秦小平　張向磊

【摘 要】當網(wǎng)絡給人們帶來巨大便利的同時，也存在著越來越多的安全隱患問題。本文從介紹ARP的數(shù)據(jù)包結構，ARP的工作原理，ARP的攻擊原理以及它的幾種攻擊類型，從而做出ARP的防護措施，從個人PC的病毒清理到整個網(wǎng)絡的安全策略設計，以及平常運行過程中的網(wǎng)絡維護。

【關鍵詞】ARP；ARP攻擊；防護

中圖分類號： TP393.08 文獻標識碼： A 文章編號： 2095-2457（2018）25-0290-003

DOI：10.19694/j.cnki.issn2095-2457.2018.25.133

【Abstract】While the Internet brings great convenience to people， there are more and more safety problems.This paper introduces the packet structure of ARP，the working principle of ARP，the attack principle of ARP and several attack types of ARP，so as to make ARP protection measures，involving virus cleanup of PC to security policy design of entire network，and network maintenance during normal operation.

【Key words】ARP；ARP Attack；Protection

ARP協(xié)議是常用的TCP/IP底層協(xié)議。在以太網(wǎng)中進行IP通信的時候需要一個協(xié)議來建立IP地址與MAC地址的對應關系，以使IP數(shù)據(jù)包能發(fā)到一個確定的地方去。這就是ARP（Address Resolution Protocol，地址解析協(xié)議）。在所有的網(wǎng)絡安全威脅中，對局域網(wǎng)最常見的攻擊手段就是ARP攻擊。攻擊者往往利用ARP協(xié)議本身存在的缺陷，用一些專門的工具進行網(wǎng)絡的攻擊。這種攻擊會造成局域網(wǎng)中用戶信息數(shù)據(jù)的丟失，應該采取相應的安全措施來解決這些問題。

1 ARP攻擊的原理及常見類型

ARP攻擊主要是通過偽造IP地址和MAC地址進行欺騙，使以太網(wǎng)數(shù)據(jù)包的源地址、目標地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配，從而在網(wǎng)絡中產生大量的ARP通信量導致網(wǎng)絡中斷或中間人攻擊。ARP攻擊主要存在于局域網(wǎng)中，若其中一臺計算機感染ARP病毒，就會試圖通過ARP欺騙截獲局域網(wǎng)內其他計算機的信息，造成局域網(wǎng)內的計算機通信故障。

現(xiàn)在局域網(wǎng)中比較常見的ARP攻擊包括：上網(wǎng)時斷時續(xù)，拷貝文件無法完成，局域網(wǎng)內的ARP包激增，出現(xiàn)不正常的MAC地址，MAC地址對應多個IP地址，網(wǎng)絡數(shù)據(jù)發(fā)不出去了，網(wǎng)上發(fā)送信息被竊取，個人PC中毒，局域網(wǎng)內MAC地址泛洪使MAC地址緩存表溢出等問題。

2 局域網(wǎng)中ARP的攻擊類型

2.1 ARP泛洪攻擊

通過向網(wǎng)關發(fā)送大量ARP報文，導致網(wǎng)關無法正常響應。如圖2-1所示：主機（IP192.168.20.1）首先發(fā)送大量的ARP請求報文，然后又發(fā)送大量虛假的ARP響應報文，從而造成網(wǎng)關部分的CPU利用率上升難以響應正常服務請求，而且網(wǎng)關還會被錯誤的ARP表充滿導致無法更新維護正常ARP表，消耗網(wǎng)絡帶寬資源。

圖2-1 ARP泛洪攻擊

2.2 ARP欺騙主機的攻擊

ARP欺騙主機的攻擊也是ARP眾多攻擊類型中很常見的一種。攻擊者通過ARP欺騙使得局域網(wǎng)內被攻擊主機發(fā)送給網(wǎng)關的流量信息實際上都發(fā)送給攻擊者。主機刷新自己的ARP使得在自己的ARP緩存表中對應的MAC為攻擊者的MAC，這樣一來其他用戶要通過網(wǎng)關發(fā)送出去的數(shù)據(jù)流就會發(fā)往主機這里，這樣就會造成用戶的數(shù)據(jù)外泄。

2.3 欺騙網(wǎng)關的攻擊

欺騙網(wǎng)關就是把別的主機發(fā)送給網(wǎng)關的數(shù)據(jù)通過欺騙網(wǎng)關的形式使得這些數(shù)據(jù)通過網(wǎng)關發(fā)送給攻擊者。這種攻擊目標選擇的不是個人主機而是局域網(wǎng)的網(wǎng)關，這樣就會攻擊者源源不斷的獲取局域網(wǎng)內其他用戶的數(shù)據(jù)，造成數(shù)據(jù)的泄露，同時用戶電腦中病毒的概率也會提升。

2.4 中間人攻擊

中間人攻擊是同時欺騙局域網(wǎng)內的主機和網(wǎng)關，局域網(wǎng)中用戶的數(shù)據(jù)和網(wǎng)關的數(shù)據(jù)會發(fā)給同一個攻擊者，這樣，用戶與網(wǎng)關的數(shù)據(jù)就會泄露。如圖2-3所示：攻擊者通過發(fā)送ARP攻擊使得本來192.168.20.2要發(fā)送給網(wǎng)關192.168.20.3的數(shù)據(jù)發(fā)送給了MACA，然而在對于網(wǎng)關方面攻擊者通過發(fā)送回應數(shù)據(jù)使得網(wǎng)關發(fā)給主機192.168.20.2的數(shù)據(jù)對應的MAC為MACA，數(shù)據(jù)又會返回192.168.20.1的主機上面所以這樣192.168.20.2與網(wǎng)關192.168.20.3的通訊則都是通過192.168.20.1這樣則為發(fā)起中間人的攻擊。

圖2-2 ARP中間人攻擊

2.5 IP地址沖突攻擊

通過對局域網(wǎng)中的物理主機進行掃描，掃描出局域網(wǎng)中的物理主機的MAC地址，然后根據(jù)物理主機的MAC進行攻擊，導致局域網(wǎng)內的主機產生IP地址沖突，影響用戶的網(wǎng)絡正常使用。

3 局域網(wǎng)中ARP的防護策略

3.1 用戶機綁定安全設置

要保證用戶機的安全，使主機IP與MAC綁定。常用方法是在運行窗口中輸入CMD，在彈出窗口中輸入ipconfig /all，找到IPv4地址和物理地址，輸入arp -s IP地址，再輸入arp -s MAC地址，實現(xiàn)主機IP與物理地址的綁定。

3.2 用戶機病毒的清除

在局域網(wǎng)絡中ARP的攻擊很多是由于用戶機出現(xiàn)了病毒從而不斷的發(fā)出ARP的欺騙攻擊，導致整個局域網(wǎng)及所有用戶出現(xiàn)問題。Autorun是網(wǎng)絡中常見的病毒，通常會通過U盤傳播，感染相應的用戶機，可以使用固定程序來實現(xiàn)對這種病毒的清除。

3.3 主機日常清理策略

我們平時在使用計算機時，會產生很多的系統(tǒng)垃圾。這些垃圾不僅會影響電腦的運行速度，還會造成很多的電腦漏洞，如果不注意清理，就會為ARP的攻擊與ARP病毒的入侵創(chuàng)造了條件，更容易使我們的電腦或局域網(wǎng)絡中的服務器受到攻擊，給用戶帶來很多的問題。

3.4 端口綁定策略

通常情況下，ARP的攻擊往往是產生于局域網(wǎng)內，所以要做ARP的防護首先要從接入層交換機來進行。端口綁定技術就是通過IP+MAC+端口的策略來進行端口安全的設定。局域網(wǎng)內的ARP攻擊，通過綁定可以實現(xiàn)設備對轉發(fā)報文的過濾與控制，從而提高局域網(wǎng)絡的安全性。目前，各個廠商都有自己的端口綁定技術，比如CISCO推出的端口安全技術就是通過限制接入交換機綁定的MAC的數(shù)量，讓交換機自動獲取或手動配置這些地址，配置了該特性之后，接口會把自動學習到的地址轉換為粘性安全地址。

3.5 端口隔離策略

采用端口隔離的技術也是對ARP攻擊進行防護的一種有效方法。通過端口的隔離，一旦局域網(wǎng)內的用戶感染病毒或受到ARP病毒攻擊，只會影響一個端口，并不會影響其他用戶。端口隔離的方法也有很多，不同的廠商才用的方法也不一樣。常見的是CISCO采用基于端口VLAN的劃分，通過將不同的端口加入不同的VLAN中，從而實現(xiàn)端口的隔離。另外，華三、華為的方法通過劃分端口的策略來進行端口的隔離。

3.6 DAI防止ARP攻擊策略

DAI（動態(tài)ARP檢測）是指從可信端口收到的ARP數(shù)據(jù)包，不用進行任何檢查，直接進行轉發(fā)；不可信端口上的所有ARP數(shù)據(jù)包在其更新本地ARP緩存之前，先根據(jù)IP與MAC地址綁定數(shù)據(jù)庫來檢測每個ARP數(shù)據(jù)包的合法性，丟棄并記錄與綁定數(shù)據(jù)庫信息不符的非法ARP數(shù)據(jù)包。也可以限制ARP數(shù)據(jù)包的發(fā)送速率，并且當速率過高時，把接口轉變?yōu)閑rr-disable狀態(tài)。

以上是我們在局域網(wǎng)絡中常見的ARP攻擊類型，并針對這些類型的攻擊制定了安全策略。但在現(xiàn)實生活中，ARP的攻擊往往是錯綜復雜的，我們介紹的這些安全策略并不能完全解決局域網(wǎng)內所有的ARP攻擊，還需要根據(jù)實際情況去做具體的完善。

【參考文獻】

[1]項寧.管群ARP漏洞及其ARP攻擊防范[J].軟件導刊，2009（11）.

[2]高喜龍.網(wǎng)絡安全與局域網(wǎng)ARP地址欺騙攻擊[J].商情，2009（10）.

[3]孟曉明.基于ARP的網(wǎng)絡欺騙的檢測與防范[J].信息技術，2005（05）.