校园网ARP欺骗攻击分析及其防范

李 杰 伊向超 崔立波

(长春建筑学院，长春 130607)

随着教育信息化的不断发展，许多学校都已经建立了自己的校园网络，互联网在校园内变得越来越普及，同时也暴露出了一些问题，如网络安全问题.2006年的9月，ARP病毒在许多单位和学校局域网内开始爆发，造成了大面积计算机网络中断，严重影响了正常的工作和教学［1］.针对ARP病毒的攻击本文从其概念、攻击原理出发，阐述了其危害，并通过对其攻击原理的分析、结合校园网的环境和归纳相关资料，提出了ARP欺骗攻击的防范措施.

1 ARP协议概述及其欺骗攻击的原理

ARP是英文Address Resolution Protocol的简称，是地址解析协议的意思，它是一个位于TCP/IP协议栈中的底层协议，对应于数据链路层，负责将某个IP地址解析成对应的MAC地址［2］.

实施ARP欺骗攻击的原因是，计算机之间进行数据交换最终用的是MAC地址，但我们在网络之间进行数据传递用的是IP地址［3］.在IP与MAC地址进行切换的时候，不具备任何的认证机制，所以在局域网内很容易实现IP地址和MAC不匹配的欺骗现象.例如假设校园网内有这样一个网络，一个宿舍Hub连接3台pc机:A，B 和C.

正常情况下，计算机A要想和主机C进行通信，首先在自己的ARP缓存表中查找是否有主机C的IP地址，如果找到了也就知道了主机C的MAC地址了，直接把目标MAC地址写入数据帧里面发送就可以了;如果在ARP缓存表中找不到主机C的IP地址，主机A就需要在网络上发送一个广播，目标MAC地址是“FF－FF－FF－FF－FF－FF”，这表示向同一网段内所有的主机发送这样的询问:“192.168.1.3的MAC地址是什么?原则上网络上其他的主机并不响应ARP询问，只有主机C接收到这个数据帧才会向主机A作出响应:“192.168.1.3”的MAC 地址是14－e6－e4－88－2d－06”.这样，主机 A 就知道主机 C 的 MAC 地址，它就可以向主机C发送信息了，同时它还更新了自己的ARP缓存表，下次再向主机C发送信息时，直接从ARP缓存表中查找就可以了.但是如果主机B主动向A发送自己伪造的ARP应答，而这个伪造的数据发送的IP地址是192.168.1.3(C的IP地址)，MAC地址是14－e6－e4－88－2d－05(B的 MAC地址)，当主机A不知道MAC地址被伪装的话，A发送到C的数据就被B所获知了.

2 校园网内ARP欺骗攻击的危害

因为校园网具有ARP病毒传播的可行条件，所以ARP病毒对校园网信息安全提出的很大的挑战，其在校园网内主要的危害包含以下几个方面［4］:

(1)造成网络异常，上网速度慢、网速极不稳定.查看“本地连接”会发现收包数据量远远小于发包数据量.利用网络抓包工具，抓到局域网内有大量的ARP报文，当局域网内某台计算机感染ARP病毒后，它就持续地向网内所有计算机及网络设备发送非法ARP欺骗数据包，阻塞网络通道.最终导致大面积掉线或电脑逐个掉线，网络时通时断;

(2)通过监听盗取其他同学的数据信息，如QQ、邮箱、游戏、银行卡等的账号密码.通过ARP欺骗监听其他同学之间进行的信息交流，窃取其可用信息;

(3)充当“伪网关”，在被欺骗主机和网关之间建立“中间人”进行数据交互，“伪网关”在得到网关传来的数据后，在数据内插入恶意代码等，当不知情的被欺骗主机接受了数据，主机系统一旦执行了恶意代码的内容，直接对用户计算机安全造成破坏.

3 对ARP病毒的检测及其防范

3.1 对ARP病毒的检测

通过阅读参考资料，结合ARP病毒的攻击原理，对ARP病毒的检测总结为以下3种方法:

(1)检测本地计算机是否中了ARP木马病毒.通过“任务管理器”，选择“进程”，查看是否有一个名为“MIR0.dat”的进程.如果有，则说明已经中毒.右键点击此进程后选择“结束进程”;

(2)通过网关检测是否中毒.登陆局域网的上联三层交换机查看其ARP缓存表，在网关的ARP表中是否有错误的MAC记录.如果检查ARP表时，发现有多个IP同时指向一个MAC地址，并且这个MAC地址不是本地网关的，那么，此MAC地址对应的主机就是ARP病毒源;

(3)使用抓包工具进行抓报，选择校园网内的任意一台计算机进行抓包，通过抓包发现如果某个IP在不断的发送ARP请求包，那么这台计算机很可能感染了ARP病毒源.

3.2 针对ARP病毒攻击的防范策略

在了解了APR病毒的攻击原理和攻击方式后，针对ARP病毒攻击进行防范最简单的策略就是记录自己常用网关及其他访问服务器的IP地址和MAC地址，如果发现遭受ARP欺骗攻击之后，只需要用ARP–a查看IP地址与MAC地址是否和原先记录的一致，如果不一致，将它改成原先记录的，就可以避免ARP欺骗攻击了.通过查阅资料和结合校园网的具体情况，归纳总结了针对ARP病毒攻击的防范策略主要包含以下的5个方面:

(1)设置路由与交换机

目前，多数新型号的路由交换机都支持APR入侵检测功能，如TP－Link，H3C的$3600.对路由的设置主要包含两个方面的内容:

图9—图12为区间右线施工时桩侧摩阻力及桩身轴力变化图。右侧隧道开挖时，同样在隧道中心线上下一定范围内的土体由于开挖卸载的影响，桩侧摩阻力会有局部下降，而在隧道下部由于土体卸载回弹的影响，桩侧摩阻力有少量的增大，但数值均较小。由于左侧隧道和右侧隧道开挖对1#墩都有一定的影响，因此，右线隧道掘进时1#墩桩侧摩阻力减小最大值达到约-1.6 kPa左右，而下部增大最大值为0.6 kPa左右。与左线隧道掘进时类似，桩身轴力变化不大，开挖会引起桩身轴力有所增加，变化趋势为先增大后减小，在桩长25 m左右最大，为80 kN。

a.启用ARP绑定，提前把局域网内的IP地址和MAC地址绑定，当通过路由的数据包进入内网时，查找DHCP Snooping表是否和ARP报文中的源MAC地址、源IP地址一致，如果一致，则认为该报文是合法的ARP报文，进行转发;否则认为是非法的ARP报文，直接丢弃.

b.对ARP报文进行速度限制，开启端口的ARP报文限速功能，对每秒内该端口接收的ARP报文数量进行统计，检测ARP报文的发送频率，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态.此时需要关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击.同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态;

(2)安装ARP防火墙

在计算机与外网连接之间或个人计算机终端需要安装ARP防火墙.在计算机终端目前的杀毒软件都自带了ARP防火墙，如瑞星、360安全卫士等.我们平时需要更新病毒库，并且定期对计算机进行病毒扫描.一旦发现ARP病毒攻击，在检测到病毒源机器后对该机器进行杀毒或重做系统操作，这样可以有效地阻断ARP病毒继续对局域网中的其他机器进行攻击;

(3)个人用户计算机绑定网关

在每台电脑进入DOS，输入ARP－s网关IP网关MAC地址，回车后即完成了绑定.但是这个操作必须在每次系统启动时进行，很麻烦.我们可以把此命令做成一个批处理文件，放在系统的启动里，批处理文件如下:

ARP－d

ARP － s 192.168.1.1 14－e6－e4－88－2d－04

但是通过批处理之后的计算机每一次开机之后需要重新绑定;

(4)采用VLAN技术隔离端口

校园网的网络管理员可根据实际需要设计网络拓扑结构，具体规划出若干个VLAN，当管理员发现有非法用户在恶意利用ARP欺骗攻击网络，或者因合法用户受病毒ARP病毒感染而影响网络时，网络管理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN，将该用户与其它用户进行物理隔离，以避免对其它用户的影响.当然，也可以利用将交换机端口Disable来屏蔽该用户对网络造成影响，从而达到安全防范的目的;

(5)用户的安全意识

在终端用户方面除了安装ARP木马防火墙之外，用户的网络安全意识也很重要，如需要注意加强密码管理(如用户的QQ、银行卡、游戏账号等)、关闭不需要的安全服务项(如网络共享等)、对u盘移动硬盘等存储设备连接电脑加强管理等方面来避免感染ARP病毒.

4 结语

由于ARP协议本身具有致命的缺陷，它不具备任何的认证机制，校园网的ARP欺骗是不能从根本上根除的.因此，我们只有清楚的了解局域网信息交互和ARP欺骗攻击的原理，才能有效地检测和防御响应的欺骗攻击.本文在分析了欺骗攻击的原理基础上，结合参阅的相关文献资料，提出了一个较全面的检测方案和防范策略.这些防范策略有助于解决校园网ARP欺骗攻击，但不是最根本的方法，最根本的方法应该是改进或扩展ARP协议，甚至是重新设计一种安全的地址解析协议，从根本上增强ARP协议的安全性，这将是以后防御ARP欺骗研究的重点.

［1］孙 博.针对校园网ARP病毒攻击的分析及防范［J］.长春教育学院学报，2012(2):137－138.

［2］梁 菊.浅谈校园网ARP病毒的攻击与防范［J］.硅谷，2011(2):5.

［3］于 宙.局域网络环境下ARP欺骗攻击及安全防范策略［J］.南钢科技与管理，2008(4):8－9.

［4］马丽君.基于校园网ARP欺骗分析及防御技术［J］.数字技术与应用，2012(2):216－217.