局域網中ARP病毒定位和防御措施研究

◆王曉妮 韓建剛

局域網中ARP病毒定位和防御措施研究

◆王曉妮1韓建剛2

(1.咸陽師范學院信息中心 陜西 712000 ; 2.西北機電工程研究所電調室 陜西 712000)

為了防御嚴重威脅局域網安全ARP病毒，本文分析了ARP協議及其工作原理，ARP協議存在的漏洞及由此造成的危害，提出了兩種快速定位ARP病毒源的辦法和結合五種有效解決ARP病毒欺騙的防御措施，能夠很好地保證局域網的安全。

ARP病毒；ARP協議；漏洞；防御措施

0 引言

隨著通信技術的迅速發展和計算機網絡的普及，網絡安全問題不容忽視。特別是ARP病毒在局域網中廣泛傳播，導致局域網中的用戶主機成為ARP病毒源。病毒主機時常會經偽裝成路由器，有時也會潛伏在應用軟件中，便于非法盜取用戶網銀、QQ等密碼和隱私信息，破壞局域網的正常運行。ARP病毒的主要目的就是竊取用戶上網的主機信息，病毒發作時會是局域網時斷時續，更為嚴重的是甚至整個網絡癱瘓，嚴重影響用戶正常上網。要想徹底查殺ARP病毒，必須要找到病毒源即中毒主機，但是由于ARP病毒主機善于偽裝，這就為定位ARP病毒源造成了一定的難度。

1 ARP的相關知識

1.1 ARP 協議的概念

ARP協議(Address Resolution Protocol)，它是一個地址解析協議，它可以將計算機的32位的IP地址轉化成48位的MAC地址，利用ARP協議可以通過目的主機的網絡地址，查詢到其物理地址，從而確保網絡通信暢通無阻。由于局域網中的所有主機間相互通信時不能識別各自的IP地址，MAC地址是主機在網絡中的唯一標識，所以必須把IP地址轉化成對應的MAC地址才能完成通信。這個地址轉化工作必須有ARP協議去完成，其映射方式分為表格或非表格方式兩種。

1.2 ARP協議的工作原理

現以局域網中兩臺主機X（IP：218.195.80.2；MAC：26-35-24-fd-54）和Y（IP：218.195.80.3；MAC：23-44-21-fe-db）之間的通信為例來說明ARP的工作原理，如圖1所示。當主機X與Y準備通信時，源主機X先要在其高速緩存中查找目標主機Y的IP地址對應MAC地址是否存在？如果存在直接將MAC地址寫入MAC幀中，向Y發送數據完成通信。否則在局域網中向所有主機發送廣播ARP請求數據包，詢問“IP為218.195.80.3的MAC地址為多少？”正常情況下其余主機收到請求數據包后均不對此做相應，直接忽略。只有主機Y對此做出相應，發送ARP響應報文“我是IP為218.195.80.3主機，我的MAC地23-44-21-fe-db”。X收到響應數據包后更新自己的ARP緩存表并開始通信。

1.3 ARP協議的漏洞及危害

ARP協議是以局域網內各節點絕對可信為基礎和前提設計的，是一個無狀態的數據鏈路層高效協議，幾乎不會自動檢查自己是否發送過ARP數據包，也不知曉收到的ARP響應包的合法性，只要收到響應包便會更新緩存，這便是ARP協議存在的漏洞。該安全漏洞具有動態性、無序性、廣播性、無認證和無連接性，ARP病毒正是利用這些漏洞來攻擊局域網的，而且這種病毒具有隱蔽性、合法性和欺騙性。局域網中一旦感染了ARP病毒，便會出現網絡的穩定性很差、網速很慢，不斷提示網絡地址沖突，該網段內的所有主機都不能正常上網，嚴重時整個網絡會陷入癱瘓，但重啟設備后顯示網絡正常。黑客正是利用ARP協議設計漏洞來進行網絡攻擊，盜取上網用戶的私密信息，獲取非法利益。

圖1 ARP協議的工作原理

2 ARP欺騙病毒源的定位

2.1主動定位

因為中了ARP病毒的設備其網卡常常會顯示為混雜模式，我們可以利用ARP專殺工具在校園網中不斷進行掃描，一旦發現網卡有處于混雜模式的設備，那就可能就是中了ARP病毒的攻擊。如果交換機的指示燈出現大面積相同頻率的閃爍，則表明局域網的這某一個網段中至少有一臺主機感染了ARP病毒。

2.2被動定位

當校園網出現時慢時快、極其不穩定的時候，可以通過這四種方式來定位：

（1）arp-a命令。在不能上網的兩臺主機的DOS 命令窗口中執行arp-a命令后，發現運行結果中除了它們對應的網關IP和MAC地址外，還存在某個IP，便可斷定它對應的MAC地址就是病毒源的了。

（2）tracert命令。在懷疑中ARP病毒主機的DOS命令窗口里輸入：tracert61.135.179.148，正常情況下網內的主機僅和網關通信，故ARP cache中只存在網關的物理地址，而如果存在某主機MAC，說明該主機與某主機間存在過通信活動。若某主機既非服務器又非網關，但它在ARP病毒發作期卻和校園網中的其它主機進行通信，足以說明它正是ARP病毒的元兇。

（3）Sniffer抓包。把Sniffer抓包工具部署在校園網中，主機通過執行該抓包軟件便可捕獲到達主機的一切數據包，如果有連續發送ARP請求包的IP，便可定位其對應的物理地址即為ARP病毒源了。

（4）檢查三層交換機的動態ARP表里的詳細內容，便能找到和確定ARP病毒源攻擊的物理地址。

3 ARP病毒的防御措施

通過對ARP病毒的研究，發現僅靠某種單一的防御措施是根本無法徹底解決，為了更好地防御ARP病毒，可以采取以下這些的具體的防范措施。

3.1增強用戶的防范意識，養成良好的上網習慣

做好日常的宣傳和培訓工作，讓用戶養成定時更換殺毒軟件，及時查殺病毒、升級病毒庫和電腦操作系統補丁等好習慣。輕易不要打開不明鏈接、電子郵件、禁止瀏覽不文明的網站或色情圖片，禁止接收和運行可疑程序或文件，避免下載存在安全隱患軟件或網絡資源。

3.2安裝ARP專殺工具

針對ARP病毒專殺工具有彩影ARP、360ARP、金山毒霸、瑞星和風云等防火墻等查殺效果都很不錯。用戶可以根據自己的實際情況，選擇適合自己的殺毒軟件。為了保證殺毒效果，可以經常不定期地進行專殺工具的更換。

3.3手工綁定IP/MAC地址

適合用局域網中網絡設備IP地址變化較小的區域，審批上網賬號，注冊時就進行綁定，獲取比較安全的用戶ARP表，減少用戶感染ARP病毒的概率。在交換機端口上手工綁定用戶的IP/MAC地址，限制ARP數據包流量，在交換機上設置可信任的ARP端口，并開啟端口的ARP報文限速功能等措施杜絕ARP病毒攻擊。

3.4劃分VLAN

根據用戶數量多少在路由器或交換機上利用VLAN將局域網劃分在不同子網，便于局域網的故障排查和管理，盡可能的縮小ARP病毒的攻擊范圍。

3.5隔離交換機端口

為了防止和避免非法的ARP數據包通過交換機，在重要或ARP病毒易發區采用具有DAI動態ARP檢測和DHCP嗅探功能銳捷S2126G交換機，能夠很好地防御ARP病毒。

4 結束語

ARP病毒利用ARP協議自身設計漏洞來對局域網進行欺騙攻擊，正因為其原理簡單、技術含量低、故便于操作、無孔不入，嚴重威脅網絡安全。本文根據自己多年的網管實戰經驗，提出了ARP病毒源的定位方法，有效結合了五種防御措施，能夠很好地處理局域網中ARP病毒。

[1]李延香，袁輝，劉淑英.校園局域網ARP欺騙攻擊的防御方法和實施[J].自動化與儀器儀表，2015.

[2]郭征，吳向前，劉勝全.針對校園網ARP攻擊的主動防護方案[J].計算機工程，2011.

[3]石利平.ARP欺騙研究綜述[J].計算機與現代化，2011.

[4]許衛明，吳軍強，許小東.計算機實驗室中的 ARP 病毒防治技術研究[J].紹興文理學院學報，2012.

咸陽師范學院專項科研基金資助項目(項目編號：13XSYK087)。