Linux系统中ARP欺骗攻击的防范

【摘要】ARP协议导致的安全问题较多，找到ARP问题的根源在于接口输入输出时对包检测的不力，以及接收ARP包的操作对ARP高速缓存的处理存在问题。本文通过ARP包过滤程序的应用，并在虚拟机Linux系统上对程序和用户程序进行了ARP包过滤测试，测试结果显示成功实现了对ARP欺骗帧的防范。

【关键词】ARP欺骗；虚拟机；ARP过滤

网络安全问题一直是网络发展中的突出问题，当前我国信息网络安全事件发生比例为62.7%，计算机病毒感染率下降为85.5%，感染计算机病毒、蠕虫和木马程序的情况依然最为突出，其次是网络攻击、端口扫描、垃圾邮件和网页篡改等安全事件中，攻击或传播源涉及内部人员的达到54%，因此计算机病毒对网络安全的影响仍然很大。

1.ARP病毒欺骗的表现

ARP欺骗技术和黑客技术结合，对网络安全造成了很大的威胁，主要有两种比较明显的表现形式。

1.1 ARP欺骗包

网络连接正常，但有部分或者所有电脑不能上网，无法打开网页或者打开网页速度变慢、局域网连接时断时续、频繁发生IP地址冲突等现象，严重影响网络的正常运行。这种现象主要是由于网络中大量ARP欺骗包的发送，影响了主机和网络的性能。

1.2 ARP病毒

ARP病毒变种较多，会向全网发送伪造的ARP欺骗广播，但病毒把自身伪装成网关，在被害主机与网关之间建立起单向的转发，在用户请求访问的网页添加恶意代码，导致杀毒软件在用户访问任意网站均发出病毒警报，有的用户可能由于杀毒软件更新不及时而导致感染病毒。最明显的就是，所有访问的网站都会出现病毒，页面代码中加了如：

2.ARP包过滤

2.1 ARP包过滤程序流程

ARP包过滤的过程包含了三部分：首先是拒绝伪造包，其次是拒绝本机非目的主机的包，最后是拒绝更改网关。ARP包过滤程序流程见图1。

2.2 ARP包过滤操作

由于ARP包过滤主要是对伪造包的过滤，当伪造包被拒绝后，ARP欺骗就不可能实现，从而基于ARP欺骗的病毒和黑客技术就不会得逞。

ARP包的过滤规则主要是提供本机和网关的IP-MAC映射，这样中间层驱动就可以过滤伪造ARP包，这种过滤相当于增加了输入输出接口中ARP检测的功能，防止了ARP欺骗攻击对网络的欺骗，保护了网络通信的安全。

3.利用虚拟机进行ARP过滤测试

3.1 测试环境搭建

测试采用rh as5版Linux系统，在系统驱动程序齐全的状态下，在内核模式下启动测试操作，所有的保护措施均设置在用户模式下，以防止系统在测试过程中出现进程锁死导致测试失败，因为Linux系统下驱动程序存在设计缺陷，在系统运行中可能导致系统崩溃。另外，ARP欺骗也有可能干扰网络的正常运行，因此利用宿主计算机和虚拟机进行ARP过滤测试。

(1)测试主机的配置

(2)虚拟计算机

4.总结

在整个测试过程中，正常数据包均能顺利通过，而伪造包则被成功地过滤掉，网络通信并没受到过滤驱动程序的阻碍。在用户程序的运行界面中，能显示出过滤驱动程序成功实现了ARP欺骗包的拦截过滤，被攻击计算机的ARP高速缓存没发生溢出、破坏等现象，计算机的网络性能也没有发生明显变化。过滤驱动程序成功实现了ARP数据包的过滤，保护了主机ARP高速缓存的安全，并有效保护了主机不受ARP病毒的侵犯，从而实现了对ARP欺骗攻击的防范。

参考文献

[1]宋晓辉.ARP病毒攻击机理与防御[J].网络安全技术与应用,2006.12.

[2]宋显祖,罗军舟.关于ARP协议应用的几点研究和实现[J].现代计算机,2004.2.

[3]任侠,吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程,2003:(6).

[4]徐丹,黎俊伟,高传善.基于ETHERNET的网络监听以及ARP欺骗[J].计算机应用与软件,2005:22(11).