如何防范在局域網中ARP的攻擊

朱宏平

摘要

ARP在網絡安全上具有重要的意義。它對網絡的攻擊從未間斷過，其方式不斷的出新，攻擊的手段也越來越激烈。通過偽造IP地址和MAC地址實現ARP欺騙，在網絡中產生大量的ARP通信量使網絡阻塞，本文結合校園網的維護管理經驗，談一談自已的一些防范措施。

【關鍵詞】校園網 ARP攻擊 防范措施

ARP在網絡安全上具有重要的意義。它對網絡的攻擊從未間斷過，其方式不斷的出新，攻擊的手段也越來越激烈。通過偽造IP地址和MAC地址實現ARP欺騙，在網絡中產生大量的ARP通信量使網絡阻塞;如網絡經常掉線，網速變慢，QQ號密碼、網游密碼被盜，常用的殺毒軟件對它也是束手無策。許多網吧和企事業單位的網絡都受到了不同程度的影響，由于我從事校園網維護工作，為保證校園網的正常運行，防范ARP的攻擊已成為重要的任務。在工作中我也是不斷地思考并嘗試如何才能更好地防范這種不斷變化的ARP攻擊，本文結合校園網的維護管理經驗，談一談自已的一些防范措施。

1 認識ARP的攻擊

局域網內的一種攻擊方式。一般可以導致網內其他機器出現"IP地址沖突”或不能上網的癥狀。局域網內需要通過mac地址（相當于機器的唯一識別號）通信，故需要將IP地址和mac地址對應起來。就像一個班里的同學要把電話號碼和真人對應起來一樣，完成這個對應過程的就是ARP協議。

至于ARP攻擊，就是在局域網內的欺騙，讓其他PC和路由器將IP對應到錯誤的mac。ARP攻擊是從數據鏈路層發起的，ARP防火墻、360等都是應用層軟件，防不了的。并且ARP等網絡攻擊一直都存在的，網絡攻擊有時并不是人為故意搞破壞，因為以太網協議存在先天漏洞和難管理的缺陷，導致各種內網問題層出不窮。要想徹底解決內網攻擊，只有從每個終端的網卡上進行防控攔截，使其不能發出ARP攻擊。

2 如何查找局域網中ARP攻擊源

單純在電腦上安裝一個ARP防火墻是不行的。現在你們的電腦都是在局域網里共享的，并且共享一個出口帶寬。而ARP屬于以太網中正常的協議行為。ARP欺騙屬于以太網自身的協議漏洞。現在網絡環境中ARP攻擊現象很多，往往遭到攻擊時網速會很卡很慢甚至全網癱瘓，很麻煩，現在防止ARP的措施也是很有限，無非就是做雙綁、ARP防火墻等。但是這些效果都不是很好，我們學校也出現過這種問題，后來用了欣向免疫安全網關，將普通網絡升級為免疫網絡，從網絡底層、每個終端上進行防控監測，這樣不僅能防止本機不受攻擊，還能攔截本機對外的網絡攻擊，加固網絡基礎安全，能夠徹底有效的解決內網攻擊問題。并且還有個監控界面，哪臺電腦發出的攻擊都會有記錄，一目了然，直接找到攻擊源。

3 如何破解ARP的攻擊

從技術原理上，要徹底解決ARP欺騙和攻擊，要有三個技術要點。

（1）終端對網關的綁定要堅實可靠，這個綁定能夠抵制被病毒搗毀。

（2）接入路由器或網關要對下面終端IP-MAC的識別始終保證唯一準確。

（3）網絡內要有一個最可依賴的機構，提供對網關IP-MAC最強大的保護。它既能夠分發正確的網關信息，又能夠對出現的假網關信息立即封殺。

局域網中的計算機在受到ARP攻擊時，通常會導致斷網。由于這種現象并不是由病毒所致，因此對其防范處理有一定的難度。不過，我們仍然可以通過以下方法達到制止來自局域網的ARP攻擊，下面就是具體的解決辦法。

（1）將IP和MAC地址進行綁定：通過是在路由器端將局域網中各計算機的IP地址與其對應的網卡MAC地址實行綁定。具體操作方法：打開路由器管理界面，點擊“IP與MAC綁定”→“靜態ARP綁定設置”項，然后在右側點擊“添加單個項目”按鈕。

（2）在打開的“ARP靜態綁定”窗口中，輸入要綁定的IP和MAC，然后點擊“保存”按鈕即可。用同樣的方法添對局域網中其它計算機進行IP與MAC地址綁定。最后點擊“使所有條目生效”按鈕即可。

（3）利用網絡防護類軟件對網關IP進行綁定。

（4）在程序列表中點擊“流量防火墻”，然后在打開的窗口中切換至“局域網防護”選項卡。

（5）然后將“網關綁定手機綁定”，點擊“詳情/設置”按鈕。

（6）在打開的“添加保護網關IP和MAC”窗口中，點擊“添加網關”按鈕來手動綁定網關IP和MAC地址。

（7）至此，局域網ARP沖突現象就得到有效遏制。此時網速就正常了。

系統的一些漏洞也給ARP病毒、木馬的侵入提供了可乘之機，我們知道現在大部分人使用的都是Windows操作系統，然而這個龐大的系統其安全性卻讓人很不放心，針對該系統的攻擊也非常多，一些ARP木馬和病毒利用系統漏洞感染系統，使該機器成為一個ARP攻擊源，從而影響系統和網絡的穩定，為保障系統免受感染，為系統安裝相應的安全補丁也是必要的。

操作系統的一些服務和端口往往也成為ARP攻擊入侵的手段之一，如C$、D$等管理共享、3319端口等，在條件允許的情況下，我們可以將一些不需要的共享、服務和端口完全關閉。

殺毒軟件能很好地預防一些病毒，但由于其局限性，對于一些新出來的病毒，其防殺的能力十分有限，我們只有定期或不定期地更新我們的病毒庫，才能在更大限度上保障對病毒的防范，如在殺毒軟件中我們可設置每天定時自動更新，從而保證我們的系統免受侵害。

在系統中安裝并使用網絡防火墻軟件對防范ARP病毒攻擊也能起到至一定的作用，能有效地阻擋自來網絡的攻擊和病毒的入侵。對于一些安裝盜版Windowst系統的用戶，如不能正常安裝安全補丁，那么通過使用網絡防火墻等方法也能做到對ARP攻擊相應的防護。

4 規范校園網用戶的操作守則

別看小小的操作守則，從某種程度上對防范ARP的攻擊，也能起到一定的預防作用，在校園網內真正惡意搗亂的是很少的，如安裝網絡執法官等軟件惡意監控其他機器，限制流量，安裝一些木馬病毒等，更多的是無意中瀏覽了一些帶惡意代碼的網頁、使用了帶木馬的游戲外掛或使用了帶毒的移動存儲設備等，使得感染的機器成了攻擊源，我們規范了用戶操作守則之后，時時提醒用戶，讓用戶遵守守則，從一定程度上可以預防受感染的機會。

綜上所述，我們可以看到，在校園網中，對于ARP的攻擊，我們是可以有效防范的。