校園網(wǎng)中ARP協(xié)議欺騙及其防范措施研究

摘 要：隨著網(wǎng)絡(luò)的發(fā)展，其面臨的攻擊也越來越多，ARP協(xié)議自身的漏洞使得局域網(wǎng)很容易受到各種ARP欺騙的攻擊，高校網(wǎng)絡(luò)是ARP攻擊的高發(fā)地，通常會(huì)引起網(wǎng)絡(luò)中斷和信息泄漏，危害極大。文章詳細(xì)分析了典型的ARP欺騙的原理，指出了其嚴(yán)重危害性，并提出了針對校園網(wǎng)的有效防范措施。

關(guān)鍵詞：校園網(wǎng)；ARP；協(xié)議欺騙；防范措施

目前各種局域網(wǎng)中的ARP協(xié)議欺騙攻擊屢見不鮮，在高校尤為流行，經(jīng)常會(huì)遇到網(wǎng)絡(luò)無故中斷的情況。ARP欺騙技術(shù)易于操作、隱蔽性強(qiáng)，校園網(wǎng)中一旦有主機(jī)感染，便會(huì)迅速蔓延，導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)故障以及用戶信息泄漏。黑客通過ARP欺騙技術(shù)，可以對網(wǎng)站內(nèi)容進(jìn)行篡改、發(fā)布不良信息、竊取用戶賬號(hào)以及對傳輸數(shù)據(jù)的非法監(jiān)聽。這對校園網(wǎng)的安全帶來了嚴(yán)重的威脅，如何有效防范ARP欺騙的攻擊，已成為高校網(wǎng)絡(luò)管理工作的重中之重。

1 ARP協(xié)議概述

ARP即地址解析協(xié)議，作用是將IP地址解析為設(shè)備的物理地址，每臺(tái)主機(jī)都有一個(gè)ARP緩存表，用來記錄IP地址與MAC地址的對應(yīng)關(guān)系。假設(shè)主機(jī)A要和B通信，它先在本地緩存中查詢B的IP，如果找到對應(yīng)的MAC地址，就直接發(fā)送數(shù)據(jù)給這個(gè)地址；否則會(huì)廣播發(fā)送一個(gè)ARP請求包，其中包含A的IP和MAC以及B的IP，各主機(jī)收到后將請求包中的目的IP同自身IP相比較，不同則忽略，只有B會(huì)發(fā)現(xiàn)請求包中目的IP與自己的相同，它先將A的IP和MAC記錄到自己的ARP列表中，如之前已存在該IP的信息，則進(jìn)行覆蓋，然后向A發(fā)回ARP響應(yīng)包，其中添加了它的MAC，A收到響應(yīng)包后，將B的MAC與B的IP記錄到自己的ARP緩存中，然后就可以發(fā)送數(shù)據(jù)。如果A一直沒收到響應(yīng)包，則說明ARP查詢失敗。

2 ARP欺騙原理及危害

大部分操作系統(tǒng)在接收到ARP響應(yīng)后不做檢查便直接更新其ARP列表，ARP欺騙的原理就是偽造一個(gè)ARP響應(yīng)包發(fā)送給被騙主機(jī)，響應(yīng)包中的源IP和MAC的關(guān)系是偽造的，被騙主機(jī)收到后，更新ARP列表，從而建立IP與MAC之間錯(cuò)誤的對應(yīng)關(guān)系，發(fā)送數(shù)據(jù)到該IP時(shí)，無法到達(dá)正確的主機(jī)。下面是幾種典型的ARP欺騙。

（1）偽造網(wǎng)關(guān)。其原理是在局域網(wǎng)的同一網(wǎng)段內(nèi)建立假網(wǎng)關(guān)，發(fā)送ARP欺騙攻擊給網(wǎng)絡(luò)中的所有主機(jī)，被其欺騙的主機(jī)不能向正確的網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而是將數(shù)據(jù)發(fā)送給了這個(gè)假網(wǎng)關(guān)，因而會(huì)導(dǎo)致主機(jī)與網(wǎng)關(guān)之間無法正常通信，對網(wǎng)絡(luò)用戶來說就是計(jì)算機(jī)無法正常上網(wǎng)。

（2）對路由器的欺騙。其原理是給路由器發(fā)送ARP欺騙攻擊，使路由器獲取到一系列錯(cuò)誤的MAC地址信息，并按照特定的頻率不斷進(jìn)行刷新，因而真實(shí)的MAC地址信息也不能通過更新而存入路由器，這樣，路由器中的所有數(shù)據(jù)都被發(fā)送到了錯(cuò)誤的MAC地址，主機(jī)也就不能正常收到路由器的信息。

（3）ARP雙向欺騙。假設(shè)主機(jī)A和網(wǎng)關(guān)之間能正常通信，主機(jī)B為攻擊者，它首先向A發(fā)一個(gè)非法的ARP應(yīng)答，告訴A網(wǎng)關(guān)IP對應(yīng)的MAC為B的MAC，A收到后會(huì)將本機(jī)ARP緩存中網(wǎng)關(guān)的MAC改為B的MAC。同理，主機(jī)B以同樣的方式欺騙網(wǎng)關(guān)，使網(wǎng)關(guān)中A的MAC更新為B的MAC。這樣，通信雙方的數(shù)據(jù)都會(huì)到達(dá)B，B作為中間人竊取信息并轉(zhuǎn)發(fā)給對方。

ARP欺騙具有嚴(yán)重的危害性。一旦某臺(tái)主機(jī)感染ARP病毒，就會(huì)迅速蔓延至整個(gè)局域網(wǎng)，導(dǎo)致該網(wǎng)絡(luò)中的主機(jī)無法正常通信，如果網(wǎng)關(guān)被欺騙，則所有主機(jī)都會(huì)和外界失去聯(lián)系，通常的攻擊都是頻繁在網(wǎng)絡(luò)中發(fā)送ARP欺騙，會(huì)耗費(fèi)大量的帶寬，即使能通信網(wǎng)速也會(huì)很慢，這些將嚴(yán)重影響到學(xué)校的正常工作。ARP的雙向欺騙雖不影響網(wǎng)絡(luò)正常通信，但其對數(shù)據(jù)信息的竊取，直接威脅到高校網(wǎng)絡(luò)的信息安全。

3 ARP欺騙防范措施

3.1 建立靜態(tài)ARP緩存

在主機(jī)中建立靜態(tài)ARP緩存，主機(jī)向其它計(jì)算機(jī)或網(wǎng)關(guān)發(fā)送數(shù)據(jù)時(shí)，直接從靜態(tài)緩存中查找目的IP對應(yīng)的MAC。當(dāng)收到欺騙的ARP響應(yīng)包時(shí)，設(shè)置好的IP與MAC的對應(yīng)關(guān)系不會(huì)被更新，因而攻擊者無法達(dá)到其欺騙的目的。此方法只能人工設(shè)置，工作量巨大，校園網(wǎng)中設(shè)備數(shù)目較大，不可能一一設(shè)置，因此綜合校園網(wǎng)的情況，可以對其中某些重要的小型子網(wǎng)以及網(wǎng)關(guān)之間采取這種方法，既不用投入過多的網(wǎng)絡(luò)管理成本，又能有效保障網(wǎng)絡(luò)的安全穩(wěn)定。

3.2 綁定主機(jī)MAC地址與交換機(jī)端口

在局域網(wǎng)的交換機(jī)上將各端口與其所連主機(jī)的MAC進(jìn)行綁定，通過這個(gè)端口的數(shù)據(jù)幀的MAC是固定的，如端口發(fā)現(xiàn)數(shù)據(jù)中的MAC與其綁定的MAC不同，則鎖定該端口，與其相連的主機(jī)則無法接入局域網(wǎng)。當(dāng)攻擊者發(fā)送偽造的ARP響應(yīng)時(shí)，會(huì)立即被端口檢測到其MAC值不同并中斷連接。此方法適用于高端交換機(jī)，可有效防止攻擊者接入局域網(wǎng)，但是合法主機(jī)更換端口也必須重新綁定，增加了網(wǎng)管工作量。在校園網(wǎng)中，通常對重要的服務(wù)器和相關(guān)安全設(shè)備所連接的交換機(jī)應(yīng)用此方法。

3.3 安裝ARP防欺騙軟件

目前大部分安全軟件都含有ARP防火墻，如360安全衛(wèi)士、騰訊電腦管家等，可以有效抵御ARP病毒的侵入，啟動(dòng)ARP防火墻后，系統(tǒng)會(huì)將網(wǎng)關(guān)與本機(jī)的IP與MAC地址進(jìn)行綁定，當(dāng)其遭受ARP欺騙攻擊時(shí)會(huì)進(jìn)行警告。ARP防欺騙軟件可以有效攔截ARP攻擊，但需要不斷地在網(wǎng)絡(luò)中廣播正確的IP和MAC地址信息，會(huì)占用一定的網(wǎng)絡(luò)負(fù)載。同時(shí)ARP防欺騙軟件也可阻止攻擊者修改主機(jī)ARP緩存，能有效保障主機(jī)在局域網(wǎng)中的正常通信。

參考文獻(xiàn)

[1]李愛貞.高校防范ARP病毒攻擊的策略和方法[J].計(jì)算機(jī)安全，2010（12）.

[2]向磊，賀琦.淺析校園網(wǎng)ARP病毒的防范[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011（2）.

[3]王和平.校園網(wǎng)環(huán)境中ARP的欺騙原理與防范方法[J].軟件工程師，2010（12）.

[4]戴桂欽.校園網(wǎng)ARP欺騙攻擊及其對策思考[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2010（10）.

[5]姜曉峰.ARP協(xié)議簡析與ARP欺騙攻擊防范[J].電腦知識(shí)與技術(shù)，2008，4（33）.

作者簡介：柳華，男，碩士，助理工程師，研究方向?yàn)榫W(wǎng)絡(luò)技術(shù)與信息化。