ARP攻击与局域网安全

王松滨

摘 要

伴随着网络规模的快速扩大，网络应用越来越丰富。网络安全也成為了影响网络效能的重要因素。本文针对ARP攻击进行了详细分析，并就防范ARP攻击进行了一定程度的探讨。

【关键词】ARP 网络安全 黑客 防火墙

网络技术的迅猛发展，既给我们提供了方便也带来了安全威胁。局域网（LAN）是指在一定区域内由多台计算机组成的网络互联工作组。在局域网内，交换机和服务器把所有的计算机连接起来，局域网互联优点是快速、便捷，缺点是技术单调、安全策略少，对病毒传播没有有效的防治方法，缺少应对数据信息的破坏的安全策略。

1 ARP协议

1.1 ARP协议概述

ARP协议是Address Resolution Protocol地址解析协议的缩写，数据在局域网中以帧的方式进行传输，根据帧中目标主机的MAC地址来进行寻址。

1.2 ARP协议的工作原理

1.2.1 将本地网络的主机IP地址解析为MAC地址

ARP解析过程分4步：

（1）初始化ARP请求。通过在ARP缓存中查找，源主机获取目标主机的MAC地址。

（2）若找不到映射，ARP就建立一个请求，请求中包含源主机IP地址和MAC地址，此请求在本网段进行广播，所有本地主机均能接收到并进行处理。

（3）本网段主机都收到广播并寻找相符的IP地址。

（4）当目标主机确定自己的IP地址与请求中的IP地址一致时，发送ARP应答包（其中包含自己的MAC地址）给源主机。同时以源主机的IP地址和MAC地址更新自己的ARP缓存表。源主机收到应答后也会将目标主机的IP与MAC地址写入自己的缓存表，相互建立通讯关系。

1.2.2 将远程网络的主机IP地址解析为MAC地址

当主机处于不同网络中，相互通讯时，因目标主机是一个远程IP地址，ARP将广播一个路由器（源主机的缺省网关）的地址。ARP解析过程分3步：

（1）通信请求初始化，确定目标主机为远程IP地址。源主机查找本地路由表，如果没有找到，源主机就把它当作缺省网关处理。在ARP缓存中查找符合该网关记录的IP的MAC地址。

（2）若此网关的记录不存在，ARP将广播一个请求，此请求包含网关地址而非目标主机的地址。

（3）如果网关的MAC地址不在ARP缓存表中，可进行广播获取。当它获得MAC地址，ICMP响应就发送到路由器上，传给源主机。

2 ARP攻击的威胁

2.1 ARP的攻击原理

ARP攻击是通过伪造IP地址和物理地址实现ARP欺骗的，在网络中产生大量的ARP数据包使网络阻塞，攻击者持续不断的发出伪造的ARP响应包，更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

感染了ARP木马的计算机，会通过“ARP欺骗”等手段获取其所处网络内另外计算机的通信信息，还会引起网内其它计算机的通信故障。

2.2 ARP攻击局域网

互联网在诞生之初主要供科研、学术交流之用，使用地点多是大学内部，采用信任模式，功能强大、速度快捷是其追求目标，安全没有成为考虑的重点。当时方便查询的以太网泛洪，使得不怀好意者有了可乘之机，局域网内的ARP Request使其轻易获取到网内所有 （IP，MAC）地址。而节点对于收到的ARP Reply也不会质疑，冒充变得轻而易举。

ARP欺骗的主要表现是：上网时会突然掉线，不久又恢复正常。异常现象诸如浏览器报错、频频掉线、客户端状态出问题等。

通常情况下，计算机受到ARP攻击可能出现两种情形：

（1）出现网络地址冲突对话框，并不断重复。

（2）计算机掉线，无法上网。

对于这种ARP攻击，防火墙通常不会拦截。因为报文本身并没有违反协议规定，只不过是利用了协议的弱点，所以一般的防火墙难以抵挡此类攻击。

2.3 ARP攻击解决方案

（1）删除插入ARP或者IP route表（路由表）中错误记录的方法。

a. 使用命令进行攻击，促使网络中断

b. 自动过期，由系统删除

（2）可以采用建立静态ARP表的方法，但是对于动态ARP协议有所影响。

（3）使用ipconfig interface–arp命令，此方法使得发送和接受ARP数据包都不能进行。但是如果计算机地址不在静态的缓存表中，通信将无法进行。

3 ARP防火墙

3.1 ARP防火墙的概念

ARP防火墙的重要功能是主动告知网关本机正确的物理地址并且拦截虚假ARP数据包。其功能包括：阻断IP冲突、ARP攻击、Dos攻击，并且能够进行ARP数据分析。

首先，ARP防火墙通过拦截虚假ARP数据包的方式，使得本主机获取正确的网关MAC地址。其次，ARP防火墙采取主动防御，与网关保持联系，使网关得到的本机正确的物理地址。

3.2 ARP的防火墙的的主要作用

（1）首先，ARP防火墙能够对外部虚假ARP数据包进行截获，使系统避免受到ARP欺骗、ARP攻击，保证内网安全；其次，如果本机感染了恶意程序，防火墙可以截获对外发出的ARP攻击数据包，减轻给其它用户带来的危害；

（2）拦截IP冲突。对于IP冲突包进行有效拦截，保障系统正常运行；

（3）Dos攻击抑制。对于本机的对外攻击进行有效拦截，阻止TCP SYN/UDP/ICMP/ARP DoS等攻击数据包，保障网络的通畅；

（4）安全模式。只响应网关发送的ARP Request数据包，隐藏自己，尽量避免受到ARP攻击；

（5）ARP数据分析。对接收到的所有ARP数据包进行有效分析，挖出可能存在的攻击者或中毒的设备；

（6）监测ARP缓存。对本电脑的缓存表进行监视，当网关的物理地址被恶意程序修改时可发出警报并进行修复；

（7）主动防御。告知网关本机的MAC地址，与网关时刻保持通讯；

（8）追踪攻击者。

（9）查杀ARP病毒。

ARP防火墙可以在一定程度上解决局域网内的ARP攻击和欺骗问题。随着网络技术的发展，也许还会出现其它的安全问题，但也一定会有更多针对它的解决办法。

参考文献

[1]单国杰.基于ARP欺骗攻击的防御策略研究[D].济南：山东师范大学，2011.

[2]史隽彬，秦科.ARP攻击现状分析及一种应对ARP攻击的方法[J].陕西理工学院学报（自然科学版），2013（02）：45-49.

作者单位

湖南司法警官职业学院管理系 湖南省长沙市 410008