一張ARP緩存表，這張緩存表會保存IP地址和MAC地址的映射關系。當前主機如果需要將一個數據包發送到目的主機，首先會檢查本機當中的ARP緩存表里面是否有對應的映射關系，也就是檢查是否有IP地址對應的MAC地址，如果有則直接將數據包發送到對應的MAC地址，如果當前主機ARP緩存沒有對應的映射表存在，則會發起一個ARP的廣播請求，查詢是否有目的地址的MAC地址。該ARP請求包包括當前主機的IP地址、MAC地址、已經目的主機的IP地址，網絡的主機收到該廣播包后會和自己的ARP緩存表進行對比，如果不同則忽略該數據包；如果相同，則會把發動斷的MAC地址和對應的IP地址添加到ARP緩存表中；如果緩存表中已經有該IP地址，則會覆蓋原有的映射，然后回應一個ARP響應包，告訴對方是要查找的硬件地址。源發送的主機收到ARP響應的數據包，會將對應的IP地址和MAC地址添加到ARP緩存表，并利用該表發送數據。如果源主機發送后一直沒有收到ARP響應，則查詢ARP失敗。

計算機一旦感染ARP病毒，便會在局域網瘋狂傳播。給正常的局域網持續造成一定的破壞，之后計算機病毒便利用已經控制的大量“僵尸主機”對互聯網的某個網站或者服務器進行洪水攻擊。高校機房、校園網一旦局域網內的一臺計算機感染了病毒，就會造成大量的計算機掉線甚至整個網絡陷入癱瘓，令用戶和管理員萬般無奈，在校園內部網絡也幾乎存在同樣的問題，此時傳統的防火墻卻顯得毫無辦法。

2 ARP防御對策分析

通過上面的敘述不難發現ARP欺騙是一種更改ARP Cache的技術。目前很多種ARP防范措施，一是解決措施的防范能力有限，不是根本辦法。二是對網絡管理約束很大，不具備可操作性。三是某些措施對網絡傳輸的效能有損失，網速變慢，帶寬浪費，不可取。因此可以采用以下措施。

2.1 雙綁措施

通過微軟提供的ARP命令實現綁定，防范部分ARP攻擊。例如：“arp–s 192.168.10.1 AA-AA-AA-AA-AAAA”。機房里面普遍安裝了還原卡，我們可以寫個批處理放在啟動項，電腦開機自動運行實現自動綁定。

2.2 安裝ARP防火墻

目前關于ARP類的防護軟件較多，安裝ARP防火墻來可有效解決ARP攻擊，例如：antiarp、金山ARP防火墻等。

2.3 交換機防御法

對于可網管的交換機，我們可以通過將網絡劃分多個網段來減少ARP病毒帶來的危害；每個端口做隔離來保證ARP對每個人不相互影響，在實行端口綁定來防范ARP病毒。

2.4 撥號防御ARP

在人流動性大的情況下，防范麻煩。例如：學生公寓，人員流動頻繁，管理起來麻煩，鑒于這樣的情況可以采取PPPOE撥號上網的方式。由于PPPOE協議采用是點對點的通信方式，它能單獨控制每個用戶，更主要的是不依賴ARP服務，因此ARP攻擊從根本上就無法實現。

3 結語

ARP攻擊是由于設計時候自身的缺陷導致的安全漏洞，讓ARP攻擊的有可乘之機。本文在根據高校實際情況出發，采用不同的防御方法從某種程度上減弱其破壞性，在實際生活中使用了以上方法ARP攻擊取得了良好的防御效果。對防止ARP病毒肆意傳播，減少ARP病毒對網絡的危害，對網絡的有效保護起到一定的借鑒意義。