張春

摘要：ARP欺騙攻擊會(huì)向全網(wǎng)發(fā)送偽造ARP數(shù)據(jù)包，干擾整個(gè)校園網(wǎng)的運(yùn)行，它造成的危害比一些蠕蟲病毒還要嚴(yán)重得多。通過對(duì)ARP欺騙攻擊原理的分析，掌握ARP欺騙攻擊的基本方式，并且結(jié)合校園網(wǎng)自身的特點(diǎn)，從PC客戶端、網(wǎng)關(guān)等多個(gè)方面提出在校園網(wǎng)環(huán)境中綜合防御ARP攻擊的多種方法，進(jìn)行校園網(wǎng)絡(luò)的整體防護(hù)。

關(guān)鍵詞：ARP欺騙攻擊；校園網(wǎng)；網(wǎng)絡(luò)防護(hù)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）02-0030-02

Abstract：ARP spoofing attack will be forged ARP packets to the whole network transmission， interference in the whole campus network operation， it causes harm than some worms is much more serious.Through the analysis of the basic principle of ARP spoofing attacks， mastery of ARP spoofing attacks， and combined with the characteristics of its own campus， from many aspects， such as the PC client gateway is proposed in various methods of defense ARP attacks in campus networkenvironment， the whole campus network protection.

Keywords： ARP spoofing attack； campus network； network protection

1 ARP概述

1.1 ARP協(xié)議

ARP即地址解析協(xié)議，其功能是將IP地址轉(zhuǎn)換成物理地址。ARP協(xié)議適用于數(shù)據(jù)鏈路層，它是IPV4中必不可少的協(xié)議，以太網(wǎng)發(fā)送IP數(shù)據(jù)包時(shí)，通過使用ARP協(xié)議可根據(jù)網(wǎng)絡(luò)層IP數(shù)據(jù)包包頭中的IP地址信息解析出目的MAC地十的信息，以保證通信。

1.2 ARP欺騙的原理

簡(jiǎn)單的說在局域網(wǎng)中，黑客經(jīng)過接收ARP Request廣播包竊取其他節(jié)點(diǎn)的IP、MAC地址，之后黑客偽裝成A，告訴受害者B一個(gè)家地址，使得B在發(fā)送數(shù)據(jù)包的過程中數(shù)據(jù)被黑客獲取，而A、B無法知道這個(gè)欺騙過程。ARP之所以容易欺騙要追溯到這個(gè)網(wǎng)絡(luò)協(xié)議的早期，RFC826在1980年就已經(jīng)出版了，早期互聯(lián)網(wǎng)模式是信任模式，基本都在科研院校內(nèi)部使用，追求的是功能和速度，基本不考慮網(wǎng)絡(luò)安全問題。而以太網(wǎng)的洪范特點(diǎn)雖然方便用來查詢，但也為黑客打開了方便之門。黑客僅僅只需閱讀網(wǎng)內(nèi)的ARP Request就能竊取到局域網(wǎng)內(nèi)所有的（IP、MAC）地址。

原理簡(jiǎn)意圖解：

1.3 ARP欺騙方式

在網(wǎng)絡(luò)中常見的ARP欺騙有兩種：對(duì)路由器ARP表的欺騙和對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)的欺騙。路由器ARP表的欺騙是截獲網(wǎng)關(guān)數(shù)據(jù)，持續(xù)不斷地向路由器發(fā)出一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，導(dǎo)致真實(shí)地址無法更新保存在路由器中，路由器無法分辨最終將數(shù)據(jù)發(fā)給錯(cuò)誤的MAC地址，這就導(dǎo)致正常的PC無法收到正確的數(shù)據(jù)。對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)的欺騙是偽造網(wǎng)關(guān)，攻擊者在網(wǎng)絡(luò)中建立一個(gè)假網(wǎng)關(guān)，網(wǎng)絡(luò)中的PC向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，導(dǎo)致PC在網(wǎng)絡(luò)中不能正常通信。

2 校園網(wǎng)ARP欺騙及其防范

2.1 校園網(wǎng)ARP欺騙概述

隨著計(jì)算機(jī)的普及，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和通信技術(shù)的飛速發(fā)展，為了滿足各大專院校的科研教學(xué)，各個(gè)學(xué)校紛紛建立了自己的校園網(wǎng)，網(wǎng)絡(luò)方便了廣大師生。中國(guó)校園網(wǎng)絡(luò)從1994年6月份建立試驗(yàn)網(wǎng)絡(luò)，1995年7月建立第一個(gè)全國(guó)性網(wǎng)絡(luò)以來，規(guī)模、技術(shù)、用戶突飛猛進(jìn)，網(wǎng)絡(luò)覆蓋各個(gè)角落。校園網(wǎng)絡(luò)也已經(jīng)成為校園的重要一部分，但網(wǎng)絡(luò)的開放性也使學(xué)校網(wǎng)絡(luò)系統(tǒng)受到了很大的安全威脅，很多計(jì)算機(jī)黑客可以輕而易舉的攻擊校園網(wǎng)，而ARP攻擊是它們慣用的攻擊手段之一，導(dǎo)致的后果也是非常的嚴(yán)重。

2006年ARP欺騙攻擊第一次出現(xiàn)，直至今日這個(gè)問題也沒有徹底解決，“局域網(wǎng)中斷線”、“網(wǎng)站中病毒”、“網(wǎng)絡(luò)速度慢”的現(xiàn)象是常見的，這樣的攻擊給網(wǎng)絡(luò)的可用性和穩(wěn)定性帶來了挑戰(zhàn)。

校園網(wǎng)的特點(diǎn)和其中的安全隱患：

1）校園網(wǎng)的速度快，同時(shí)用戶群也比較密集，這是優(yōu)點(diǎn)，但黑客也正利用這點(diǎn)，攻擊一旦得手網(wǎng)絡(luò)安全問題或者說病毒很快就能在這個(gè)網(wǎng)絡(luò)中快速蔓延。

2）校園網(wǎng)計(jì)算機(jī)系統(tǒng)管理繁復(fù)，計(jì)算機(jī)大多都是個(gè)人購(gòu)置的，所有的端系統(tǒng)安裝統(tǒng)一的殺毒軟件、設(shè)置口令等都是非常困難的。

3）用戶群的安全意識(shí)淡薄，學(xué)生使用網(wǎng)絡(luò)活躍，對(duì)網(wǎng)絡(luò)技術(shù)好奇，用于嘗試，但無法預(yù)估后果的嚴(yán)重性。有的學(xué)生甚至自己研究攻擊技術(shù)，危害網(wǎng)絡(luò)安全。

4）校園網(wǎng)開放度過高，監(jiān)管力度又低。

5）學(xué)校對(duì)于網(wǎng)絡(luò)建設(shè)和管理的投入不多，安全自然會(huì)打折。

6）盜版資源在校園網(wǎng)內(nèi)泛濫也是導(dǎo)致系統(tǒng)容易受攻擊的一個(gè)重要原因，盜版資源中很可能隱藏了木馬、后門等惡意代碼，容易被黑客利用。

校園網(wǎng)中，各種ARP攻擊類型都有發(fā)生過，但最主要的攻擊方式是冒充網(wǎng)關(guān)；然后是欺騙主機(jī)的方式，攻擊者通過發(fā)送錯(cuò)誤的網(wǎng)關(guān)MAC地址給受攻擊者或者發(fā)送錯(cuò)誤的終端MAC地址給受攻擊者，從而導(dǎo)致受害者無法與網(wǎng)關(guān)或本網(wǎng)段內(nèi)其他計(jì)算機(jī)終端互相通信；最后一種就是攻擊者通過欺騙PC和網(wǎng)關(guān)相結(jié)合的方法，導(dǎo)致網(wǎng)關(guān)和PC終端用戶無法正常通信。

2.2 校園網(wǎng)中ARP欺騙的防范方法及措施

解決ARP欺騙攻擊是一個(gè)系統(tǒng)的綜合措施，我們可以從以下這些思路上尋求解決辦法：首先不能僅把網(wǎng)絡(luò)安全信任建立在IP或MAC地址的基礎(chǔ)上，理想的方法是設(shè)定靜態(tài)的MAC-IP對(duì)應(yīng)表。其次要使用硬件屏蔽主機(jī)，設(shè)置好路由器，務(wù)必保證IP地址能獲取合法正常的路徑。最后管理員要定期查詢，檢查主機(jī)的ARP緩存表，安裝軟件監(jiān)測(cè)網(wǎng)絡(luò)，一旦發(fā)現(xiàn)攻擊，立刻查找根源及時(shí)阻斷攻擊機(jī)器。

具體防范措施：

首先，對(duì)于我們計(jì)算機(jī)的初級(jí)使用者來說，最直接的防范措施就是安裝ARP防火墻或者開啟局域網(wǎng)ARP防護(hù)]，比如360安全衛(wèi)士等ARP病毒專殺工具，并且實(shí)時(shí)下載安裝系統(tǒng)漏洞補(bǔ)丁，關(guān)閉不必要的服務(wù)等來減少病毒的攻擊，這些都是軟件的輔助防范。

為了全面或者說最大程度的防范ARP攻擊，我們還要給我們的網(wǎng)絡(luò)主機(jī)配置靜態(tài)ARP。

3）將arp.bat文件放到主機(jī)啟動(dòng)項(xiàng)中。具體操作如下：點(diǎn)擊“開始”-“程序”-“啟動(dòng)”右鍵單擊選擇“打開所有用戶”，然后將文件放入打開的目錄中就行了，以后都會(huì)開機(jī)自動(dòng)運(yùn)行。

2.3 網(wǎng)關(guān)設(shè)備攻擊防范，主要是二層和三層交換機(jī)配置的規(guī)范

（1）二層交換機(jī)。與電腦直接相連的端口上配置靜態(tài)MAC地址，同時(shí)禁止動(dòng)態(tài)學(xué)習(xí)；如果需要修改或刪除靜態(tài)MAC綁定的數(shù)據(jù)，先要在端口下刪除mac-address max-mac-count 0， 修改后在端口重新添加mac-address max-mac-count 0；暫時(shí)不用的端口手動(dòng)shutdown。

（2）三層交換機(jī)。該設(shè)備上配置靜態(tài)ARP綁定下掛PC機(jī)的IP與MAC地址，防止下掛PC機(jī)隨意變動(dòng)IP地址。

（3）交換機(jī)既作網(wǎng)關(guān)又作接入是的配置規(guī)范。首先與PC機(jī)直接相連的端口上配置MAC，禁止動(dòng)態(tài)學(xué)習(xí)MAC；暫時(shí)不用的端口手動(dòng)關(guān)閉；下掛的PC機(jī)不得隨意變動(dòng)已經(jīng)設(shè)置的IP地址。

3 結(jié)束語

ARP欺騙攻擊雖然已經(jīng)在網(wǎng)絡(luò)發(fā)現(xiàn)這么多年了，但是在目前的網(wǎng)絡(luò)管理，特別是局域網(wǎng)網(wǎng)絡(luò)管理中最讓人困苦不堪的依然是這種攻擊。這種攻擊要求的技術(shù)門檻比較低，稍微具備一些計(jì)算機(jī)知識(shí)的人都可以輕而易舉通過一個(gè)攻擊軟件來完成一個(gè)ARP欺騙手段。與此同時(shí)，我們還沒有找到什么特別有效的方法來一勞永逸解決這個(gè)問題，我們能做的只是被動(dòng)的來采取一些綜合措施來防范這種攻擊，希望我的這些方法建議對(duì)于防范ARP欺騙攻擊有所幫助。也希望隨著計(jì)算機(jī)技術(shù)的不斷完善，通過變協(xié)議的方式來徹底解決ARP欺騙這一難題。

參考文獻(xiàn)：

[1] 鄭文兵， 李成忠. ARP欺騙原理[J]. 江南大學(xué)學(xué)報(bào)，2003（6）.

[2] 史子新. 校園網(wǎng)ARP攻擊原理與防范[J]. 甘肅科技，2010（3）.

[3] 關(guān)于校園網(wǎng)內(nèi)防范ARP欺騙病毒攻擊的重要通告[J]. 衢州學(xué)院， 2007（5）.

[4] 朱立才.計(jì)算機(jī)網(wǎng)絡(luò)原理實(shí)驗(yàn)教程[M]. 科學(xué)出版社， 2005.