摘要：針對校園網(wǎng)普遍存在的ARP攻擊、私設(shè)DHCP服務器和IP地址沖突等問題，經(jīng)過分析ARP攻擊原理，并結(jié)合本院實例給出了基于DHCP Snooping的校園網(wǎng)ARP防范解決方案。

關(guān)鍵詞：ARP；DHCP； DHCP Snooping；IPSG；ARP-Check

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）19-4438-04

Study on ARPs Preventions on School Intranet Based on DHCP Snooping

QIN Zhong-yu

（Guangzhou Institute of Railway Technology，Guangzhou 510430，China）

Abstract： Aiming at the problems of attack by ARP on the school intranet， Private DHCP server and the conflict by IP address， this article accounts for the principles of ARP. Moreover， it also provides the how to prevent attack by ARP with the concrete examples base on DHCP Snooping.

Key words： ARP； DHCP；DHCP snooping； IPSG； ARP-Check

隨著高校不斷擴招，校園網(wǎng)用戶規(guī)模不斷壯大，校園網(wǎng)將面臨更多的安全隱患。內(nèi)網(wǎng)用戶頻繁掉線、網(wǎng)速變慢甚至不能上網(wǎng)等現(xiàn)象時有發(fā)生，這嚴重影響了校園網(wǎng)絡的正常運行，此類現(xiàn)象基本上都是由ARP欺騙攻擊引起的，這在校園網(wǎng)是很普遍的現(xiàn)象，也是很難解決的問題。結(jié)合我院校園網(wǎng)的實際情況，給出了基于DHCP Snooping的ARP防范解決方案。

1 ARP協(xié)議

ARP協(xié)議是“Address Resolution Protocol”（即地址解析協(xié)議）的縮寫，其主要功能是將IP地址轉(zhuǎn)化成對應的MAC地址（物理地址），建立IP地址與MAC地址的動態(tài)映射關(guān)系。

在以太網(wǎng)中，同一局域網(wǎng)內(nèi)的主機是依據(jù)MAC地址（即物理地址）來確定目的接口，從而實現(xiàn)相互之間的通信；而根據(jù)TCP/IP層次模型，網(wǎng)絡層及以上是根據(jù)IP地址來確定通信對象的。當數(shù)據(jù)鏈路層接收到上層的數(shù)據(jù)幀時，由于數(shù)據(jù)幀中包含有IP地址，但沒有包含MAC地址，從而導致主機之間不能通信，這就需要把IP地址轉(zhuǎn)換成MAC地址的機制，由此ARP協(xié)議應運而生。ARP協(xié)議的功能就是將IP地址轉(zhuǎn)換成對應的MAC地址。

正常的ARP通訊過程只需廣播ARP Request和單播ARP Replay兩個過程，也就是一問一答。如圖1所示：

主機A：192.168.0.2 主機B：192.168.0.1

MAC：00d0.f800.02 MAC：00d0.f800.01

圖1 ARP通訊過程

每臺主機上都有一個ARP高速緩存，用于存放IP地址和MAC地址的動態(tài)映射關(guān)系，在主機上可用'cmd'、'arp —a'命令來查看。以主機A向主機B發(fā)送數(shù)據(jù)為例：如果主機A的ARP高速緩存表中有主機B的IP地址與MAC地址的映射關(guān)系，此時可直接把目標主機B的MAC地址寫入數(shù)據(jù)幀里即可發(fā)送數(shù)據(jù)幀；如果主機A的ARP高速緩存表中沒有主機B的IP地址與MAC地址的映射關(guān)系，主機A會在網(wǎng)絡中發(fā)送一個廣播（ARP request），向所有主機詢問：“192.168.0.1的MAC地址是什么？”，所有主機都會收到ARP request報文，但只有主機B向主機A回應，并發(fā)送單播ARP Replay告訴主機A自己的MAC地址，此時主機A會把主機B的IP地址與MAC地址映射關(guān)系更新到ARP高速緩存中。這樣，主機A和主機B兩者才能通信。

2 ARP欺騙攻擊

由于ARP協(xié)議是建立在網(wǎng)絡中各主機之間互相信任的基礎(chǔ)上，使得主機收到應答報文時不會檢測報文的合法性就將其更新到本地ARP高速緩存中，并且ARP高速緩存是動態(tài)的，這樣就給ARP欺騙攻擊提供了機遇。攻擊者可通過持續(xù)的向目標主機發(fā)送非法ARP應答報文，使得目標主機ARP高速緩存記錄了非法ARP信息，導致向目標主機發(fā)送的信息無法到達相應的主機或到達錯誤的主機，這便構(gòu)成了ARP欺騙攻擊。

從影響網(wǎng)絡連接通暢的方式來看，ARP欺騙可分為兩種，一種是主機型欺騙；另一種是網(wǎng)關(guān)型欺騙。

1） 主機型ARP欺騙，即偽造網(wǎng)關(guān)。通過偽造真實網(wǎng)關(guān)的IP地址或MAC地址，并不斷廣播到網(wǎng)絡中，讓被欺騙的主機向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)。如圖2所示：

圖2 主機型ARP欺騙示意圖

2） 網(wǎng)關(guān)型ARP欺騙。按照一定的頻率不斷告訴網(wǎng)關(guān)錯誤的內(nèi)網(wǎng)MAC地址，使虛假的地址更新保存在網(wǎng)關(guān)中，導致網(wǎng)關(guān)數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常主機無法收到信息。如圖3所示：

圖3 網(wǎng)關(guān)型ARP欺騙示意圖

結(jié)合我院校園網(wǎng)的實際情況，該文將引入DHCP Snooping、IPSG和arp-check這三項技術(shù)來部署ARP防范攻擊。在終端用戶動態(tài)獲取IP地址的過程中，通過接入層交換機的DHCP Snooping功能將用戶自動獲取到的正確的IP與MAC信息記錄到交換機的DHCP Snooping軟件表；然后通過IPSG功能將DHCP Snooping表的每個終端的IP&MAC信息寫入交換機的硬件表項（類似端口安全的綁定），并過濾非法的IP報文；最后使用ARP-check功能校驗所有ARP報文的正確性。如果合法用戶獲取IP地址后試圖進行ARP欺騙，或者是非法用戶私自配置靜態(tài)的IP地址，他們的ARP校驗都將失敗，這樣的用戶將無法使用網(wǎng)絡，從而杜絕網(wǎng)絡中的ARP欺騙攻擊。

3 解決方案及應用部署

3.1 DHCP Snooping技術(shù)及部署

DHCP Snooping為DHCP窺探的意思。通過對Client和Server之間的DHCP交互報文進行窺探，把用戶獲取到的IP信息以及用戶MAC、VID、PORT、租約時間等信息組成用戶記錄表項，形成DHCP Snooping用戶數(shù)據(jù)庫，配合其他其它安全功能，可達到控制用戶合法使用IP地址的目的。

在DHCP Snooping環(huán)境中，我們可將端口視為trust或untrust兩種安全級別。將連接合法DHCP服務器的接口配置為trust狀態(tài)，其余接口保持默認狀態(tài)（即untrust）。這樣，只有trust接口上收到的DHCPserver報文才會被放行，untrust接口所收到的DHCPserver報文都將被丟棄，這樣可防止非法DHCPserver的接入。

以 Ruijie S2652為例，進行DHCP Snooping的配置，具體步驟如下：

Switch>enable

Switch#configure terminal

Switch（config）# ip dhcp snooping //全局啟用DHCP snooping功能

Switch（config）# int gigabitEthernet 0/52

Switch（config-if-GigabitEthernet 0/52）#ip dhcp snooping trust //上聯(lián)口設(shè)置為trust狀態(tài)

建立和維護的DHCP Snooping binding table 如圖4所示：

圖4 DHCP Snooping binding table信息

3.2 IPSG技術(shù)及部署

雖然依靠DHCP Snooping的過濾，最大限度的過濾了來自客戶端的攻擊，杜絕了網(wǎng)絡中的非法DHCP服務器。但在實際網(wǎng)絡環(huán)境中，由于ARP協(xié)議是建立在網(wǎng)絡中各主機之間是相互信任的基礎(chǔ)上，這導致主機可以任意更改MAC地址，造成IP地址與MAC地址映射關(guān)系的混亂。ARP欺騙正是通過修改主機MAC地址，并不間斷的告知其他主機或網(wǎng)關(guān)，以達到欺騙的目的。

IPSG（IP Source Guard）通過維護一個IP源地址綁定數(shù)據(jù)庫，可以在對應的接口上對報文進行基于源IP、源IP加源MAC的報文過濾，從而保證只有IP源地址綁定數(shù)據(jù)庫中的主機才能正常使用網(wǎng)絡。IPSG不但可以配置成對IP地址或者MAC 地址的過濾，也可以配置成對IP-MAC地址的過濾。IPSG通過把合法的PORT-MAC-IP映射關(guān)系綁定起來，從而基于此映射關(guān)系過濾掉非法IP地址，解決了MAC地址冒用和IP地址沖突等問題。

以 RuiJie S2652 為例，進行IPSG的配置，具體步驟如下：

Switch（config-if）#int FastEthernet 0/1

Switch（config-if-FastEthernet 0/1）# ip verify source port-security //IP源防護功能執(zhí)行“源IP和源MAC地址過濾”

配置驗證，如圖5所示：

圖5 IPSG過濾表信息

3.3 ARP-Check技術(shù)及部署

ARP-Check即ARP報文檢查功能，對邏輯端口下的所有ARP報文進行過濾，對所有非法的ARP報文進行過濾，有效防止ARP欺騙。

其工作過程如圖6所示：

圖6 ARP-Check工作流程

ARP-Check功能使用交換機各安全功能模塊產(chǎn)生的合法用戶信息表檢測邏輯端口下的所有ARP報文中的Sender IP字段或是否滿足合法用戶信息表中的匹配關(guān)系，所有不在合法用戶信息表中的ARP報文將被丟棄。

以 RuiJie S2652 為例，進行ARP-Check的配置，具體步驟如下：

Switch（config-if）#int FastEthernet 0/1

Switch（config-if-FastEthernet 0/1）# arp check //端口下啟用ARP-Check功能

配置驗證，如圖7所示：

圖7 ARP-Check過濾信息表

4 小結(jié)

本文對ARP協(xié)議的概念、工作原理和ARP欺騙攻擊原理及現(xiàn)象等若干問題進行了深入的分析和研究，結(jié)合我院校園網(wǎng)的實際網(wǎng)絡環(huán)境，提出了基于DHCP Snooping技術(shù)，結(jié)合IP Source Guard和ARP-Check等相關(guān)交換機安全功能，對IP地址+MAC地址+端口進行管理和控制，充分過濾非法ARP和IP報文，保證合法用戶正常上網(wǎng)，有效解決了校園網(wǎng)ARP攻擊現(xiàn)象，保證校園網(wǎng)持續(xù)、穩(wěn)定、安全的運轉(zhuǎn)。

參考文獻：

[1] 王奇.以太網(wǎng)中 ARP 欺騙原理與解決辦法[J].網(wǎng)絡安全技術(shù)與應用.2007.

[2] 王彥剛. ARP 病毒在校園網(wǎng)內(nèi)的傳播和解決方案[J]. 黑龍江科技信息，2008，（9） ：56.

[3] 車樹炎. 基于ARP 欺騙攻擊網(wǎng)絡安全性的研究[J].電腦知識與技術(shù)，2012.

[4] 趙均，陳克非.ARP協(xié)議安全漏洞分析及其防御方法[J].信息安全與通信保密， 2006（8）： 73-74， 77.

[5] 吳青.局域網(wǎng)ARP攻擊與防范[J].辦公自動化雜志， 2006（8）： 25-27.

[6] 田文勇，李常先.解決 DHCP 環(huán)境下私自制定 IP 和私自搭建DHCP 服務器的方法[J].福建電腦，2008.

[7] 趙均，陳克非.ARP協(xié)議安全漏洞分析及其防御方法[J].信息安全與通信保密， 2006（8）： 73-74， 77.

[8] 福建星網(wǎng)銳捷網(wǎng)絡有限公司[M].RG- S2600系列交換機配置手冊.V10.3（4） .

圖3 網(wǎng)關(guān)型ARP欺騙示意圖

結(jié)合我院校園網(wǎng)的實際情況，該文將引入DHCP Snooping、IPSG和arp-check這三項技術(shù)來部署ARP防范攻擊。在終端用戶動態(tài)獲取IP地址的過程中，通過接入層交換機的DHCP Snooping功能將用戶自動獲取到的正確的IP與MAC信息記錄到交換機的DHCP Snooping軟件表；然后通過IPSG功能將DHCP Snooping表的每個終端的IP&MAC信息寫入交換機的硬件表項（類似端口安全的綁定），并過濾非法的IP報文；最后使用ARP-check功能校驗所有ARP報文的正確性。如果合法用戶獲取IP地址后試圖進行ARP欺騙，或者是非法用戶私自配置靜態(tài)的IP地址，他們的ARP校驗都將失敗，這樣的用戶將無法使用網(wǎng)絡，從而杜絕網(wǎng)絡中的ARP欺騙攻擊。

3 解決方案及應用部署

3.1 DHCP Snooping技術(shù)及部署

DHCP Snooping為DHCP窺探的意思。通過對Client和Server之間的DHCP交互報文進行窺探，把用戶獲取到的IP信息以及用戶MAC、VID、PORT、租約時間等信息組成用戶記錄表項，形成DHCP Snooping用戶數(shù)據(jù)庫，配合其他其它安全功能，可達到控制用戶合法使用IP地址的目的。

在DHCP Snooping環(huán)境中，我們可將端口視為trust或untrust兩種安全級別。將連接合法DHCP服務器的接口配置為trust狀態(tài)，其余接口保持默認狀態(tài)（即untrust）。這樣，只有trust接口上收到的DHCPserver報文才會被放行，untrust接口所收到的DHCPserver報文都將被丟棄，這樣可防止非法DHCPserver的接入。

以 Ruijie S2652為例，進行DHCP Snooping的配置，具體步驟如下：

Switch>enable

Switch#configure terminal

Switch（config）# ip dhcp snooping //全局啟用DHCP snooping功能

Switch（config）# int gigabitEthernet 0/52

Switch（config-if-GigabitEthernet 0/52）#ip dhcp snooping trust //上聯(lián)口設(shè)置為trust狀態(tài)

建立和維護的DHCP Snooping binding table 如圖4所示：

圖4 DHCP Snooping binding table信息

3.2 IPSG技術(shù)及部署

雖然依靠DHCP Snooping的過濾，最大限度的過濾了來自客戶端的攻擊，杜絕了網(wǎng)絡中的非法DHCP服務器。但在實際網(wǎng)絡環(huán)境中，由于ARP協(xié)議是建立在網(wǎng)絡中各主機之間是相互信任的基礎(chǔ)上，這導致主機可以任意更改MAC地址，造成IP地址與MAC地址映射關(guān)系的混亂。ARP欺騙正是通過修改主機MAC地址，并不間斷的告知其他主機或網(wǎng)關(guān)，以達到欺騙的目的。

IPSG（IP Source Guard）通過維護一個IP源地址綁定數(shù)據(jù)庫，可以在對應的接口上對報文進行基于源IP、源IP加源MAC的報文過濾，從而保證只有IP源地址綁定數(shù)據(jù)庫中的主機才能正常使用網(wǎng)絡。IPSG不但可以配置成對IP地址或者MAC 地址的過濾，也可以配置成對IP-MAC地址的過濾。IPSG通過把合法的PORT-MAC-IP映射關(guān)系綁定起來，從而基于此映射關(guān)系過濾掉非法IP地址，解決了MAC地址冒用和IP地址沖突等問題。

以 RuiJie S2652 為例，進行IPSG的配置，具體步驟如下：

Switch（config-if）#int FastEthernet 0/1

Switch（config-if-FastEthernet 0/1）# ip verify source port-security //IP源防護功能執(zhí)行“源IP和源MAC地址過濾”

配置驗證，如圖5所示：

圖5 IPSG過濾表信息

3.3 ARP-Check技術(shù)及部署

ARP-Check即ARP報文檢查功能，對邏輯端口下的所有ARP報文進行過濾，對所有非法的ARP報文進行過濾，有效防止ARP欺騙。

其工作過程如圖6所示：

圖6 ARP-Check工作流程

ARP-Check功能使用交換機各安全功能模塊產(chǎn)生的合法用戶信息表檢測邏輯端口下的所有ARP報文中的Sender IP字段或是否滿足合法用戶信息表中的匹配關(guān)系，所有不在合法用戶信息表中的ARP報文將被丟棄。

以 RuiJie S2652 為例，進行ARP-Check的配置，具體步驟如下：

Switch（config-if）#int FastEthernet 0/1

Switch（config-if-FastEthernet 0/1）# arp check //端口下啟用ARP-Check功能

配置驗證，如圖7所示：

圖7 ARP-Check過濾信息表

4 小結(jié)

本文對ARP協(xié)議的概念、工作原理和ARP欺騙攻擊原理及現(xiàn)象等若干問題進行了深入的分析和研究，結(jié)合我院校園網(wǎng)的實際網(wǎng)絡環(huán)境，提出了基于DHCP Snooping技術(shù)，結(jié)合IP Source Guard和ARP-Check等相關(guān)交換機安全功能，對IP地址+MAC地址+端口進行管理和控制，充分過濾非法ARP和IP報文，保證合法用戶正常上網(wǎng)，有效解決了校園網(wǎng)ARP攻擊現(xiàn)象，保證校園網(wǎng)持續(xù)、穩(wěn)定、安全的運轉(zhuǎn)。

參考文獻：

[1] 王奇.以太網(wǎng)中 ARP 欺騙原理與解決辦法[J].網(wǎng)絡安全技術(shù)與應用.2007.

[2] 王彥剛. ARP 病毒在校園網(wǎng)內(nèi)的傳播和解決方案[J]. 黑龍江科技信息，2008，（9） ：56.

[3] 車樹炎. 基于ARP 欺騙攻擊網(wǎng)絡安全性的研究[J].電腦知識與技術(shù)，2012.

[4] 趙均，陳克非.ARP協(xié)議安全漏洞分析及其防御方法[J].信息安全與通信保密， 2006（8）： 73-74， 77.

[5] 吳青.局域網(wǎng)ARP攻擊與防范[J].辦公自動化雜志， 2006（8）： 25-27.

[6] 田文勇，李常先.解決 DHCP 環(huán)境下私自制定 IP 和私自搭建DHCP 服務器的方法[J].福建電腦，2008.

[7] 趙均，陳克非.ARP協(xié)議安全漏洞分析及其防御方法[J].信息安全與通信保密， 2006（8）： 73-74， 77.

[8] 福建星網(wǎng)銳捷網(wǎng)絡有限公司[M].RG- S2600系列交換機配置手冊.V10.3（4） .

圖3 網(wǎng)關(guān)型ARP欺騙示意圖

結(jié)合我院校園網(wǎng)的實際情況，該文將引入DHCP Snooping、IPSG和arp-check這三項技術(shù)來部署ARP防范攻擊。在終端用戶動態(tài)獲取IP地址的過程中，通過接入層交換機的DHCP Snooping功能將用戶自動獲取到的正確的IP與MAC信息記錄到交換機的DHCP Snooping軟件表；然后通過IPSG功能將DHCP Snooping表的每個終端的IP&MAC信息寫入交換機的硬件表項（類似端口安全的綁定），并過濾非法的IP報文；最后使用ARP-check功能校驗所有ARP報文的正確性。如果合法用戶獲取IP地址后試圖進行ARP欺騙，或者是非法用戶私自配置靜態(tài)的IP地址，他們的ARP校驗都將失敗，這樣的用戶將無法使用網(wǎng)絡，從而杜絕網(wǎng)絡中的ARP欺騙攻擊。

3 解決方案及應用部署

3.1 DHCP Snooping技術(shù)及部署

DHCP Snooping為DHCP窺探的意思。通過對Client和Server之間的DHCP交互報文進行窺探，把用戶獲取到的IP信息以及用戶MAC、VID、PORT、租約時間等信息組成用戶記錄表項，形成DHCP Snooping用戶數(shù)據(jù)庫，配合其他其它安全功能，可達到控制用戶合法使用IP地址的目的。

在DHCP Snooping環(huán)境中，我們可將端口視為trust或untrust兩種安全級別。將連接合法DHCP服務器的接口配置為trust狀態(tài)，其余接口保持默認狀態(tài)（即untrust）。這樣，只有trust接口上收到的DHCPserver報文才會被放行，untrust接口所收到的DHCPserver報文都將被丟棄，這樣可防止非法DHCPserver的接入。

以 Ruijie S2652為例，進行DHCP Snooping的配置，具體步驟如下：

Switch>enable

Switch#configure terminal

Switch（config）# ip dhcp snooping //全局啟用DHCP snooping功能

Switch（config）# int gigabitEthernet 0/52

Switch（config-if-GigabitEthernet 0/52）#ip dhcp snooping trust //上聯(lián)口設(shè)置為trust狀態(tài)

建立和維護的DHCP Snooping binding table 如圖4所示：

圖4 DHCP Snooping binding table信息

3.2 IPSG技術(shù)及部署

雖然依靠DHCP Snooping的過濾，最大限度的過濾了來自客戶端的攻擊，杜絕了網(wǎng)絡中的非法DHCP服務器。但在實際網(wǎng)絡環(huán)境中，由于ARP協(xié)議是建立在網(wǎng)絡中各主機之間是相互信任的基礎(chǔ)上，這導致主機可以任意更改MAC地址，造成IP地址與MAC地址映射關(guān)系的混亂。ARP欺騙正是通過修改主機MAC地址，并不間斷的告知其他主機或網(wǎng)關(guān)，以達到欺騙的目的。

IPSG（IP Source Guard）通過維護一個IP源地址綁定數(shù)據(jù)庫，可以在對應的接口上對報文進行基于源IP、源IP加源MAC的報文過濾，從而保證只有IP源地址綁定數(shù)據(jù)庫中的主機才能正常使用網(wǎng)絡。IPSG不但可以配置成對IP地址或者MAC 地址的過濾，也可以配置成對IP-MAC地址的過濾。IPSG通過把合法的PORT-MAC-IP映射關(guān)系綁定起來，從而基于此映射關(guān)系過濾掉非法IP地址，解決了MAC地址冒用和IP地址沖突等問題。

以 RuiJie S2652 為例，進行IPSG的配置，具體步驟如下：

Switch（config-if）#int FastEthernet 0/1

Switch（config-if-FastEthernet 0/1）# ip verify source port-security //IP源防護功能執(zhí)行“源IP和源MAC地址過濾”

配置驗證，如圖5所示：

圖5 IPSG過濾表信息

3.3 ARP-Check技術(shù)及部署

ARP-Check即ARP報文檢查功能，對邏輯端口下的所有ARP報文進行過濾，對所有非法的ARP報文進行過濾，有效防止ARP欺騙。

其工作過程如圖6所示：

圖6 ARP-Check工作流程

ARP-Check功能使用交換機各安全功能模塊產(chǎn)生的合法用戶信息表檢測邏輯端口下的所有ARP報文中的Sender IP字段或是否滿足合法用戶信息表中的匹配關(guān)系，所有不在合法用戶信息表中的ARP報文將被丟棄。

以 RuiJie S2652 為例，進行ARP-Check的配置，具體步驟如下：

Switch（config-if）#int FastEthernet 0/1

Switch（config-if-FastEthernet 0/1）# arp check //端口下啟用ARP-Check功能

配置驗證，如圖7所示：

圖7 ARP-Check過濾信息表

4 小結(jié)

本文對ARP協(xié)議的概念、工作原理和ARP欺騙攻擊原理及現(xiàn)象等若干問題進行了深入的分析和研究，結(jié)合我院校園網(wǎng)的實際網(wǎng)絡環(huán)境，提出了基于DHCP Snooping技術(shù)，結(jié)合IP Source Guard和ARP-Check等相關(guān)交換機安全功能，對IP地址+MAC地址+端口進行管理和控制，充分過濾非法ARP和IP報文，保證合法用戶正常上網(wǎng)，有效解決了校園網(wǎng)ARP攻擊現(xiàn)象，保證校園網(wǎng)持續(xù)、穩(wěn)定、安全的運轉(zhuǎn)。

參考文獻：

[1] 王奇.以太網(wǎng)中 ARP 欺騙原理與解決辦法[J].網(wǎng)絡安全技術(shù)與應用.2007.

[2] 王彥剛. ARP 病毒在校園網(wǎng)內(nèi)的傳播和解決方案[J]. 黑龍江科技信息，2008，（9） ：56.

[3] 車樹炎. 基于ARP 欺騙攻擊網(wǎng)絡安全性的研究[J].電腦知識與技術(shù)，2012.

[4] 趙均，陳克非.ARP協(xié)議安全漏洞分析及其防御方法[J].信息安全與通信保密， 2006（8）： 73-74， 77.

[5] 吳青.局域網(wǎng)ARP攻擊與防范[J].辦公自動化雜志， 2006（8）： 25-27.

[6] 田文勇，李常先.解決 DHCP 環(huán)境下私自制定 IP 和私自搭建DHCP 服務器的方法[J].福建電腦，2008.

[7] 趙均，陳克非.ARP協(xié)議安全漏洞分析及其防御方法[J].信息安全與通信保密， 2006（8）： 73-74， 77.

[8] 福建星網(wǎng)銳捷網(wǎng)絡有限公司[M].RG- S2600系列交換機配置手冊.V10.3（4） .