浅析ARP攻击及防范

浅析ARP攻击及防范

作者：张满

来源：《中国科技博览》2016年第08期

[摘 要]局域网遭遇ARP攻击，轻则通信缓慢，重则网络瘫痪，甚至机密信息泄漏。在越来越重视网络安全的今天，认识防范ARP攻击会使网络畅通安全。本文从ARP协议入手介绍ARP攻击、后果、ARP攻击判断，并做出相应防范。 [关键词]ARP攻击；防范技术；网络安全

中图分类号：S68 文献标识码：A 文章编号：1009-914X（2016）08-0284-01 一、ARP协议

ARP全称AddressResolutionProtocol。基于TCP/IP协议的局域网，假设使用了IPV4协议，网络连接时要通过48位MAC地址来确定目的接口，而非IP数据报中的32位目的IP地址。主要原因是设备的MAC地址唯一。那如何解决32位目的IP地址到48位MAC地址的变换呢这就要依靠地址解析协议ARP了。ARP协议功能就是为IP地址到对应MAC地址之间提供动态映射。该实现过程可简单描述为局域网内某主机先以广播方式发送ARP请求报文，等待目的主机收到此报文，会以单播方式发送ARP应答，发起请求的主机收到应答后确定目的MAC地址，两台主机通信。 二、ARP攻击及后果

局域网中攻击者通过伪造IP地址实现ARP攻击，过程中产生大量ARP通信量使网络阻塞，甚至秘密泄露，严重威胁网络安全。ARP攻击过程可简单描述如下：

第一种情况，假设局域网中有三台主机，要与交互通信。先以广播方式发出ARP请求，收到后将IP地址伪装成的IP地址，MAC地址为的真实MAC地址，将此虚假报文发给，会把误认为，将要给的报文发到上。作为攻击者不会就此满足，他会持续不断给发虚假报文，造成的ARP高速缓存表存储错误IP-MAC对应条目，同时还会将IP地址伪装成的IP地址，MAC地址为的真实MAC地址，将此虚假报文发给，会将误认为，将本应给的报文发到上。同样，的ARP高速缓存表中IP-MAC对应条目也是错误的。如此，通信断开，和通信过程中，便截获了双方的私密信息。

第二种情况，假设局域网中有三台主机，均未发送ARP请求，作为攻击者，要窃取的信息，他将IP地址伪装成的IP地址，MAC地址为的真实MAC地址，持续向外发送ARP请求广播，通信后，会不断处理的虚假报文，不断丢弃请求报文，无法通信。

龙源期刊网 http://www.qikan.com.cn

由以上两种情况可知，局域网中一台主机发动ARP攻击，都会造成网络中断、泄密的严重后果。若局域网中服务器受到ARP攻击，服务器就会无暇提供服务，使网络崩溃。重启服务器或交换机以后，问题解决，但是过一段时间又会出现同样的问题。遭受攻击时泄露的私密信息也会严重影响到受害者的权益。 三、 如何判断ARP攻击源

当遭受到ARP攻击时，受害主机的ARP高速缓存表会记录错误的IP-MAC对应条目信息， 使用“arp -a”命令可以查到 IP-MAC对应条目，将此结果与网络正常时的缓存表比对，若相同的IP地址对应的MAC地址不相同，那就表示遭受了ARP攻击，而且与网络正常时IP-MAC对应条目信息不一样的MAC地址就是ARP攻击者的MAC地址了。设备的MAC地址唯一，通过MAC地址可以准确找到攻击源头。

另外，发动ARP攻击的主机网卡一般会处于混杂模式。网卡的混杂模式是指一台机器能够接收所有经过他的数据流，而不论目的地址是否是他。可用ARPkiller此类扫描工具对局域网中主机进行扫描，查看哪台主机的网卡是混杂模式来判断“真凶”。 四、ARP攻击防范

第一种方法，绑定IP地址和MAC地址。

在用户本人的计算机上，以网关为例，利用“arp -s”命令，对IP地址和MAC地址进行绑定，将其做成批处理文件，计算机启动时都会执行该文件，如此ARP高速缓存表中绑定的IP-MAC对应条目不再受到ARP攻击时的影响，主机在与网关通信交互时，主机先查询本机ARP高速缓存表中对应的IP-MAC条目，然后对正确的MAC地址进行发报。

该方法比较适用于个人计算机操作，但在大型局域网中慎用，不仅是因为大型网络中需要绑定的IP-MAC对应条目复杂且绑定操作繁琐，更是运行中太多的绑定条目会影响执行速度，降低效率。

第二种方法，利用“arp –d”清除命令。“arp -d”命令的作用是清除本机ARP高速缓存中所有IP和MAC地址的对应条目。利用清除命令可编写批处理文件，例如： ：c Arp -d

Ping 1.1.1.1 -n 1 -w 100 Goto c

龙源期刊网 http://www.qikan.com.cn

将文件保存为“c.bat”，双击后在用户的计算机上执行，该程序会在打开的DOS窗口中循环执行。循环的周期为0.1s，只要不关闭该窗口即可每过0.1s清除一次ARP高速缓存表，解决ARP攻击造成的IP-MAC条目存储错误的问题。以上数值可以修改为自己希望的数值，但注意100的单位是ms，若感觉ARP清除方法的速度太慢或太快，可以对应s换算改变上面的100为想要的数值。

该方法比较适用于个人计算机解决ARP攻击问题，大型局域网中慎用，原因是频繁的清除ARP高速缓存表，会让个人计算机频繁的发送ARP广播包，导致局域网额外负担。 第三种方法，安装ARP防火墙。ARP防火墙有多种，例如：奇虎360防火墙、金山防火墙、彩影防火墙等。在个人计算机安装ARP防火墙后，不必再经过第三者来发送免费ARP广播，防火墙还会在系统内核层拦截虚假ARP数据包并主动通告网关本机正确的MAC地址，从而保证数据通信不受第三者控制，使得数据通信安全顺畅。

第四种方法，使用ARP服务器。局域网中，指定一台计算机做为专门的ARP服务器，服务器上记录存储着局域网内所有正确可信的IP与MAC地址对应条目。主机只接受来自服务器的ARP配置。当有ARP请求时该服务器先查阅自己缓存记录并以被查询主机的名义响应ARP局域网内部的请求，从而防止了ARP攻击。

该方法适合于大型局域网，虽然能很好解决ARP攻击问题，但是ARP服务器安全尤为重要，只有保证了ARP服务器的安全才能保证大型局域网内所有主机的安全。 五、结语

在日益看重网络安全的今天，网络中的ARP攻击依然存在着，虽然对ARP攻击的各种防御方法已经起到作用，但是仍无法彻底根除ARP攻击对局域网的伤害。对于用户本身而言应该多了解此类网络安全问题的解决方法，防范自己的私密信息泄露被他人利用。对于公司企业而言，若遭受到ARP攻击的损害，会导致企业内部机密信息外泄，使攻击者能够掌握公司的重大决定从而造成公司内部不可估量的损失。了解ARP攻击，采取正确的ARP攻击防御手段是增强网络安全，网络通信顺畅，保障网络环境良好运行的一门必修课。 参考文献

[1]单国杰.基于ARP欺骗攻击的防御策略研究[D].山东师范大学，2011.

[2]张莉.高校机房ARP欺骗攻击的防范[J].山西财经大学学报，2011，（S2）：147. [3]徐华中，闫树.基于ARP的攻击分析及对策研究[J].中国水运（理论版），2007，（3）：97～99.

龙源期刊网 http://www.qikan.com.cn

[4]秦丰林，段海新，郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究，2009，（1）：30～33.