【摘要】本文探討ARP協(xié)議的體系架構，了解ARP欺騙攻擊的知識基礎及技能手段，利用IP地址和MAC地址綁定、VLAN隔離、端口保護功能等技術，研究出一種具有實用性、準確性高、安全系數(shù)強的防范體系。

【關鍵詞】欺騙攻擊；防范策略；ARP

一、前言

在當今這個網(wǎng)絡迅速發(fā)展的信息化時代，隨著網(wǎng)絡應用不斷普及深入，局域網(wǎng)中的安全隱患逐漸影響網(wǎng)絡數(shù)據(jù)通信的安全。

ARP欺騙攻擊可以分為刻意的特定目標攻擊和因為中毒無意的攻擊，其攻擊方式復雜多樣，沖擊力度大大增強。ARP欺騙攻擊具有更強的隱蔽性和攻擊力，在極短的時間內就能夠造成局域網(wǎng)內成百上千臺機器斷網(wǎng)，在達到攻擊目的之后，攻擊會立即停止，并將ARP信息更新，如果沒有日志記錄，這些攻擊痕跡是很難發(fā)現(xiàn)的。目前，雖然提出了多種防范措施，但仍不盡人意。到現(xiàn)在為止，沒有單純的一種防范方案能夠完美解決ARP欺騙攻擊。

如何防范ARP欺騙攻擊，減少它帶給的損害，現(xiàn)已讓網(wǎng)絡方面的專家和管理者非常重視。本論文就是通過各種手段對ARP欺騙攻擊進行防范，保證局域網(wǎng)安全。

二、研究現(xiàn)狀和發(fā)展趨勢

（一）ARP防范手段的研究現(xiàn)狀

（1）定期檢查主機的ARP緩存，并不斷刪除ARP緩存內容。通過一個簡單的程序，以一個固定的頻率（頻率設定要大ARP欺騙的頻率）不斷使用ARP！D命令刪除ARP緩存記錄，這樣才能保證主機緩存不保留偽造的IP地址和MAC地址映射信息，達到抑制ARP欺騙的目的。但是這種方法會導致網(wǎng)絡中出現(xiàn)過多的ARP請求廣播。（2）刪除Windows系統(tǒng)中的npptools.dll動態(tài)連接庫。由于它易于被ARP病毒利用來制造ARP欺騙攻擊，因此可以將它用零字節(jié)的文件替換，并保存為只讀文件，防止病毒覆蓋源文件。此外，還有一些防范手段，也能在一定程度上防范ARP欺騙攻擊，比如：在網(wǎng)絡中使用防火墻進行監(jiān)控；使用網(wǎng)關監(jiān)聽網(wǎng)絡安全；定期用響應的IP包獲得一個RARP請求來檢查ARP響應的真實性等。

（二）ARP防范手段的發(fā)展趨勢

現(xiàn)有的ARP欺騙攻擊防范手段基本上都存在固有的缺陷，有的防范手段操作起來比較繁瑣，對小規(guī)模的網(wǎng)絡效果較好，但不能用于規(guī)模大而復雜的網(wǎng)絡，有時候還會受到系統(tǒng)版本的限制；有的防范手段會消耗很大的網(wǎng)絡資源，對于硬件要求較高，且成本大，效率低。所以設計一種簡捷、實時、高效、準確的防范手段模型是目前防范ARP欺騙攻擊的重中之重。

三、ARP欺騙攻擊防范手段模型的設計

（一）防范手段的設計思想

通過測試證明，Windows系統(tǒng)在ARP協(xié)議執(zhí)行和實現(xiàn)過程中存在著諸多安全隱患，這些安全隱患很可能是ARP欺騙攻擊實施的切入點。當前情況下，網(wǎng)絡中存在很多檢測和防范ARP欺騙攻擊的手段，本論文選擇部分效果較好的防范方法，對其優(yōu)勢、缺陷進行研究。從安全、有效的角度出發(fā)，建立一個多層防范方法對ARP欺騙攻擊進行防范。

（二）ARP欺騙攻擊的多層防范方法

（1）對于各節(jié)點上的網(wǎng)絡設備，在交換機設備上進行以下配置：綁定IP地址和MAC地址、通過DAI可以控制某個端口的ARP請求報文數(shù)量、劃分VLAN、端口保護功能、限制端口連接數(shù)等。（2）考慮到局域網(wǎng)中涉及到的終端設備的數(shù)量過于龐大，并且這些設備流動性較大，設備更替頻繁，許多還采用動態(tài)IP分配DHCP，用戶可以在自己電腦上安裝ARP防護軟件和設置靜態(tài)的ARP緩存表。

四、效果對比

設定在5分鐘時間內，通過Wireshark抓取ARP請求。防范效果對比如下。

五、總結

本論文對ARP協(xié)議的工作原理、ARP協(xié)議中一直存在的缺點深入了解，并對ARP欺騙攻擊原理進行研究分析，總結出了一種多層防范策略。并通過單一手段防范和多層防范方法進行比較，發(fā)現(xiàn)多層防范方法更加出眾。

參考文獻

[1]任俠，呂述望.ARP欺騙原理分析與抵御方法[J].計算機工程，2015（09）：127～128.

[2]喬保靜.淺談計算機網(wǎng)絡安全問題及應用策略[J].科技創(chuàng)新與應用，2016（02）：54～58.

作者簡介：孫慶波（1983—），男，碩士研究生，講師，研究方向：網(wǎng)絡技術。