浅谈ARP攻击防制

　　摘要：ARP欺骗和攻击是近来网络中普遍存在的现象，随着ARP攻击的不断升级，不同的解决方案在网络上流传。但是笔者最近发现，有些ARP防制方法很容易操作和实施，但经过实际深入了解后，发现长期效果都不大，并且实际上对于真正的ARP攻击发挥不了作用，也降低了局域网工作效率。要了解ARP欺骗攻击,我们首先要了解ARP协议以及它的工作原理，以更好的来防范和排除ARP攻击的带来的危害。为了进一步让大家了解并防制ARP，特撰写此文，与用户们共同探讨、研究。
关键词：ARP欺骗，病毒，路由器。

一、ARP介绍
首先，让我们来了解一下ARP的含义。ARP的全称是“AddressResolutionProtocol”（地址解析协议）。在局域网中，两台主机之间访问通过网络实际传输的是“帧”，“帧”里面也包含目标主机的MAC地址，这就像邮政快递员手中的信，不仅包含需要传递的信息内容，也需要注明详细的地址。但是光有信封和地址还不够，还需要邮递员知道详细的街道和门牌号，也就是所谓“地址解析”，这部分工作主要是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

下面来简单的讲述ARP协议的工作原理.在局域网内每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如表所示。



我们以主机A（192.168.1.2）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其它主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-1F-29-A8-0E-0F。”这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。

整个过程就像一个第一天上班的邮政快递员，想要送信给“李四”，不知道该做什么，只有满腔热情，站在大马路上挨个问：“李四那儿？”。只要有人应答“我就是李四”，这位不辞辛劳的邮政快递员就立刻投送，也不验明正身。在一个人人诚实的乌托邦，邮政快递员的工作还是能切实地进行。但若是旁人觉得快递物品对自己来说有价值，想要用欺骗手段获取物品的话，快递员这种工作方式就会带来混乱了。
ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比前面那位无知的邮政快递员，听了每一个路人和他说话都信以为真，谁回答“我是李四”就立刻以最新听到的信息作决定，将信件送交至应答者。
我们再回来看ARP攻击和这个稀里糊涂的邮政快递员的关系。常见ARP攻击对象有两种：一是网络网关，也就是路由器；二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让邮政快递员整个工作大乱，所有信件无法正常送达。而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。现实社会中，前者，路由器被攻击的情况可以在大型公司和网吧场所频繁见到，主要是不怀好意的商业竞争对手恶意干扰路由器的正常运行，以达到致使对方整体网络瘫痪的目的。后者，一般用户被攻击，常见于带宽较小的共享网络，B主机利用ARP欺骗A主机的网卡，导致A主机不能访问外网，此时B主机就可以独享对外网络的总体带宽。总而言之，均为满足一己私利，利用ARP进行不法手段。
由于一般的计算机及路由器的ARP协议的固有的缺陷，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。针对ARP攻击的防制，常见的方法，可以分为以下三种作法：
1、利用ARPecho传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。
2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。
3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。

二、ARP病毒防制法
通过对ARP工作原理的简略分析后，我们可以得知如果系统ARP缓存表被修改，并且不停的将一系列错误的内网IP或者干脆伪造一个假的网关通知路由器进行欺骗的话，网络就肯定会出现大面积的掉线问题，这样的情况就是典型的ARP攻击，对遭受ARP攻击的判断，其方法很容易，你找到出现问题的电脑点“开始”“运行”进入系统的DOS操作。输入ping192.168.1.1（一般默认网关IP地址），ping路由器的LANIP丢包情况。如下图：

图片一

内网ping路由器的LANIP间断性丢包，然后又连上，紧接着又阶段性丢包，呈现一定规则。这很有可能是中了ARP攻击，为了进一步确认，我们可以通过查找ARP表来判断。DOS界面中输入ARP-a命令，显示如下图：


图片二

可以看出192.168.1.1地址和192.168.2地址的IP的MAC地址都是00-0f-3d-83-74-28,很显然，这就是ARP欺骗造成的。通过第二步判断该主机已经遭ARP攻击。下面我们简单介绍一下如何找到行之有效的防制办法来防止这类攻击对网络造成的危害。

处理简单的APR攻击一般处理办法可分三个步骤来完成。
1、激活路由器自我保护机制
进入路由器的防火墙的基本配置栏将“防止ARP病毒攻击”这一行的“激活”点击并确定。该步骤的目的是从网络设备硬件机制上进行预警防护，做到有备无患。
2、在每台pc上绑定网关的IP和其MAC地址
在每台PC机上进入dos操作，输入arp–s192.168.1.1(网关IP)00-0f-3d-83-74-28(网关MAC),(每台电脑的IP地址和MAC地址可以输入DOS命令ipconfig/all查出)Enter后完成每台PC机的绑定。该步骤的目的是防止篡改MAC地址欺骗路由器。
但该方法的缺陷是，如果重起了电脑，该主机上的IP和MAC地址绑定作用就会消失，所以可以把此命令做成一个批处理文件，放在操作系统的启动里面，批处理文件可以这样写：
@echooff
arp-d
arp-s路由器LANIP路由器LANMAC
3、在路由器端绑定用户网关的IP和其MAC地址：
进入路由器的高级设置中，在DHCP功能中对IP和MAC地址进行绑定。

以上三则简略的防范APR攻击的方法，适合于绝大多数初级用户，借助于这样的操作基本可以解决问题，但不一定能解决根本问题，因为很多ARP攻击之所以得逞往往是主机使用者的诸多细节问题没有处理所致。接下来，我们将列举一些注重于细节的操作手段，进一步控制ARP的攻击，较为彻底的防范ARP进攻，而这样的防范方式绝大多数和电脑的使用者习惯有着密不可分的关系。

1、控制病毒源
对病毒源头的机器进行处理，直接采取杀毒或重新装系统措施。此操作比较重要，解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。治标还需治本，解决源头主机才是关键。
2、网络管理员检查局域网病毒。
安装国内外正版杀毒软件，并且一定要定期更新病毒库，定期对机器进行病毒扫描。没有条件在线升级病毒库的内网，可以由管理员下载杀毒软件离线升级包，给局域网内主机的杀毒软件进行全面升级。
3、安装关键系统补丁。
进入操作系统的控制面板，点击自动更新选项，双击运行。通过WindowsUpdate安装好系统补丁程序(关键更新、安全更新和ServicePack)。如果不及时修复系统漏洞，那么危害主机安全的不仅仅是ARP病毒。
4、给系统管理员帐户设置足够复杂的混编密码
列如12位以上密码，采用字母+数字+符号的混编组合。并且，可以禁用/删除一些不使用的帐户，列如停用Guest来宾访问。
5、定期更新杀毒软件的病毒库。
安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。杀毒软件的病毒库更新最好可以设置为每天定时自动更新。
6、关闭一些不需要的系统服务。
条件允许的可关闭系统内非必要的共享设置，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务，关闭网络和打印机共享服务。
7、谨慎点击网络链接
在打开陌生QQ、MSN等聊天工具上转发的网址链接之前，可简略分析网址的安全性。不要随便打开或运行陌生、可疑文件和程序，不要访问一些域名很奇特的网站。特别留心查看后缀名是.EXE的程序和邮件的附件。在接受邮件之前，确保杀毒软件或者防火墙正在运行之中。

三、结束语
ARP攻击防制是一项需要谨慎小心的过程，切忌大意马虎，我们可以采取上述方法警惕ARP攻击，以减少受到的危害，提高工作效率，降低经济损失。

【参考文献】
[1]王群．非常网管.网络安全［M］．北京：人民邮电出版社，2007.4．
[2]谭敏，杨卫平．ARP病毒攻击与防范［J］．网络安全技术与应用，2008.4
[3]StevensWR．TCP/IP详解（卷1：协议）[M]．北京：机械工业出版社，2003。
[4]谭浩强．C程序设计[M]．北京：清华大学出版社，1999年。
[5]周明天等．TCP/IP网络原理与技术．北京：清华大学出版社，1993年
[6]王晓春等．计算机网络与Intemet教程．北京：清华大学出版社，1999年

　　搜论文知识网致力于为需要刊登论文的人士提供相关服务,提供迅速快捷的论文发表、写作指导等服务。具体发表流程为：客户咨询→确定合作，客户支付定金→文章发送并发表→客户接收录用通知，支付余款→杂志出版并寄送客户→客户确认收到。鸣网系学术网站，对所投稿件无稿酬支付，谢绝非学术类稿件的投递！