本文介紹了ARP攻擊的原理以及由此引發的網絡安全問題，並且（qiě）結合實際情況，提出在校園網中實施多（duō）層次的防範方法，以解決因ARP攻擊而引發的（de）網絡安（ān）全問（wèn）題，最後介紹了一（yī）些實用性較強且操作簡（jiǎn）單的檢測和抵禦攻擊的有效方（fāng）法。

您是（shì）否遇到（dào）局域網內頻繁性區（qū）域或整體掉線，重啟計算機或網絡（luò）設備後恢（huī）複正常?您的（de）網速是否時快時（shí）慢，極其不穩定，但單機進行光（guāng）纖（xiān）數據測試時一切正常?您是否時常聽到教職工的網上銀行、遊戲及QQ賬號頻繁丟失的消息?

這些問題的出現有很大一部分要歸功於ARP攻擊（jī），我校局域網自去年5月份開（kāi）始ARP攻擊（jī）頻頻（pín）出現，目前校（xiào）園網（wǎng）內已發現的“ARP攻擊”係列病毒已經（jīng）有了幾十個變種。據檢（jiǎn）測數據顯示，APR攻擊從未停止過，為此有效的防範ARP形式的網絡攻（gōng）擊已成為確保網絡暢通必要條件。

　　一、ARP的（de）基本知識（shí）

　　1、什麽是ARP?

ARP協議是“Address Resolution Protocol”(地址解析協（xié）議)的縮寫。在局域網中，網絡中實際傳輸的是“幀”，幀裏麵是有目標主機的MAC地址的。在以（yǐ）太網中，一個主（zhǔ）機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何（hé）獲得的呢?它就是通過地址解析協議獲得的（de）。

所謂（wèi）“地址解析”就是主機在發送幀（zhēn）前將目（mù）標IP地址（zhǐ）轉換成目（mù）標MAC地（dì）址的過程。ARP協議的基本功能就是通過（guò）目標設備的IP地址，查詢目標設備的MAC地址，以保證通（tōng）信的（de）順利進行。

在局域（yù）網中，通過ARP協議（yì）來完成（chéng）IP地址（zhǐ）轉換為第二層物理地址(即MAC地址)的，ARP協議對網絡安全具（jù）有重要的意義。

　　2、ARP協（xié）議的工作原理

正常情況下，每台主（zhǔ）機都會在自己的（de）ARP緩衝（chōng）區中建立一個 ARP列（liè）表，以表示IP地址（zhǐ）和MAC地址（zhǐ）的對應關係。當源主機需要將（jiāng）一（yī）個數據包（bāo）要發送到（dào）目的主機時（shí），會首先檢查（chá）自己 ARP列表中是否存在（zài）該 IP地址對應的MAC地址，如果有﹐就直接將數據包發送到這個MAC地址;

如（rú）果沒有，就向本地網段發起一個ARP請求（qiú）的廣播包，查詢此目的主機對應（yīng）的MAC地址。此ARP請求數據包（bāo）裏包（bāo）括源主機的IP地址、硬件地址、以及目的主機的IP地（dì）址。網絡中所有的主機收到（dào）這個ARP請求後，會檢查數（shù）據包中的目的IP是（shì）否和自己的（de）IP地（dì）址（zhǐ）一致。

如果不相同就（jiù）忽略此數據包;如果相同（tóng），該主機首先將發送端的MAC地址和（hé）IP地址添加到自己的ARP列（liè）表中（zhōng），如果ARP表中已經存在（zài）該IP的信（xìn）息，則將其覆蓋，然後給源主機發送一個 ARP響應數（shù）據（jù）包，告訴對方自己是它需（xū）要查找的MAC地址;源（yuán）主機收到這個ARP響應數據包後，將得（dé）到的目的主機的IP地址和MAC地址添加到（dào）自己的 ARP列表（biǎo）中，並利用此信息開始數據的傳輸（shū）。

如圖：

1. 要發送網絡包給192.168.1.1，但不知MAC地址?

2. 在局域網發（fā）出廣播包“192.168.1.1的MAC地（dì）址是什麽?”

3. 其他機器不回應，隻有192.168.1.1回（huí）應“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

從上麵可以看出，ARP協（xié）議的（de）基礎就是信任局域網內所有的人（rén），那麽就（jiù）很容易實現在以太網上的ARP欺騙。更何況ARP協議是工作在更低於（yú）IP協議的協議層，因此它的危害就更加隱蔽。

　　二、ARP欺騙的原理

ARP類型的攻擊最早用於盜取密碼之用，網內中毒電腦可以偽裝成路由器，盜取用戶（hù）的密碼， 後來發展成內藏於軟件，擾亂其他局域網用戶正常的網絡通信，下麵我們簡（jiǎn）要闡述ARP欺騙的原理：假設這樣（yàng）一個網絡，一個（gè）交換（huàn）機連接了3台機器，依次是計算機A，B，C

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地（dì）址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的（de）地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二（èr）步：正常情況下在A計算機上運行ARP -A查詢ARP緩存表應該出現如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步：在計算機B上運行（háng）ARP欺（qī）騙程序，來（lái）發送（sòng）ARP欺騙包。

B向A發送一個自己（jǐ）偽造的ARP應答，而（ér）這個（gè）應答中（zhōng）的數據為發送（sòng）方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD- DD-DD-DD-DD-DD(C的MAC地址本（běn）來應該是CC-CC-CC-CC-CC-CC，這裏被（bèi）偽造了)。當A接收到B偽造的ARP應答，就會（huì）更新本（běn）地的ARP緩存(A可不知道被偽造了)。而（ér）且A不知道其實（shí）是從B發送（sòng）過來的，A這裏隻有192.168.10.3(C的IP地址)和無效的DD-DD- DD-DD-DD-DD MAC地址。

第四（sì）步：欺騙完畢我們在A計算機上運（yùn）行ARP -A來查詢ARP緩存信息。你（nǐ）會發現原來正（zhèng）確的信息現在已經出現了錯誤。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

上（shàng）麵例（lì）子中在計（jì）算機A上的關於計算機（jī）C的（de）MAC地址已經錯誤了，所以即使以後從A計算機訪問C計算機這個192.168.1.3這個地址也（yě）會被 ARP協議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。

當局域網中一台機器（qì），反複向其他機器，特別是向（xiàng）網關，發送這樣無效（xiào）假冒的ARP應答信息（xī）包時，嚴重的網絡堵塞就會開始。由於網關MAC地址（zhǐ）錯（cuò）誤，所以從網絡中計算機發來的（de）數據無法正常發到網關，自然無法正常（cháng）上網。

這（zhè）就（jiù）造（zào）成了無法訪（fǎng）問外網的問題，另外由於很多時候網（wǎng）關還控（kòng）製著我們（men）的局域（yù）網LAN上網，所以這時我們的LAN訪（fǎng）問也就出現問題了。下圖更直觀的展示了ARP欺騙（piàn）攻擊的情（qíng）況：

三、ARP欺騙的危害

ARP類型的攻擊在校園網（wǎng）中最早出現在去年5月份，目前校園網內（nèi）的計算機所感染的“ARP欺騙”係列病毒已經有了幾十個變種。根據這些變種的工作特點和外（wài）部特性大概（gài）可以分為三大（dà）類，其中“ARP欺騙”和“惡意竊聽”兩類對學校局域網的正常運行和網絡用戶的信息安全的威脅最大。

ARP攻擊隻要一開始就造成局域網內計算機無法和其他計算機（jī）進行通訊，而且（qiě）網絡對此種病毒沒有任何耐受度（dù），隻要局（jú）域網中存在一台感染“ARP欺騙”病毒的計算機（jī）將會造成整（zhěng）個局域網通訊中斷。

“惡意（yì）竊聽”病毒是“ARP欺騙”係列病毒中影響和（hé）危害最（zuì）為惡劣的。它不（bú）會造成局（jú）域網的中斷，僅僅會使網絡（luò）產生較大的延時，但是中毒主機會截取局域網內所有的通訊數據，並向特定的（de）外網用戶發送所截獲的數據，對局域網用戶的網絡（luò）使用造成非常非（fēi）常嚴重的影響，直（zhí）接威脅著局域網（wǎng）用戶自身的信息安（ān）全。

　　四、出現ARP攻擊的原因及特征（zhēng）

一個正常運行的局域網是不應該出現ARP攻擊的，經過長（zhǎng）時間的（de）觀測，發現ARP攻擊的出現主要是由以下幾個原因造成的：

1、人（rén）為破壞

主要是內網有人（rén）安裝了P2P監控軟件，如P2P終結者，網絡執法官，聚生網管，QQ第六（liù）感等，惡意（yì）監控其他機器，限製流量，或者進行內網DDOS攻擊（jī）。

2、木馬病毒（dú）

傳奇、跑跑卡丁車、勁舞團等遊戲外掛，如（rú）：及時雨（yǔ）PK版，跑跑牛車，勁舞小生等，他內（nèi）含一些（xiē）木馬程序，也（yě）會引起ARP欺騙。

其實真正（zhèng）有人惡意搗亂的是很少的，一次兩次搗亂，次數多了自己也（yě）就膩了，更何況事後網管肯定會找到搗亂（luàn）的主（zhǔ）機，所以說人為破壞是比較好（hǎo）解決的。最（zuì）麻煩的就是使用帶（dài）木馬（mǎ）的遊戲外掛和瀏覽帶有惡意代碼（mǎ）的網（wǎng）頁。

當出現（xiàn）ARP攻擊（jī）後最明顯的特征（zhēng）是網絡頻繁掉線（xiàn），速度變慢，查看進程你會發現增加了 down.exe 1.exe cmd.exe 9sy.exe中的任意一個或多個，嚴重的還能自動還下載威金病毒，logo_1.exe.rundl132.exe，感染可執行文件，圖標變花還。

　　五（wǔ）、常用的防範（fàn）方法

目前ARP係列的攻擊方式和手段多種多樣，因此還沒有一個絕對全麵有效的防範方法。從實踐經驗看最為有效的防範方法即打全Windows的補丁、正確配置和使用網（wǎng）絡防火牆、安裝防病毒軟件（jiàn）並及時更新病毒庫。

對於Windows補丁不僅僅打到SP2(XP)或SP4(2000)，其後出現的所有安全更新也都必須及時打全才能最大限度的（de）防範病毒和（hé）木馬的（de）襲擊。此外，正確使用U盤等移動存儲設備，防（fáng）止通（tōng）過校（xiào）外計（jì）算（suàn）機傳播病毒和木馬。

　　下麵介紹防範ARP攻擊的幾種常用方（fāng）法：

1、靜態綁定

將IP和MAC靜態綁（bǎng）定，在網內把主（zhǔ）機和網關都做（zuò）IP和MAC綁（bǎng）定。

欺騙（piàn）是通過ARP的動態實時的（de）規則欺騙內網機（jī）器，所以我們把ARP全（quán）部設（shè）置為靜（jìng）態可以解決對內網PC的欺騙，同時在網關也要進行IP和MAC的靜態綁定，這樣雙向綁（bǎng）定才比較保險。缺點是每台電腦需綁定，且重啟後任需綁定，工作（zuò）量較大，雖說綁定可以（yǐ）通過批處理文件來實現（xiàn），但也比較麻煩。

2、使用（yòng）防護軟（ruǎn）件

目前關於ARP類的防（fáng）護（hù）軟件出的比較多了，我校常用的一款軟件是（shì）彩影軟件的ARP防火牆.

ARP防火牆采用係統（tǒng）內核層攔截技（jì）術和（hé）主動防禦技術，包含六（liù）大功能模塊可解決（jué）大部分欺騙（piàn）、ARP攻擊（jī）帶來的問題（tí），從而保證（zhèng）通訊安全(保障通訊數（shù）據（jù）不被網管軟件/惡（è）意軟件監聽和控製)、保證網絡暢通（tōng）。

3、具有ARP防護功（gōng）能的網（wǎng）絡設備

由於ARP形式（shì）的攻擊而引發的網絡問題是目前網絡管理，特別是局域網管（guǎn）理中最讓人頭疼（téng）的（de）攻（gōng）擊，他的攻擊技術含量低（dī），隨便一個人都可以通過攻擊軟件（jiàn）來完成ARP欺（qī）騙攻擊，同時（shí）防範ARP形式的攻（gōng）擊也沒有什麽特別有效的方法