基于计算机网络安全防arp攻击的研究

郑学夫

摘 要：本文介绍了ARP原理，ARP欺骗过程，ARP的常见几种攻击分类，通过终端用户防护和DHCP监控的方法，对ARP攻击的防范策略。

关键词：ARP原理；ARP欺骗过程；ARP攻击

1 ARP原理

ARP（AddressResolutionProtocol）是地址解析协议，简单来说是将osi参考模型中的第三层网络层的ip地址和第二层数据链路层的MAC地址的一种对应。ARP提供了一种基于此的动态映射。在数据通信的过程当中，搜索到目标计算机的MAC地址，封装成帧。实现了计算机在一个局域网中的互相通信。为了更快捷的找到ip地址和MAC地址的映射，在用户和路由器以及服务器上都有相应的ARP缓存表。在缓存表中存放了最新学习到的地址映射记录。ARP机制会自动删除规定时间之外记录，因此确保了ARP缓存表准确性，缩短了ARP缓存表的长度，加快了查询的速度。

1.1 ARP欺骗过程

用一个例子，说明arp的欺骗过程，我们假设在一个局域网中用3台计算机连接到一台交换机下面，其中一个取名为A，是arp的攻击者；一个取名为B，是发送数据的主机；另一个取名为C，是接收数据的主机。三台电脑的ip分别为192.168.1.10；192.168.1.20；192.168.1.30。MAC地址分别为MAC-A，MAC-B，MAC-C。现在，B要向C发送数据了，B首先查询自己的ARP缓存表，查看是否有192.168.0.4对应的MAC地址，若有，直接将MAC地址封装。若B不知道C的MAC地址。B发送广播包，告诉全网我的ip地址和MAC地址，谁的ip地址为192.168.1.30。这时全网的电脑都收到了B发送的广播包，只有C回应，告诉B电脑，我就是你要找的ip，我的MAC地址是MAC-C。C单独给B的回应。那么B知道C的MAC地址，可以向C发送数据了。它会动态更新自己的ARP缓存表。同时C也会更新自己的ARP缓存表。如果在B发送广播包的时候，A也给B电脑一个回应，告诉B我的ip地址为192.168.1.30，我的MAC地址为MAC-A。A假称自己的ip地址为C的ip地址。A不停的应答，造成了B重新更新了自己的ARP缓存表。写入错误记录。也就是ARP缓存表中毒。致使了凡是发送给C的数据都被A主机劫持。这就是所谓的ARP欺骗。

2 ARP攻击分类

⑴伪装网关。ARP攻击者发送错误网关IP地址和MAC地址对应给被攻击者。造成终端用户学习到错误的网关地址。用户不能访问网关，流量被攻击者截取，最终造成用户不能访问外网。⑵欺骗网关。ARP攻击者发送虚假ARP报文给网关，造成网关更新了非法用户的MAC地址和ip地址对应。网关要传送的全部数据都发送到ARP攻击方。最终造成用户无法正常访问外网。⑶欺骗用户。ARP攻击者伪造虚假的ARP报文发送给用户或者服务器，如果是用户，造成用户更新了错误的MAC和IP地址对应，导致用户之间无法正常访问。如果是服务器，造成了用户在访问服务器时，流量都转到了ARP攻击方。导致无法访问服务器。⑷泛洪攻击。ARP攻击者发送海量的伪造ARP报文在局域网中广播，从而ARP表被耗尽。用户再也无法学习新的ARP报文。这是将资源占满耗尽的泛洪攻击手段，导致合法用户无法访问外网。

3 ARP攻击常见应对方法

对ARP攻击原理的分析，我们发现ARP攻击防范的方法：如何获取合法用户和网关的IP地址和MAC地址的对应关系，利用这个合法的对应关系，对ARP报文进行检查，并且过滤掉不合法的ARP报文。

3.1 认证方式

3.1.1 总体思路

通过使用用户认证机制来获取在线用户的IP地址和MAC地址对应关系，并且使用认证的方法确认谁是合法的用户。通过这样的机制解决难以获取的合法用户IP地址和MAC地址对应关系。同时我们事先在认证服务器上配置网关的合法IP地址和MAC地址对应关系。由此，可对局域网中进行着的虚假ARP报文过滤掉。能够防范ARP的攻击行为。

3.1.2 终端用户防护

用户的802.1X认证过程中，使用CAMS服务器（认证服务器）将IP地址和MAC地址映射到iNode客户端，客户端在用户终端匹配出网关的正确IP地址和MAC地址映射关系，并且在用户终端形成了静态的ARP绑定，这样能够有效防范伪装网关的ARP攻击。

3.2 使用DHCP监控

3.2.1 总体思路

交换机监控用户的动态获取IP地址的过程，并且将IP地址和MAC地址的对应关系绑定在交换机上。利用交换机滤掉所有不能匹配所绑定的IP地址和MAC地址关系的ARP报文，以此来阻止用户终端主机发送的ARP欺骗报文。使用这种方法防御全部的ARP攻击类型。

3.2.2 相关技术

为了防范中间人攻击，所谓中间人攻击是指在局域网中对一台或者多台主机的数据包的攻击。攻击者处于正常用户终端中间，可以对数据包进行捕获、篡改、转发。进而做出相应隐蔽性强，危害高的非法攻击。基于此的防范，我们引入ARP入侵检测的方式。接入的交换机能够对经过的所有ARP报文进行判断，查看其是不是合法的。交换机可以采用动态获取（DHCP方式）或者进行静态配置合法的IP地址和MAC地址的对应关系。这样通过比对数据报的源IP地址和MAC地址的对应关系，来确定终端用户的合法性。实现对非法ARP报文的屏蔽，阻止所有ARP的欺骗攻击。

[参考文献]

[1]谢希仁.计算机网络（第5版）[M].北京：电子工业出版社，2008.

[2]吴青.局域网ARP攻击与防范[J].办公自动化杂志，2006（8）：25～27

[3]梁柱森.图书馆局域网内ARP病毒的分析与防止[J]2008.

[4]刘衍斌，王岳斌，陈岗.基于ARP欺骗的中间人攻击的检测与防范[J].微计算机信息.2012（08）.