ARP欺骗在局域网中的分析及防御探究

黄元培

（国家新闻出版广电总局九一六台，青海 格尔木 816099）

ARP欺骗在局域网中的分析及防御探究

黄元培

（国家新闻出版广电总局九一六台，青海 格尔木 816099）

ARP欺骗是局域网中比较常见的一种攻击方法，对于计算机的安全十分不利。本文主要围绕着ARP欺骗展开了讨论，先是分析了ARP欺骗的攻击方式，然后详细分析了如何应对这种攻击，保证局域网数据信息的可靠性和安全性。

ARP欺骗；局域网；防御

随着我国计算机的发展，网络入侵现象日益严重。同时人们在使用计算机时习惯将一些重要资料存放到其中。一旦发生计算机攻击现象，会给人们造成一定的经济损失。而ARP欺骗就是一种黑客比较常用的攻击行为，主要是通过伪装假地址进行数据拦截和伪装。但是ARP欺骗又无法完全禁止。为此，做好ARP欺骗的分析和防御是非常重要的。

1 ARP欺骗和攻击方式

1.1 简单攻击方式

简单的说就是攻击主机伪装成ARP包来欺骗目标主机和局域网中的网关。这样目标主机就会认为这个数据包是安全、合法的。就如同向其他人邮寄信件而写错了地址，以致于发错了地方。这样就会直接造成目标主机的断线。

1.2 中间人攻击

所谓中间人攻击就是在两台主机和多台主机之间安装一台透明主机，当主机之间相互传递信息和数据时，透明主机就会将这些数据信息截获。最重要的是透明主机会与原始主机建立连接，并使得攻击变得隐蔽。这种攻击手段很难发现。

1.3 基于ARP的DOS攻击

DOS攻击，即拒绝服务攻击。其主要作用是能够让被攻击的主机拒绝用户访问，从而造成主机系统崩溃。在这个过程中，攻击主机会利用ARP欺骗工具，不断向被攻击主机发送大量的攻击请求，这时被攻击主机就会因为自身系统服务功能的限制和ARP欺骗，无法找到对方主机。显然，ARP欺骗起到了主要的隐藏作用。

2 防御方法

2.1 静态ARP表绑定

在使用局域无线网之时，计算机使用者可以固定IP避免地址冲突。但是同时IP的随意修改容易造成计算机安全问题。通常在路由器会进行局域网IP绑定，但路由器再次被用在另一个局域网之中时，路由器会再次固定IP。在此配置的过程中，路由器会通过ARP协议生成MAC地址以及IP-MAC动态对应表。这样数据数据在传输的过程中就需要通过ARP表检查，通过就进行转发，不通过则拒发。最重要的是还能够保证在非法用户不改变MAC地址的前提下，阻止冒用IP地址跨网段的访问。另外，在进行MAC和IP地址绑定时，用户可以通过直接在路由器设置选项中选择，让路由器自动进行绑定。或者也可以通过DOS命令，输入ARP IP地址 MAC地址，这样也能够绑定IP地址和MAC地址。

比方说：DOS界面下，输入命令【arp -s 192.168.1.200 00-aa-00-62-c6-09】 回车即可。其中192.168.1.200表示IP地址，00-aa-00-62-c6-09表示MAC地址。需要注意的是这种方式死临时性的，在系统重启之后会自动消失。也可以通过“netsh”命令来实现：DOS界面下，输入命令【netsh i i show in】 ，查看本地网卡对应的“Idx”值，接下来会使用到。然后在DOS界面下，输入命令【netsh -c“i i" add ne 18 192.168.1.200 00-aa-00-62-c6-09】，绑定IP与MAC。这种绑定方式即使是在重启系统之后仍然有效。

2.2 使用ARP软件

随着我国计算机技术的发展，很多防毒软件和计算机安全防护软件越来越多。而且很多公司还针对个人、企业制定了相应的防护软件。对于一些电脑小白来说，就可以选择一些软件防止ARP欺骗。

目前给局域网的应用十分广泛，但是有些人为了抢占网速，会使用一些软件来限制别人的网速。对于这些问题可以采取安全防护软件。如ARP防火墙、360和金山卫士的ARP防火墙等。这些软件都可以实现计算机防护。ARP的通病就是掉线，在掉线的基础上可以通过以下几种方式判别，一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限，过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP，使受骗的机器回复正常。此外，打开被骗机器的DOS界面，输入ARP -A命令会看到相关的ARP表，通过看到的网关的MAC地址可以去判别是否出现ARP欺骗，但是由于时限性，这个工作必须在机器回复正常之前完成。如果出现欺骗问题，ARP表里面会出现错误的网关MAC地址，和真实的网关MAC一对黑白立分。

这时个人用户需要注意计算机是否遭受ARP攻击。如可以打开DOS命令，并输入arp-a，如果发现其中存在两个相同的MAC地址，就表明电脑此时遭受了ARP攻击。另外安装了360的用户有时也会显示电脑正在遭受ARP攻击。而如果是服务器用户，可以安装专业的服务器安全软件。总的来说，对于一些企业和个人用户来说，选择ARP防护软件是一种比较合适的防止ARP欺骗方法。

2.3 VLAN和交换机端口绑定

VLAN是指虚拟局域网，虚拟局域网和交换机端口绑定是一种比较常见和常用的防御方法。在虚拟局域网中，用户并不受到物理位置的限制。通常会按照功能类型和应用方式等因素将这些用户组织在一起，保证这些用户之间的相互通信。

将虚拟局域网和交换机端口主要做法是通过细化虚拟局域网，使局域网的范围逐渐变小，而后使ARP的使用范围缩小，这样就不会造成大面积的ARP影响。另外，一些网关交换机能够自动学习MAC地址，在完成学习之后就会自动将MAC地址和端口进行绑定，以避免网络病毒借助ARP攻击篡改计算机。总的来说，虚拟局域网和交换机端口绑定能够有效避免ARP截获数据，保证计算机安全性和可靠性。

2.4 设置ARP服务器

设置ARP服务器主要就是在局域网中制定一台机器将其作为ARP服务器，然后将所有的主机的IP地址和MAC地址映射记录存储在这台机器中，以保证信息的安全。同时，这台服务器还会通过查阅服务器内部的ARP静态缓存记录作为被查询主机响应局域网内容的ARP请求。这样就能够避免ARP欺骗对其它主机的影响。但是需要注意的是随着我国计算机技术的逐渐发展，ARP攻击技术也在不断地发展和完善。为此，个人用户和企业应当中不断采用最新、最先进的防御方法，并不断更新软件。这样才能在ARP攻击不断发展和更新的背景下，保证局域网的安全，真正推进我国网络技术的发展。

3 结语

综上所述，在我国局域无线网不断发展的背景下，应当重视不断加强ARP的防范，保证计算机的安全和可靠。尤其是不断深入研究造成ARP欺骗的原因，提出科学、合理的措施，来真正保证局域网的安全性。

[1] 朱小华.ARP欺骗在局域网中分析与防范[J].网络财富，2010（11）：150-151.

[2] 张丽.局域网中ARP欺骗攻击的防御思路与实现[J]. 数字通信，2013（2）：90-92.

[3] 周兰香.局域网入侵攻击的防范措施[A].中国职协2015年度优秀科研成果获奖论文集（中册）[C]，2015:（16.）

Analysis and defense of ARP deception in local area network

Huang Yuanpei
(State Press and Publication Administration of Radio 916，Golmud 816099, China)

ARP spoofing is a common attack method in the LAN, is unfavorable for the security of the computer. This paper mainly focuses on the ARP spoofing is discussed, first analysis of the ARP spoofing attacks, then a detailed analysis of how to deal with this attack, ensure the safety and reliability of data information of local area network.

ARP deception; local area network; defense

黄元培（1990— ），男，河南南阳人。