ARP技术浅析

张广瑞

[摘 要] 随着信息技术的飞速发展，ARP攻击逐渐成为威胁计算机网络安全的“凶手”之一，它常常伪造MAC地址，对计算机网络加以侵害，使单位或个人遭受巨大经济损失。为保障计算机网络的安全、稳定、高效，我们要对ARP攻击进行技术上的防范；要保证技术防范措施的科学、合理、有效，就要对ARP攻击本身有系统详细的了解。

[关键词] ARP协议；工作原理；漏洞分析；防范

[中图分类号] TP393.0 [文献标识码] A [文章编号] 1673 - 0194（2014）19- 0050- 02

1 ARP协议简介

1.1 ARP协议

地址解析协议（Address Resolution Protocol，ARP）是工作在OSI模型数据链路层中的一个协议。在本层与硬件接口联系，同时对上层提供服务。主要工作是将网络层地址解析为数据链路层的物理地址。

在以太网中，数据包被发送之前，首先要进行数据包拆分、封装，将数据包转换成比特流，最后通过物理层设备进行传输。数据包到达目标设备或主机后再执行与发送方相反的过程，即把比特流转变成帧，解封装。如果发送方与接收方处于同一个网络中，则下一跳的MAC地址就是目标的MAC地址；如果发送方和接收方不在同一个网络内，则下一跳的MAC地址就是网关的MAC地址。通过这个过程我们不难发现，在以太网中数据的传输仅知道目标的IP地址是不够的，还需要知道下一跳的MAC地址，这个在网络通讯中至关重要的地址转换或者说地址解析就是由ARP协议来完成的。

1.2 ARP工作原理

以主机A（10.70.1.2）向主机B（10.70.1.3）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标的MAC地址，直接把目标的MAC地址写入帧里面发送就可以了；如果在ARP缓存表里面没有目标的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“ff-ff-ff-ff-ff-ff”，这表示向同一网段的所有主机发出这样的询问：“10.70.1.3的MAC地址是什么呀？”网络上的其他主机并不回应这一询问，只有主机B接收到这个帧时才向A作出回应：“10.70.1.3的MAC地址是03-03-03-03-03-03”这样，主机A就知道了主机B的MAC地址，就可以向主机B发送信息了。同时，它还更新了自己的ARP缓存表，下次再向B发送数据时，直接在ARP缓存表中找就可以了。

2 ARP欺骗分析

2.1 ARP欺骗原理

局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一一对应。但是ARP协议的实现机制中存在缺陷，它是没有身份验证机制的。当主机收到一个ARP的应答包后，不论是否正确，都会直接把原有的ARP缓存表里的相应信息以应答包里的MAC-IP替换掉。

2.2 ARP欺骗的方式

ARP欺骗主要包括以下3种方式：

（1）中间人欺骗攻击，攻击者将自己的主机插入两个目标主机通信路径之间，使他的主机如同两个目标主机通信路径上的一个中继，这样攻击者就可以监听两个目标主机之间的通信，甚至篡改通信的内容。

（2）拒绝服务式欺骗攻击，就是使主机不能响应外界请求，从而不能对外提供服务的攻击方法。如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址，会使目标主机向外发送的所有以太网数据帧丢失，这样上层应用忙于处理这种异常而无法响应外来请求，导致目标主机产生拒绝服务。

（3）克隆欺骗攻击，攻击者首先对目标主机实施拒绝服务攻击，使其不能对外界作出任何反应。然后发动攻击就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址，这样攻击者的主机变成了与目标主机一样的“克隆”。

2.3 ARP欺骗的危害

ARP欺骗可以造成内部网络的混乱，只要感染一台电脑，就可能导致整个网络通讯中断，严重的甚至可能导致整个网络瘫痪。网内某台机器感染ARP病毒后，会出现频繁断网，找不到网关服务器，IE浏览器频繁出错，以及一些常用软件出现故障等现象；ARP病毒还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号进行非法交易活动等。

2.4 ARP欺骗的防范措施

（1）静态IP地址与MAC地址绑定，在网内把主机和网关都做IP和MAC绑定。ARP欺骗通过ARP的动态实时的规则欺骗内网机器，所以可以将主机IP地址设为静态地址，并进行绑定。在网关也进行IP和MAC的静态绑定，只有采取双向绑定才比较保险。

（2）采用划分VLAN技术，通过细化VLAN来抑制ARP请求包的广播域。如果某一主机要发送ARP请求包，只有同一VLAN段的主机才能收到该请求包，这种方法可以有效限制ARP欺骗攻击的范围。

（3）使用防护软件，常见的是ARP防火墙，它通常在路由器中将IP-MAC地址进行绑定，或者利用NAT（地址转换协议）重新指定网络中主机互相找到对方的方式。ARP防火墙通常也具有网关的ARP广播机制，它以一定的频次，向内网公布正确的网关地址，能在一定程度上维持网络的运行，避免灾难性后果，赢取系统修复的时间。

（4）使用ARP服务器，在局域网中，指定一台计算机作为专门的ARP服务器，可信范围内所有主机的IP与MAC地址映射记录都在ARP服务器上进行保存和记录，使所有主机的ARP配置只能接受来自服务器的ARP响应。当有ARP请求时，该服务器通过查阅自己缓存的静态记录核对目标主机的MAC地址是否正确，并以被查询主机的名义响应ARP局域网内部的请求，从而防止ARP欺骗攻击的发生。

3 结束语

随着网络技术的升级，对于ARP攻击的预防与维护手段也将逐步升级，但对于病毒的传播与变异也提供了相当好的发展平台。我们不能只依靠单一的技术手段来预防和维护，只有在不同的环境中运用不同的技术才能将病毒的危害降到最低，这样才能有效预防病毒的传播。

主要参考文献

[1]王奇.以太网中ARP欺骗原理与解决办法[J].网络安全技术与应用，2007（2）.

[2]吴蓓. 浅论ARP攻击的原理与防范方式[J]. 科协论坛：下半月，2010（9）.

[3]杨静. 通过自助双向绑定方案实现ARP攻击防御的研究[J]. 电脑知识与技术，2010，6（35）.

[4]阮清强. ARP检测与定位方法研究[J].信息网络安全，2010（4）.