ARP欺騙攻擊防控方法的研究

劉昌烜

【摘要】本文在對ARP欺騙攻擊防控方法分析研究中，對局域網在運行過程中存在的安全問題作為研究基礎，了解ARP協議存在的不足，同時為計算機系統帶來的安全隱患，進而對ARP欺騙攻擊防控方法進行詳細闡述。筆者在分析研究之后發現，不同類別ARP欺騙攻擊防控方法都具有不同特征，局域網在實際應用過程中可以按照實際應用情況進行結合。

【關鍵詞】網絡安全；ARP欺騙攻擊；防控方法

在傳統網絡安全內，主要對外網對局域網所造成的攻擊進行分析研究，所采取的網絡安全技術主要針對外網攻擊進行設計，例如防火墻、入侵檢測系統等。內部攻擊主要表示由內部人員引起，對系統所造成的不良影響。研究人員在研究之后認為，在已經發生的網絡安全事故內，大部分網絡安全事故全部屬于內網。在ARP欺騙攻擊防控方法內，ARP是主要遭受到的安全威脅。

1 ARP欺騙攻擊

1.1 ARP工作原理

兩個主機在進行傳輸過程中，需要通過網卡內物理地址落實，ARP在實際應用過程中主要功能就是對主機地址進行了解，了解對應主機地址，進而保證兩臺主機之間能夠順利通信。

主機在發出數據包之前，主機會按照網段廣播申請ARP，對目的主機進行查詢，物理網絡內主機在接受到這ARP請求之后，需要對數據包內地址進行對比，保證IP地址相一致，要是數據包存在差別，就可以忽略不計。要是IP地址相同，主機就會將ARP數據包回傳到主機內。主機在接受到ARP數據包之后，主機地址和針對地址都存儲到針對緩存列表內，并且借助物理通道對信息進行傳輸。

1.2 ARP欺騙攻擊類型

ARP協議是建設在局域網結點上面，在實際應用過程中具有較高運行效率，但是運行安全系數卻較低。主機在接受到目標之后，ARP協議會接受針對主機內容，對目標內容進行儲存，但是并不需要對主機ARP請求包進行檢驗，同時也不會判斷應打包是都合理。在這種情況下，ARP非常容易造成攻擊，攻擊者可以借助ARP存在的安全漏洞，傳播虛假信息，對主機之間的通信造成不良影響。從網絡連接通暢方式而言，ARP欺騙攻擊主要可以分為三種類別，分別為內網主機欺騙、ARP表格欺騙及中間人攻擊。

2 ARP欺騙攻擊防控方法

2.1 IP靜態綁定

IP靜態綁定是以靜態ARP表作為基礎原理，將Mac地址和ARP地址進行綁定，非法攻擊者在向主機傳輸非法地址情況下，ARP就會申請針對性數據包，主機并不會發現自身所儲存的ARP緩存表存在錯誤。IP靜態綁定實現方法步驟為：（1）按照主機所應用指令，對命令進行針對性傳輸，主要是對IP地址及Mac地址進行傳輸；（2）以內網交換機端口作為基礎條件，對Mac地址和IP地址在主機上合法綁定。IP靜態綁定方法在實際應用過程中，主要在機器數量較少及較為固定地點上應用，例如學校機房等地點，并不適合在大型局域網上面應用。主要原因是由于IP靜態綁定方法在應用過程中需要配置任務作為保證，工作數量及難度較高。

2.2劃分安全域

ARP遭受到局域網攻擊過程中，其中主機在遭受到ARP病毒感染情況下，整個局域網都會遭受到病毒影響。因此，局域網覆蓋范圍月越廣，病毒所造成的不良影響將會越加嚴重。在內部網絡環境內，可以借助VLAN對局域網進行劃分，也就是將ARP欺騙攻擊控制在合理范圍。劃分安全域在實際應用過程中能夠有效緩解ARP攻擊，對ARP攻擊傳播范圍進行控制。但是劃分安全域在應用過程中也存在一定缺點，也就是安全域劃分要是過細，就會造成局域網資源共享難度較高，局域網管理難度顯著提高。

2.3 s-arp

s-arp是以ARP協議作為基礎，所形成的協議，同時和ARP協議之間具有良好兼容性，借助非對稱加密機制，對ARP數據包完整性和精確性進行保證，有效填補原有ARP協議存在的缺陷，進而對ARP攻擊有效防范。局域網內s-arp協議，主機上都具有針對性密鑰及證書，每一個證書上都具有Mac地址及IP地質，并且主機上都具有簽名信息。不同主機在通信傳輸過程中，主機需要對傳輸的Mac地址及IP地質信息進行驗證，保證用戶身份合理性，因此非法攻擊者無法通過竊取信息應打包進行檢驗。S-arp協議有效階級了傳統ARP協議存在的問題，但是現階段僅僅能夠在linux系統內應用，無法在windows系統內應用。S-arp協議在今后分析研究中，在windows平臺上應用進行分析研究。這幾種ARP欺騙攻擊防控方法在應用過程中存在不同優勢，進而局域網管理人員在對其選擇中，需要按照局域網實際需求，選擇適合自身應用的ARP欺騙攻擊防控方法，保證局域網并不遭受到ARP欺騙攻擊。

結論

本文主要以局域網ARP工作原理進行分析研究，了解ARP欺騙攻擊防控類別，并且對不同ARP欺騙攻擊防控方法進行了解。簡而言之，在局域網內，攻擊者在不了解局域網操作系統及應用軟件情況下，僅僅利用ARP協議存在的漏洞，可以對局域網網絡內攻擊進行了解，提高主機信息利用效率。所以，提高網絡邊界防護的情況下，也需要提高對局域網內部防護關注程度。

參考文獻

[1]邢金閣，劉揚.ARP欺騙攻擊的檢測及防御技術研究[J].東北農業大學學報，2012，08：74-77.

[2]宋玉芹.基于WINPCAP實現ARP欺騙攻擊[J].吉林省教育學院學報，2011，09：150-152.

[3]王紹龍，王劍，馮超.ARP欺騙攻擊的取證和防御方法[J].網絡安全技術與應用，2016，10：27-28.