浅谈校园网ARP欺骗攻击及其防范的研究

摘要：ARP欺骗攻击会向全网发送伪造ARP数据包，干扰整个校园网的运行，它造成的危害比一些蠕虫病毒还要严重得多。通过对ARP欺骗攻击原理的分析，掌握ARP欺骗攻击的基本方式，并且结合校园网自身的特点，从PC客户端、网关等多个方面提出在校园网环境中综合防御ARP攻击的多种方法，进行校园网络的整体防护。

关键词：ARP欺骗攻击；校园网；网络防护

Abstract：ARP spoofing attack will be forged ARP packets to the whole network transmission， interference in the whole campus network operation， it causes harm than some worms is much more serious.Through the analysis of the basic principle of ARP spoofing attacks， mastery of ARP spoofing attacks， and combined with the characteristics of its own campus， from many aspects， such as the PC client gateway is proposed in various methods of defense ARP attacks in campus networkenvironment， the whole campus network protection.

Keywords： ARP spoofing attack； campus network； network protection

1 ARP概述

1.1 ARP协议

ARP即地址解析协议，其功能是将IP地址转换成物理地址。ARP协议适用于数据链路层，它是IPV4中必不可少的协议，以太网发送IP数据包时，通过使用ARP协议可根据网络层IP数据包包头中的IP地址信息解析出目的MAC地十的信息，以保证通信。

简单的说在局域网中，黑客经过接收ARP Request广播包窃取其他节点的IP、MAC地址，之后黑客伪装成A，告诉受害者B一个家地址，使得B在发送数据包的过程中数据被黑客获取，而A、B无法知道这个欺骗过程。ARP之所以容易欺骗要追溯到这个网络协议的早期，RFC826在1980年就已经出版了，早期互联网模式是信任模式，基本都在科研院校内部使用，追求的是功能和速度，基本不考虑网络安全问题。而以太网的洪范特点虽然方便用来查询，但也为黑客打开了方便之门。黑客仅仅只需阅读网内的ARP Request就能窃取到局域网内所有的（IP、MAC）地址。

原理简意图解：

1.3 ARP欺骗方式

在网络中常见的ARP欺骗有两种：对路由器ARP表的欺骗和对内网PC的网关的欺骗。路由器ARP表的欺骗是截获网关数据，持续不断地向路由器发出一系列错误的内网MAC地址，导致真实地址无法更新保存在路由器中，路由器无法分辨最终将数据发给错误的MAC地址，这就导致正常的PC无法收到正确的数据。对内网PC的网关的欺骗是伪造网关，攻击者在网络中建立一个假网关，网络中的PC向假网关发送数据，导致PC在网络中不能正常通信。

2 校园网ARP欺骗及其防范

2.1 校园网ARP欺骗概述

随着计算机的普及，计算机网络技术和通信技术的飞速发展，为了满足各大专院校的科研教学，各个学校纷纷建立了自己的校园网，网络方便了广大师生。中国校园网络从1994年6月份建立试验网络，1995年7月建立第一个全国性网络以来，规模、技术、用户突飞猛进，网络覆盖各个角落。校园网络也已经成为校园的重要一部分，但网络的开放性也使学校网络系统受到了很大的安全威胁，很多计算机黑客可以轻而易举的攻击校园网，而ARP攻击是它们惯用的攻击手段之一，导致的后果也是非常的严重。

2006年ARP欺骗攻击第一次出现，直至今日这个问题也没有彻底解决，“局域网中断线”、“网站中病毒”、“网络速度慢”的现象是常见的，这样的攻击给网络的可用性和稳定性带来了挑战。

校园网的特点和其中的安全隐患：

1）校园网的速度快，同时用户群也比较密集，这是优点，但黑客也正利用这点，攻击一旦得手网络安全问题或者说病毒很快就能在这个网络中快速蔓延。

2）校园网计算机系统管理繁复，计算机大多都是个人购置的，所有的端系统安装统一的杀毒软件、设置口令等都是非常困难的。

3）用户群的安全意识淡薄，学生使用网络活跃，对网络技术好奇，用于尝试，但无法预估后果的严重性。有的学生甚至自己研究攻击技术，危害网络安全。

4）校园网开放度过高，监管力度又低。

5）学校对于网络建设和管理的投入不多，安全自然会打折。

6）盗版资源在校园网内泛滥也是导致系统容易受攻击的一个重要原因，盗版资源中很可能隐藏了木马、后门等恶意代码，容易被黑客利用。

校园网中，各种ARP攻击类型都有发生过，但最主要的攻击方式是冒充网关；然后是欺骗主机的方式，攻击者通过发送错误的网关MAC地址给受攻击者或者发送错误的终端MAC地址给受攻击者，从而导致受害者无法与网关或本网段内其他计算机终端互相通信；最后一种就是攻击者通过欺骗PC和网关相结合的方法，导致网关和PC终端用户无法正常通信。

2.2 校园网中ARP欺骗的防范方法及措施 解决ARP欺骗攻击是一个系统的综合措施，我们可以从以下这些思路上寻求解决办法：首先不能仅把网络安全信任建立在IP或MAC地址的基础上，理想的方法是设定静态的MAC-IP对应表。其次要使用硬件屏蔽主机，设置好路由器，务必保证IP地址能获取合法正常的路径。最后管理员要定期查询，检查主机的ARP缓存表，安装软件监测网络，一旦发现攻击，立刻查找根源及时阻断攻击机器。

具体防范措施：

首先，对于我们计算机的初级使用者来说，最直接的防范措施就是安装ARP防火墙或者开启局域网ARP防护]，比如360安全卫士等ARP病毒专杀工具，并且实时下载安装系统漏洞补丁，关闭不必要的服务等来减少病毒的攻击，这些都是软件的辅助防范。

为了全面或者说最大程度的防范ARP攻击，我们还要给我们的网络主机配置静态ARP。

3）将arp.bat文件放到主机启动项中。具体操作如下：点击“开始”-“程序”-“启动”右键单击选择“打开所有用户”，然后将文件放入打开的目录中就行了，以后都会开机自动运行。

2.3 网关设备攻击防范，主要是二层和三层交换机配置的规范

（1）二层交换机。与电脑直接相连的端口上配置静态MAC地址，同时禁止动态学习；如果需要修改或删除静态MAC绑定的数据，先要在端口下删除mac-address max-mac-count 0， 修改后在端口重新添加mac-address max-mac-count 0；暂时不用的端口手动shutdown。

（2）三层交换机。该设备上配置静态ARP绑定下挂PC机的IP与MAC地址，防止下挂PC机随意变动IP地址。

（3）交换机既作网关又作接入是的配置规范。首先与PC机直接相连的端口上配置MAC，禁止动态学习MAC；暂时不用的端口手动关闭；下挂的PC机不得随意变动已经设置的IP地址。

3 结束语

ARP欺骗攻击虽然已经在网络发现这么多年了，但是在目前的网络管理，特别是局域网网络管理中最让人困苦不堪的依然是这种攻击。这种攻击要求的技术门槛比较低，稍微具备一些计算机知识的人都可以轻而易举通过一个攻击软件来完成一个ARP欺骗手段。与此同时，我们还没有找到什么特别有效的方法来一劳永逸解决这个问题，我们能做的只是被动的来采取一些综合措施来防范这种攻击，希望我的这些方法建议对于防范ARP欺骗攻击有所帮助。也希望随着计算机技术的不断完善，通过变协议的方式来彻底解决ARP欺骗这一难题。

参考文献：

[2] 史子新. 校园网ARP攻击原理与防范[J]. 甘肃科技，2010（3）.

[3] 关于校园网内防范ARP欺骗病毒攻击的重要通告[J]. 衢州学院， 2007（5）.

[4] 朱立才.计算机网络原理实验教程[M]. 科学出版社， 2005.