局域网内ARP的攻击与防范

摘 要：本文首先对ARP协议和ARP工作原理进行了介绍，分析了常见ARP攻击的方法，描述了网络遭受到ARP攻击之后的现象，最后针对ARP攻击方式提供解决方案。

关键词：ARP；局域网；攻击

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 08-0000-01

一、ARP协议概述

ARP协议和ICMP协议是常用的TCP/IP底层协议。在对网络故障进行诊断的时候，它们也是最常用的协议。ARP（Address Resolution Protocol）地址解析协议是将计算机的IP地址转化为MAC地址，是TCP/IP协议栈中的数据链路层协议。

两个主机之间在以太网中进行通信，需要知道对方主机的物理（MAC）地址。物理（MAC）地址需要通过地址解析协议获得。地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程，这两种地址之间存在着一一映射的关系，这种关系是由ARP地址解析协议来确定的。双方通过ARP协议获取对方的MAC地址，就能完成TCP/IP封装，实现数据包的通讯，在以后在数据通讯过程中，就可以利用ARP缓存列表中的IP对应目的物理地址。地址解析协议对网络安全具有非常重要的意义。网络中大量的ARP信息使网络阻塞通常是ARP欺骗即伪造IP地址和物理地址造成的。

二、ARP工作原理

ARP工作原理将IP地址翻译成MAC地址。比如：A机要与B机通讯在局域网中处在数据链路层。这个层之间的主机互相通讯是通过MAC地址互相区分的。所以主机A与主机B通讯主机A知道主机B的IP地址是不能通讯的，那么，主机A就要用ARP协议，通过，广播的方式去寻找主机B的MAC地址，当主机B接收到ARP的广播后，就会主动与主机A联系并告知主机A主机B的MAC地址是什么这样主机A知道了主机B的MAC地址后，就可以顺利的与主机B通讯了，进行ARP攻击最直接的方法，就是使用局域网中的一台机器去欺骗这个局域网里的其他机器让他们相信你使用的这台机器就是其他机器想要保持通讯的网关。

三、ARP的攻击

通过伪造IP地址和物理（MAC）地址实现ARP攻击，会在局域网中产生大量的ARP信息造成网络拥塞，倘若有人要连续不断地发出伪造ARP响应数据包就可以更改目的主机的ARP缓存列表，严重的会造成网络中断。当然ARP的欺骗攻击还会有其它表现，如出现网络内大面积账号丢失和数据失密等等。具体现象比如欺骗终端用户、ARP泛洪攻击、欺骗网关、网关仿冒等等。

常见的ARP攻击主要有通过ARP欺骗攻击来盗取数据为主要目的，以及ARP泛洪攻击和IP地址冲突等以破坏为目的等几种方式。

ARP的泛洪攻击是攻击者利用工具对局域网其他主机持续广播发送伪造的ARP映射表，通过分析网络数据包会发现很多ARP请求报文，导致网关ARP映射被占满，其他用户无法正常学习ARP表项，造成网络拥塞甚至中断。

ARP的溢出攻击是恶意用户发出大量的ARP报文，造成三层设备的ARP表项溢出，影响正常用户的转发，恶意耗尽了IP资源，使得合法用户无法获得IP资源。

ARP扫描攻击是局域网内出现大量的ARP请求数据包，攻击者通过对局域网内的其他主机发送ARP请求来获得其IP和物理（MAC）地址映射表，正常情况下，主机发一个ARP请求包，就会收到一个ARP响应包，当一个网络中，出现远远多于ARP响应包的话，那么，就有可能存在ARP扫描攻击，它会占用网络带宽资源，为ARP攻击做准备，一般是由于病毒程序，侦听程序，扫描程序等造成的。

IP地址冲突一般包括.单播型IP地址冲突和广播型IP地址冲突，单播地址冲突是一种隐蔽式攻击，链路层所记录的目的物理（MAC）地址为被攻击主机的物理地址（MAC）它使ARP数据包只能被受攻击计算机接收。而多播地址冲突是链路层所记录的目的物理（MAC）地址为广播地址，会使局域网内的所有计算机都接受到该ARP数据包，使受害计算机自动弹出IP地址冲突的警告对话框。

四、ARP防范

对通过DHCP获取IP地址的用户进行仿冒网关、欺骗网关防范可通过配置DHCP Snooping将连接DHCP服务器的端口设置为信任端口，而将其他端口设置为不信任端口，信任端口正常转发接收到的DHCP报文，当不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文。DHCP Snooping表中包括主机的MAC地址、IP地址、端口以及该端口的VLAN等信息。利用这些信息能实现判断发送ARP报文的主机是否合法，从而防止非法主机的ARP攻击。

对手动配置IP地址的用户进行仿冒网关、欺骗网关等进行防范可通过手工静态绑定端口、IP和MAC，一般MAC地址表是网络设备通过源MAC地址学习过程而自动建立的，同时MAC地址表会根据网络的变化而不断更新。手工绑定端口、IP和MAC可以增加通信的安全性，静态ARP表可限制和指定某IP地址通信时只可以使用指定的MAC地址，攻击报文不能修改ARP表中的IP地址和MAC地址的映射关系，来保护了主机的正常通信。手工绑定的缺点是当局域网内计算机数量较多时，增加了网络管理人员的工作量。

配置ARP报文限速功能可对ARP泛洪攻击进行防范。通过设置端口每秒收到ARP报文速度上限，使该端口在受到ARP报文攻击时自动关闭，不在接收任何报文，并设置经过一段时间自动开启，避免攻击对局域网造成的冲击。

此外终端用户可以通过一些软件如antiARP、ARP防火墙或者在命令行下通过ARP -s命令来手工绑定正确的网关地址，防止受到ARP攻击。

五、结束语

综上所述，只有在客户端、各个网关设备和接入交换设备同时建立起有效的立体防御体制，才能最大限度的阻止ARP欺骗攻击的出现。由于ARP协议本身的缺陷来源于协议自身设计上的不足，以上方法都不能从根本上解决ARP病毒攻击，在不久的将来，随着Ipv6的普及，相信ARP病毒攻击将会得到彻底解决。

参考文献：

[1]张世永.网络安全原理与应用[M].北京：科学出版社，2003，5.

[2]谢希仁.计算机网络（第4版）[M].北京：电子工业出版社，2003，6.