局域网中ARP病毒定位和防御措施研究

◆王晓妮 韩建刚

局域网中ARP病毒定位和防御措施研究

◆王晓妮1韩建刚2

(1.咸阳师范学院信息中心 陕西 712000 ; 2.西北机电工程研究所电调室 陕西 712000)

为了防御严重威胁局域网安全ARP病毒，本文分析了ARP协议及其工作原理，ARP协议存在的漏洞及由此造成的危害，提出了两种快速定位ARP病毒源的办法和结合五种有效解决ARP病毒欺骗的防御措施，能够很好地保证局域网的安全。

ARP病毒；ARP协议；漏洞；防御措施

0 引言

随着通信技术的迅速发展和计算机网络的普及，网络安全问题不容忽视。特别是ARP病毒在局域网中广泛传播，导致局域网中的用户主机成为ARP病毒源。病毒主机时常会经伪装成路由器，有时也会潜伏在应用软件中，便于非法盗取用户网银、QQ等密码和隐私信息，破坏局域网的正常运行。ARP病毒的主要目的就是窃取用户上网的主机信息，病毒发作时会是局域网时断时续，更为严重的是甚至整个网络瘫痪，严重影响用户正常上网。要想彻底查杀ARP病毒，必须要找到病毒源即中毒主机，但是由于ARP病毒主机善于伪装，这就为定位ARP病毒源造成了一定的难度。

1 ARP的相关知识

1.1 ARP 协议的概念

ARP协议(Address Resolution Protocol)，它是一个地址解析协议，它可以将计算机的32位的IP地址转化成48位的MAC地址，利用ARP协议可以通过目的主机的网络地址，查询到其物理地址，从而确保网络通信畅通无阻。由于局域网中的所有主机间相互通信时不能识别各自的IP地址，MAC地址是主机在网络中的唯一标识，所以必须把IP地址转化成对应的MAC地址才能完成通信。这个地址转化工作必须有ARP协议去完成，其映射方式分为表格或非表格方式两种。

1.2 ARP协议的工作原理

现以局域网中两台主机X（IP：218.195.80.2；MAC：26-35-24-fd-54）和Y（IP：218.195.80.3；MAC：23-44-21-fe-db）之间的通信为例来说明ARP的工作原理，如图1所示。当主机X与Y准备通信时，源主机X先要在其高速缓存中查找目标主机Y的IP地址对应MAC地址是否存在？如果存在直接将MAC地址写入MAC帧中，向Y发送数据完成通信。否则在局域网中向所有主机发送广播ARP请求数据包，询问“IP为218.195.80.3的MAC地址为多少？”正常情况下其余主机收到请求数据包后均不对此做相应，直接忽略。只有主机Y对此做出相应，发送ARP响应报文“我是IP为218.195.80.3主机，我的MAC地23-44-21-fe-db”。X收到响应数据包后更新自己的ARP缓存表并开始通信。

1.3 ARP协议的漏洞及危害

ARP协议是以局域网内各节点绝对可信为基础和前提设计的，是一个无状态的数据链路层高效协议，几乎不会自动检查自己是否发送过ARP数据包，也不知晓收到的ARP响应包的合法性，只要收到响应包便会更新缓存，这便是ARP协议存在的漏洞。该安全漏洞具有动态性、无序性、广播性、无认证和无连接性，ARP病毒正是利用这些漏洞来攻击局域网的，而且这种病毒具有隐蔽性、合法性和欺骗性。局域网中一旦感染了ARP病毒，便会出现网络的稳定性很差、网速很慢，不断提示网络地址冲突，该网段内的所有主机都不能正常上网，严重时整个网络会陷入瘫痪，但重启设备后显示网络正常。黑客正是利用ARP协议设计漏洞来进行网络攻击，盗取上网用户的私密信息，获取非法利益。

图1 ARP协议的工作原理

2 ARP欺骗病毒源的定位

2.1主动定位

因为中了ARP病毒的设备其网卡常常会显示为混杂模式，我们可以利用ARP专杀工具在校园网中不断进行扫描，一旦发现网卡有处于混杂模式的设备，那就可能就是中了ARP病毒的攻击。如果交换机的指示灯出现大面积相同频率的闪烁，则表明局域网的这某一个网段中至少有一台主机感染了ARP病毒。

2.2被动定位

当校园网出现时慢时快、极其不稳定的时候，可以通过这四种方式来定位：

（1）arp-a命令。在不能上网的两台主机的DOS 命令窗口中执行arp-a命令后，发现运行结果中除了它们对应的网关IP和MAC地址外，还存在某个IP，便可断定它对应的MAC地址就是病毒源的了。

（2）tracert命令。在怀疑中ARP病毒主机的DOS命令窗口里输入：tracert61.135.179.148，正常情况下网内的主机仅和网关通信，故ARP cache中只存在网关的物理地址，而如果存在某主机MAC，说明该主机与某主机间存在过通信活动。若某主机既非服务器又非网关，但它在ARP病毒发作期却和校园网中的其它主机进行通信，足以说明它正是ARP病毒的元凶。

（3）Sniffer抓包。把Sniffer抓包工具部署在校园网中，主机通过执行该抓包软件便可捕获到达主机的一切数据包，如果有连续发送ARP请求包的IP，便可定位其对应的物理地址即为ARP病毒源了。

（4）检查三层交换机的动态ARP表里的详细内容，便能找到和确定ARP病毒源攻击的物理地址。

3 ARP病毒的防御措施

通过对ARP病毒的研究，发现仅靠某种单一的防御措施是根本无法彻底解决，为了更好地防御ARP病毒，可以采取以下这些的具体的防范措施。

3.1增强用户的防范意识，养成良好的上网习惯

做好日常的宣传和培训工作，让用户养成定时更换杀毒软件，及时查杀病毒、升级病毒库和电脑操作系统补丁等好习惯。轻易不要打开不明链接、电子邮件、禁止浏览不文明的网站或色情图片，禁止接收和运行可疑程序或文件，避免下载存在安全隐患软件或网络资源。

3.2安装ARP专杀工具

针对ARP病毒专杀工具有彩影ARP、360ARP、金山毒霸、瑞星和风云等防火墙等查杀效果都很不错。用户可以根据自己的实际情况，选择适合自己的杀毒软件。为了保证杀毒效果，可以经常不定期地进行专杀工具的更换。

3.3手工绑定IP/MAC地址

适合用局域网中网络设备IP地址变化较小的区域，审批上网账号，注册时就进行绑定，获取比较安全的用户ARP表，减少用户感染ARP病毒的概率。在交换机端口上手工绑定用户的IP/MAC地址，限制ARP数据包流量，在交换机上设置可信任的ARP端口，并开启端口的ARP报文限速功能等措施杜绝ARP病毒攻击。

3.4划分VLAN

根据用户数量多少在路由器或交换机上利用VLAN将局域网划分在不同子网，便于局域网的故障排查和管理，尽可能的缩小ARP病毒的攻击范围。

3.5隔离交换机端口

为了防止和避免非法的ARP数据包通过交换机，在重要或ARP病毒易发区采用具有DAI动态ARP检测和DHCP嗅探功能锐捷S2126G交换机，能够很好地防御ARP病毒。

4 结束语

ARP病毒利用ARP协议自身设计漏洞来对局域网进行欺骗攻击，正因为其原理简单、技术含量低、故便于操作、无孔不入，严重威胁网络安全。本文根据自己多年的网管实战经验，提出了ARP病毒源的定位方法，有效结合了五种防御措施，能够很好地处理局域网中ARP病毒。

[1]李延香，袁辉，刘淑英.校园局域网ARP欺骗攻击的防御方法和实施[J].自动化与仪器仪表，2015.

[2]郭征，吴向前，刘胜全.针对校园网ARP攻击的主动防护方案[J].计算机工程，2011.

[3]石利平.ARP欺骗研究综述[J].计算机与现代化，2011.

[4]许卫明，吴军强，许小东.计算机实验室中的 ARP 病毒防治技术研究[J].绍兴文理学院学报，2012.

咸阳师范学院专项科研基金资助项目(项目编号：13XSYK087)。