ARP欺骗防范初探

摘要：由于设计缺陷，ARP协议在使用过程中会出现IP地址盗用和ARP欺骗等安全问题。ARP协议欺骗是网络欺骗行为之一，攻击者可以利用ARP协议的特点重定向一个以太网段上的IP数据报以取得目标主机的信任。文章分析了ARP攻击的基本原理，并提出相关的防范ARP攻击的解决方案。

关键词：ARP欺骗；网络协议；网络安全；ARP协议

0　引言

ARP欺骗病毒及其各种变种直接影响到局域网络的正常运行。病毒发作时明显的症状就是同一个子网中的计算机BRAS(Brobbed Remote Access Server)导致网络内其它电脑因网关物理地址被更改而无法上网，被欺骗电脑的典型症状是刚开机能上网，几分钟之后断网，过一会又能上网，或者重启一遍电脑就可以上网，如此不断重复，造成上网的不稳定，影响正常工作。笔者就ARP欺骗的原理及危害作―介绍。

1　欺骗的原理

ARP协议的―个基本内容是利用目标设备的IP地址，查出目标设备的MAC地址，以保证通信的顺利进行。在局域网中，实际传输的是“帧”，帧中包含有目标主机的MAC地址。主机与主机进行直接通信，必须要知道目标主机的MAC地址。这个MAC地址是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。将IP地址转换为第二层物理地址(即MAC地址)，在局域网中，是按ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够使网络阻塞或者实现ARP重定向和嗅探攻击。

用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击过程如下：每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。在每台安装有TCP/IP协议的电脑里都有―个ARP缓存表，表里的IP地址与MAC地址是一一对应的。我们以主机A(219．230．193．5)向主机B(202．195．66．67)发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，这表示向同一网段内的所有主机发出这样的询问：“202．195．66．67的MAC地址是什么?”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“202．195．66．67的MAC地址是00-44-62-12-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它．还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在―段时间内如果：表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。MS Windows高速缓存中的每一条