馬浩文

（中國人民解放軍91439部隊，遼寧 大連 116041）

淺議計算機網(wǎng)絡(luò)安全中的ARP攻擊

馬浩文

（中國人民解放軍91439部隊，遼寧 大連 116041）

本文針對ARP攻擊的原理和特征、ARP攻擊對網(wǎng)絡(luò)安全產(chǎn)生的危害以及基于ARP攻擊的計算機網(wǎng)絡(luò)安全防護策略三個方面的內(nèi)容進行了詳細的分析和探析，從而詳細的論述了如何有效的預(yù)防ARP攻擊。

ARP攻擊；原理和特征；防護策略

1　ARP攻擊的原理和特征

1.1ARP攻擊的原理。所謂的ARP攻擊實際上就是指地址解析協(xié)議，其原理為通過用戶的網(wǎng)絡(luò)IP來獲取其物理地址，那么主機就會在網(wǎng)絡(luò)主機中廣播所有包含ARP的請求，在得到相應(yīng)的回答后便獲得了用戶的物理地址。而為了方便下一次查詢，地址消息以及返回的消息還會緩存一段時間，在網(wǎng)絡(luò)上，包含ARP的消息是可以對任何主機發(fā)送的，而主機通常都是在不監(jiān)測ARP消息的情況下就將其保存到了緩沖區(qū)中，實際上ARP欺騙攻擊就是有效的利用了這一漏洞。ARP攻擊的具體過程為黑客會先將偽ARP報文發(fā)送給一個主機，作為一個主機向另一個主機發(fā)送通信請求，之后再偽裝成另一個主機回答發(fā)送請求的主機，此時黑客的主機是可以獲取到這兩個主機之間的通信數(shù)據(jù)的，而這樣就形成了ARP欺騙攻擊，黑客可以將偽ARP報文發(fā)送給局域網(wǎng)內(nèi)的每一個主機，從而監(jiān)聽整個局域網(wǎng)內(nèi)所以主機的操作并獲取到相應(yīng)的數(shù)據(jù)信息。

1.2ARP攻擊的特征。在ARP對用戶計算機網(wǎng)絡(luò)進行攻擊的過程中，其通常都是欺騙數(shù)據(jù)報文來完成的，因此，其是具有極強的隱蔽性的，在其接收到所有主機所發(fā)送過來的ARP報文后，主機ARP緩沖區(qū)往往都是不會去主動判斷的，那么在同一個局域網(wǎng)內(nèi)的IP也不會出現(xiàn)沖突的問題，其是不易被發(fā)現(xiàn)的，可見，對于這類攻擊的網(wǎng)絡(luò)安全管理工作是有著很大的難度的。在ARP欺騙攻擊的進程中，其每一次攻擊都會更改相應(yīng)的物理地址，并偽裝成相應(yīng)的主機發(fā)送數(shù)據(jù)，那么線路中的數(shù)據(jù)就會大幅度的增加，網(wǎng)絡(luò)就易出現(xiàn)擁擠堵塞甚至是整體癱瘓的問題，這樣勢必也會降低各個主機之間的通信質(zhì)量。

2　ARP攻擊對網(wǎng)絡(luò)安全產(chǎn)生的危害

當ARP網(wǎng)絡(luò)攻擊用戶計算機網(wǎng)絡(luò)時，其會產(chǎn)生嚴重的危害，具體如下：（1）不同的主機之間會出現(xiàn)連接障礙的問題，實際上ARP欺騙攻擊的過程就是黑客獲取用戶數(shù)據(jù)信息的過程，并且在某種的特定頻率下，其還不會通知路由器錯誤的物理地址，主機要想進入到ARP的緩存表中，其就必須知道真實的物理地址，那么路由器就只能將數(shù)據(jù)發(fā)送給偽裝的主機地址，網(wǎng)絡(luò)傳輸?shù)乃俣染蜁兊迷絹碓铰?，同時，ARP攻擊還能夠建立偽網(wǎng)關(guān)，數(shù)據(jù)可以直接將數(shù)據(jù)包發(fā)送給偽網(wǎng)關(guān)，并不需要通過路由器，主機就會出現(xiàn)掉線的問題；（2）主機內(nèi)存中存儲的重要數(shù)據(jù)信息會被泄露。偽裝的主機會先接收到數(shù)據(jù)信息，那么就會導(dǎo)致數(shù)據(jù)泄漏的問題，通常情況下，大部分黑客在獲取非法財產(chǎn)時采用的都是這一方法，現(xiàn)實中由于用戶登陸到了釣魚網(wǎng)站上，那么其支付寶或是銀行卡密碼就會被泄露，其就會損失大量的錢財，這類案件的頻發(fā)還會影響用戶對網(wǎng)絡(luò)購物的信心。

3　基于ARP攻擊的計算機網(wǎng)絡(luò)安全防護策略

當用戶收到了ARP欺騙攻擊后，那么其就會出現(xiàn)登陸不上或是反復(fù)掉線的情況，此時用戶應(yīng)打開DOS系統(tǒng)，并且輸入arp-d，那么就會重新連接網(wǎng)絡(luò)，如果此時能夠連上網(wǎng)絡(luò)了，那么就確認了用戶的計算機是受到了ARP的欺騙攻擊，為了有效的預(yù)防ARP攻擊并消除此類危害，建議采用以下的安全防護策略：

3.1雙向綁定策略。由于ARP攻擊的原理就是利用偽裝的MAC地址，那么為有效避免此類攻擊的發(fā)生，我們便可以實行雙向綁定策略，即強行的將用戶的IP地址和物理地址一一的映射出來，并且不再更新ARP緩存表，那么偽裝的主機就無法將偽ARP報文發(fā)送出去，其也就沒有機會得到用戶的物理地址。在規(guī)模較小的局域網(wǎng)的ARP攻擊防護工作中經(jīng)常都是采用這種策略的，而規(guī)模較大時是不建議采用的，因為一一綁定會耗費很大的人力。

3.2采用靜態(tài)的ARP緩存。為了有效的解決黑客發(fā)送虛假ARP報文的問題，在這里我們建議采用靜態(tài)的ARP緩存，這主要是由于如果采用的是動態(tài)的ARP緩存，那么黑客所發(fā)送的偽MAC地址就會將主機的MAC地址替換掉，而如果采用的是靜態(tài)的ARP緩存，MAC地址和IP地址是都不會發(fā)生更改的。當偽ARP報文無法更改物理地址時，主機通常情況下都是可以自主維護ARP緩存表的，并且還能夠自動的更新這一映射表，采用靜態(tài)的ARP緩存進行靜態(tài)綁定時，ARP報文以及相應(yīng)的應(yīng)答消息就都不會影響主機網(wǎng)卡，這就大大的降低了主機收到ARP欺騙攻擊的概率。

3.3應(yīng)用ARP防護軟件。在我國計算機行業(yè)中對基于ARP攻擊的計算機網(wǎng)絡(luò)安全防護工作中，安裝ARP防護軟件也是一個普遍采用的防護策略，其中最常用的兩個應(yīng)用軟件為Antiarp和欣向ARP工具，其中欣向ARP工具的應(yīng)用十分廣泛，其能定期的檢查計算機網(wǎng)絡(luò)中是否存在著偽裝的IP，當檢測工作開始后，其能夠迅速的查到網(wǎng)絡(luò)ARP的欺騙根源，能夠避免計算機病毒的入侵，還能夠有效防止系統(tǒng)數(shù)據(jù)信息的丟失。網(wǎng)絡(luò)管理人員應(yīng)定期進行數(shù)據(jù)的備份和恢復(fù)工作，即使計算機網(wǎng)絡(luò)受到了ARP攻擊出現(xiàn)了癱瘓的問題時，其也能夠?qū)浞莸臄?shù)據(jù)迅速恢復(fù)，這就最大限度的保護單位企業(yè)的經(jīng)濟損失。

3.4有效的限制ARP廣播報文發(fā)送頻率。通常情況下，如果ARP廣播報文是出于正常的運行狀態(tài)的，那么其發(fā)送的頻率都是具有一定的統(tǒng)計特征的，而采用這一防護ARP攻擊的安全策略正是利用了這一特征，應(yīng)先將ARP報文的發(fā)送次數(shù)設(shè)置好，在運行過程中如果發(fā)送的實際次數(shù)多于了所設(shè)置的次數(shù)，那么主機就會自主的斷掉與網(wǎng)絡(luò)的連接，ARP泛洪攻擊的問題就被有效的解決了。采用這一策略時要求了相應(yīng)的操作人員應(yīng)具備一定的實踐經(jīng)驗，同時還必須不斷的調(diào)試限定的次數(shù)，這樣才能取得理想的保護效果。

結(jié)語

通過以上的論述，計算機網(wǎng)絡(luò)技術(shù)對人民群眾的日常工作和生活已經(jīng)產(chǎn)生了重要的影響，同時也帶來了巨大的社會變革，而網(wǎng)絡(luò)安全問題則加大了人們使用互聯(lián)網(wǎng)的疑慮，其對于社會的發(fā)展和進步也有著很大的限制作用。因此，我們應(yīng)充分的認識到ARP攻擊的原理、特征和危害，從而制定出有針對性的基于ARP攻擊的計算機網(wǎng)絡(luò)安全防護策略，最大限度的保證用戶的使用安全。

［1］李文博.基于計算機網(wǎng)絡(luò)安全的防ARP攻擊的研究［J］.信息與電腦，2014.

TP393

A