校园网防范ARP病毒研究

汪小霞

（健雄职业技术学院计算机工程系，江苏太仓 215411）

近年来，校园网内出现了频繁断网，系统瞬间与服务器断开、不能正常运行、局域网内客户端计算机访问网页变得很慢等现象，严重影响了校园网络的正常运行。经过检测，确定引起这种现象的主要原因是局域网中存在ARP攻击病毒。这种病毒是一种利用地址解析协议ARP（AddressResolution Protocol）的漏洞进行攻击和欺骗。有效地防范ARP网络攻击已成为确保校园网络畅通的必要条件。

1 校园网感染ARP病毒现象

ARP病毒属于一种欺骗木马类病毒，主要发生在局域网内部，局域网感染ARP病毒后主要表现为：①局域网中某个网段的计算机不能正常上网，网络连接时断时续，上网速度非常缓慢；②IE浏览器频繁出错，网页打不开或者打开速度非常慢；③局域网整个网络运行不稳定，ping网关时不通，或者丢包现象很严重；④断开网络后，隔一段时间重新连接，或者利用arp-d命令删除ARP缓存表后，可暂时恢复上网。

2 ARP协议

ARP（Address Resolution Protocol）即地址解析协议，是位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。每台安装有TCP/IP协议的计算机里都有一个ARP缓存表，表里的IP地址与MAC地址一一对应。在局域网中，网络中实际传输的是“帧”，帧里面有目标主机的MAC地址。在以太网中，一个主机和另一个主机进行直接通信，必须要通过地址解析协议获得目标主机的MAC地址。“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

3 ARP欺骗原理

ARP病毒是一种木马程序，其本质就是利用ARP本身的漏洞进行ARP欺骗。从影响网络连接通畅的方式来看，ARP欺骗分为两种：一种是对路由器ARP表的欺骗，另一种是对内网计算机的网关欺骗。

第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址。第二种ARP欺骗的原理是伪造网关。就是建立假网关，让被它欺骗的主机向假网关发数据，而不是通过正常的路由器途径上网，造成网内互通，但上不了网。

4 校园网ARP病毒的解决方案

4.1 用户端绑定

在用户端计算机上绑定交换机网关的IP和MAC地址。首先，要求用户获得交换机网关的IP地址和MAC地址，用户在DOS提示符下执行arp-a命令，具体如下：C:Documents and Settingsuser>arp-a。

图1 交换机网关IP地址和MAC地址

图中的172.22.1.254和00-d0-f8-8d分别为网关的IP地址和MAC地址，因用户所在的区域、楼体和交换机不同，其对应网关的IP地址和MAC地址也不相同。编写一个批处理文件arp.bat，实现将交换机网关的MAC地址和网关的IP地址的绑定，内容如下：

用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址，填入arp-s后面即可，同时需要将这个批处理软件拖到“windows--开始--程序--启动”中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用户起到一个很好的保护作用。

4.2 网管交换机端绑定

在核心交换机上绑定用户主机的IP地址和网卡的MAC地址，同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。IP和MAC地址的绑定：在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。MAC地址与交换机端口的绑定：根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号，将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。

4.3 采用VLAN技术隔离端口

局域网的网络管理员可根据本单位网络的拓扑结构，具体规划出若干个VLAN，当管理员发现有非法用户在恶意利用ARP欺骗攻击网络，或因合法用户受病毒ARP病毒感染而影响网络时，网络管理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离，以避免对其它用户的影响。当然也可以利用将交换机端口屏蔽该用户对网络造成影响，从而达到安全防范的目的。

4.4 使用ARP防护软件

针对ARP欺骗攻击的软件在网络中很多。多数软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件的原理，这些软件在ARP防范领域有一些影响。同时还可以安装防病毒软件，安装ARP漏洞补丁等方法，来防范ARP攻击。

5 校园网ARP病毒的解决方案实例

下面给出一个我院ARP病毒解决方案实例。我院的网络主干设备主要采用锐捷路由交换机及其他交换机50台。采用千兆单模光纤接入校园网。光纤通达学院各座楼宇，接入计算机2000余台。为了有效地防止ARP的攻击，根据我院网络的实际情况，我们采用了软硬件结合的方法来防范ARP欺骗。

第一步以院系、科室为单位划分Vlan。利用ARP攻击的原理，将ARP攻击尽量缩小到一个可以承受的范围。方法为核心交换、汇聚层交换以及二层接入交换机之间试用trunk连接，以保证每台交换机都可以使用任何一个Vlan；然后以院系、科室为单位划分Vlan，确保同一部门的电脑在一个Vlan内；终端较少的科室则以楼层或者楼宇为单位划分Vlan。学生宿舍终端较多，因此划分多个vlan。

第二步使用计费认证系统实现MAC地址与账号捆绑。

第三步要求每台终端电脑安装ARP防火墙。确保每一个Vlan内有一台终端电脑安装有ARP防火墙，网络机房监控机安装ARP火墙，并将该监控终端连接在核心交换上，预备随时更换接入Vlan，确保可监控每一个Vlan。

假设Vlan30中出现ARP攻击，ARP防火墙报警，提示攻击IP源，管理员可进入计费认证系统日志，搜索IP源，确定上网帐号，并将该账号锁定强制下线，确保该Vlan网络的稳定运行；之后在对问题终端机进行处理。在Vlan30内ARP进行攻击时，由于该Vlan内终端机已经实现上网账号与MAC地址的绑定，因此问题终端机在实施ARP欺骗的同时，认证计费系统默认该上网帐号的MAC改变，会锁定该终端，缓解其对Vlan内电脑造成的危害，为网络管理员查找问题提供时间。同时由于每台终端机安装有ARP防火墙，并且Vlan划分的细化，缩小了ARP攻击的范围，从而将ARP木马病毒的危害减少到最小。

6 结语

ARP欺骗是一种典型的欺骗攻击类型，它利用了ARP协议存在的安全隐患，并使用一些专门的攻击工具，使得这种攻击难以彻底杜绝。自从我院实施以上解决方案后，校园网各Vlan内共发生过几次ARP欺骗攻击事件，但都在第一时间锁定攻击终端、阻断ARP攻击端口，达到有效防范ARP欺骗攻击的目的。该方案大大节省了网络管理员的时间，结合其他防范措施，对检测网段提供安全保障，具有一定的实用价值，有效地保证了我院校园网络正常运行。

[1]王爱兵，刘吉强.ARP欺骗在以太网访问控制中的应用[J].计算机时代，2007,（1）：65.

[2]赵鹏.计算机网络系统中基于ARP协议的攻击与保护[J].网络安全技术与应用,2005，（1）：101.

[3]王彦刚.ARP病毒在校园网内的传播和解决方案[J].黑龙江科技信息，2008，(9):56.

[4]甘刚，等.网络攻击与防御[M].北京：清华大学出版社，2008.

[5]刘海燕.计算机网络安全原理与实现[M].北京：机械工业出版社，2008.