ARP网络攻击的分析与解决办法

摘 要 近年来对局域网造成巨大安全威胁的主要因素就是ARP欺骗，本文分析了ARP协议的工作原理以及ARP欺骗原理，并在此基础上，通过对ARP协议分析及ARP欺骗分析，提出了几种快速、有效防范ARP欺骗的措施以及技术实现要点。

关键词 局域网 ARP协议 ARP欺骗 防范措施

中图分类号：TP393 文献标识码：A

本文主要介绍、分析了ARP欺骗的基本原理，讨论了由此引发的网络安全问题，提出了切实可行的解决问题的思路。

1 ARP的相关知识

1.1 ARP协议的工作原理

ARP协议工作在TCP/IP协议的网络互联层，每台安装有TCP/IP协议的电脑里都有一个ARP高速缓存，里面存放计算机目前知道的局域网上各主机和路由器的IP地址到MAC地址的映射表，每个IP地址和MAC地址是一一对应的。ARP缓存表可以查看、添加和修改，在Windows操作系统命令行窗口下，输入“arp-a”就可以查看。用“arp-d”命令可以删除ARP表中某一行的内容；用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应。

ARP协议不可避免的存在着设计缺陷，其缺陷表现在以下方面：

（1）主机ARP高速缓存依据接收到的ARP协议包进行动态更新。因此正常的主机间MAC地址刷新都是有时限的，假冒者正是利用更新数据前的时段成功地修改被攻击机器上的地址缓存进行假冒或拒绝服务攻击。

（2）ARP协议没有连接的概念，局域网内的任意主机在没有ARP请求时也可以做出应答。许多系统都会接受未请求的ARP响应，并用虚假信息篡改其缓存，这是ARP协议的一大安全隐患。

（3）ARP协议没有认证机制，只要接收到的协议包是有效的，主机就无条件的根据协议包的内容自动更新本机ARP缓存，并不检查该协议包的合法性，这种对局域网内主机完全信任的策略，给局域网的安全埋下隐患。

1.3 感染ARP病毒网络症状

在局域网内，攻击源主机不断发送ARP欺骗报文，会使其他主机上网断断续续，严重时将致使整个网络陷于瘫痪。

2 常见ARP欺骗形式

（1）一般冒充欺骗

这是一种比较常见的攻击，通过发送伪造的ARP包来实施欺骗根据欺骗者实施欺骗时所处的立场，可分为三种情况：冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗其他主机。在冒充网关欺骗中，欺骗者定时且频繁的对本网发送ARP广播，告诉所有网络成员自己就是网关，或者以网关身份伪造虚假的ARP回应报文，欺骗局域网内的其他主机，这样子网内流向外网的数据就可以被攻击者截取；冒充主机欺骗网关的过程跟冒充网关的过程相反，欺骗者总是通过虚假报文告诉网关，自己就是目标主机，从而使网关向用户发送的数据被攻击者截取；冒充主机欺骗其他主机则是同一网内设备间的欺骗，攻击者以正常用户的身份伪造虚假ARP回应报文，欺骗其他主机，结果是其他用户向该用户发送的数据全部被攻击者截获。

（2）虚构MAC地址欺骗

这种攻击也是攻击者以正常用户身份伪造虚假的ARP回应报文，欺骗网关。但是，和上述一般冒充欺骗不同的是，此时攻击者提供给网关的MAC地址根本不存在，不是攻击者自己的MAC地址，这样网关发给该用户的数据全部被发往一个不存在的地方。

（3）ARP泛洪

这是一种比较危险的攻击，攻击者伪造大量虚假源MAC和源IP信息报文，向局域网内所有主机和网关进行广播，目的就是令局域网内部的主机或网关找不到正确的通信对象，甚至直接用虚假地址信息占满网关ARP缓存空间，造成用户无法正常上网。同时网络设备CPU居高不下，缓存空间被大量占用。由于影响到了网络设备，攻击者自己上网的效率也很低，这是一种典型的损人不利己行为。

3 ARP欺骗鉴定方法

（1）检查内网

（2）查看ARP表

用三层设备接入局域网的单位，网管可以检查其三层设备上的ARP表。如果有多个IP对应同一个MAC，则此MAC对应的计算机很可能中了木马病毒。可通过下连二层交换机的转发表查到此MAC对应的交换机端口，从而定位有问题的计算机。

4 ARP欺骗的防范措施

（1）系统补丁升级

全网所有的电脑都打上微软ARP官方补丁，这样可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。

（2）禁用系统的自动播放功能

防止病毒从U盘、移动硬盘、MP3等移动存储设备进入计算机。禁用Windows系统的自动播放功能：在运行中输入gpedit.msc后回车，打开组策略编辑器，依次点击：计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。

（3）静态绑定

最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。