公共图书馆ARP欺骗分析与防范

摘要：“快捷、高效、海量信息、交互式服务”的网络给图书馆的发展提供了良好的契机。本文介绍了ARP协议，对利用ARP协议漏洞进行网络攻击的常见方式作了分析，从ARP原理出发，根据ARP病毒攻击原理， 结合公共图书馆电子阅览室管理实践，分析了常见的ARP地址欺骗攻击的表现形式、主要危害，提出了实际可操作的、比较完善的解决方案。

关键词：局域网 MAC地址 ARP地址欺骗

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2015）04-0173-02

随着网络的快速普及和数字资源的海量增长，信息网络传播已成为图书馆信息服务的主流模式，一般的公共图书馆都是由几个局域网组成，例如：电子阅览室、互联网体验区、办公用网及一些专网组成。“快捷、高效、海量信息、交互式服务”的网络给图书馆的发展提供了良好的契机，但是网络安全问题却成了图书馆网络化发展的绊脚石。现就我馆最近发生的ARP攻击问题提出个人见解和防范措施。

1 局域网ARP攻击的原理

1.1 ARP协议运行原理

ARP地址解析协议是一个基于链路层的网络协议，负责将某个IP地址解析成对应的MAC地址。协议运行在OSI模型的第二层，在该层和硬件设备接口间进行数据交换，由于处在第二层的以太网交换设备并不能有效识别局域网内的IP地址，因此IP地址与局域网终端设备的MAC地址之间就必须存在一条可以进行数据交换的“通道”，ARP协议就是用来维持这个“通道”畅通的物质。ARP协议进行数据交换时，它首先请求主机发送出一条含有本机希望访问的终端设备的IP地址数据条目，而后根据终端设备回复的一条含有IP和MAC地址相对应的数据包来回复局域网主机，这样局域网内的主机就获得了需要数据交换设备的IP地址对应的MAC地址，与此同时局域网内的主机将这个IP―MAC地址相对应的数据放入自己的ARP表缓存起来，以节约ARP通信信道占用率，提高数据交换效率。局域网内主机都拥有一个ARP缓存池，这个缓存池存放了自主机启动以来所有的本局域网内终端设备的IP地址与MAC地址之间的映射记录。主机每隔一定的时间或者当收到终端设备ARP应答，都会用最新采集到的IP―MAC地址对应信息来对ARP缓存池进行数据更新。ARP协议就是通过目标设备的IP地址，查询该设备的MAC地址，以保证局域网内设备间的数据通信的畅通。ARP地址欺骗就是通过伪造IP地址和MAC地址之间的对应关系，制作虚假的数据信息并在局域网内产生大量的ARP通信量，占用大量网络资源，造成网络阻塞，从而影响网络的安全。

1.2 ARP协议自身存在的弊端

ARP协议是一个高效的数据链路层协议，作为一个局域网协议它自身也存在着弊端，由于协议的基础是建立在各主机之间的相互信任，且其本身不具备认证功能，换句话说就是本局域网内终端设备的IP地址与MAC地址之间的映射记录必须是真实有效的， 然而ARP缓存池所接收到的ARP协议包是不定期进行数据更新的，局域网内任意一台主机即使在没有ARP请求下也可以做出应答，只要接收到的协议包是完整有效的，局域网内的主机就会根据最新采集到的IP―MAC地址对应信息来对ARP缓存池进行存储数据更新。这一过程中主机并不检验这条协议包的真实性。这样局域网内的攻击者就可以随时上传虚假的地址映射信息来进行网络攻击了。

1.3 ARP协议攻击方式

常见的局域网ARP攻击方式有两种：断网服务和ARP地址欺骗。

1.3.1 断网服务

断网服务攻击是通过外部网络向局域网内路由主机提供大量的虚假ARP协议数据包，这些虚假的ARP协议数据包所含的IP―MAC地址对应信息来都是错误的，从而导致通信失败，并大量占用网络带宽资源，使得整个图书馆局域网性能显著下降或网络瘫痪，

1.3.2 ARP地址欺骗

ARP地址欺骗技术在现如今的以太网中，并没有对报文信息进行真实性校验，ARP协议包数据也不例外，图书馆内的主服务器也无法识别出伪造的ARP协议数据包，当不段的有新的IP―MAC地址对应信息来对ARP缓存池进行存储数据更新的时候，局域网主机就处于被动接收协议状态，不会主动地发出ARP地址协议的请求。ARP地址欺骗的核心就是修改每个局域网系统ARP缓冲池中缓存的MAC地址与IP地址映射表数据。最终ARP地址欺骗攻击的重要手段就是是发送错误的ARP广播数据消息给局域网主机或者路由器，这些错误的ARP协议信息诱骗本地局域网或路由器转发到不正确的交换端口，这样就造成了局域网的故障，其中大部分的木马或病毒使用ARP地址欺骗攻击也是为了达到这个目的，这种现象主要发生在图书馆局域网中的电子阅览室和办公网络内，我们需要严加防范。

2 ARP攻击现象及处理方法

2.1 ARP攻击具体现象

公共图书馆一般都由几组局域网，几百台计算机组成。有一次办公室计算机突然出现IP地址冲突提示，而且点击“确定”之后更改新的IP地址重启后又再出现同样的对话框内容，局域网连接出现时断时续并且网速较慢等现象，重启后恢复正常，但是10分钟左右又重复出现问题。所有和办公室同处在一个局域网网段的计算机都发生了这一故障。通过运行相关的软件分析数据包内容，发现该局域网中有大量的ARP协议数据包在不断的发送，发送量远远超过正常水平，启动ARP专用检测工具发现有几台计算机的网卡处于混杂模式（prorruscuoas），显示被ARP病毒感染。

2.2 ARP病毒的处理

首先我们要在局域网中运行一些ARP病毒检测工具来查找到病毒主机，列如：“360安全卫士”下的ARP检测工具：ARP Checker 此检测工具可以对近期流行的局域网ARP地址欺骗病毒进行有效的定位，快速查找到病毒主机。也可以使用ARP专用检测工具通过主动定位方式进行查找，处于ARP攻击源的终端设备网卡会处于混杂模式，可以通过ARPKiler专用工具扫描局域网内的每台计算机的网卡是否处于混杂模式来判断这台设备是不是 “伪主机”。找到受病毒感染设备后要断开染毒设备的网络连接，运行ARP专杀工具来进行病毒的查杀，或者重新更新这台设备的操作系统，运行相关的杀毒软件和ARP检测工具软件，确认病毒完全处理完毕，才可以恢复网络连接。

3 ARP地址欺骗攻击的防范措施

ARP 地址欺骗是利用了网络协议固有的设计缺陷进行攻击的，因此防御这类病毒比较困难。如果我们对网络协议进行较大的修改就会破坏它与局域网内TCP/IP协议的兼容性，造成局域网连接状态的不稳定。ARP 地址欺骗类的病毒还是很容易复发，一般我们在查杀病毒后的一周左右还会有病毒出现，这样就给在图书馆内学习的读者和我们的工作人员带来了很大的困扰。ARP欺骗类病毒之所以会反复发作，其中最重要的因素就是这类病毒广泛存在于互联网中，它们通过微软的系统漏洞进入系统里面，如果局域网内的设备没有打好系统补丁，就很容易再次受到病毒攻击，只要做好下面几个安全防范措施，就可以有效的防范ARP欺骗类病毒的攻击了。

（1）在图书馆的各组局域网内做好设备的IP-MAC地址的绑定工作（即将系统分配的IP地址与终端设备网卡的MAC地址绑定），同时在核心交换机设备和客户端都要绑定，这样就可以使各组局域网免受ARP病毒的攻击了。（2）使用相对比较安全的网络拓扑结构。及将整改图书馆网络分为不同的网络段，在通过核心交换设备连接，每一个网段仅由能互相信任的计算机或职能相近的计算机组成。这样每个网段的ARP请求只能在一个网段里传送，这在一定程度上增加了ARP地址欺骗攻击的复杂程度，笔者目前就采取了这种方法。（3）提高安全意识，养成良好的安全习惯， 全网所有电脑都打齐系统补丁并且禁用系统默认的的自动播放功能，防止病毒从移动硬盘、U盘等移动存储设备进人计算机。发现染毒计算机后对该机器进行深度处理，进行全盘杀毒或重新安装操作系统，每台设备都安装杀毒软件并保持更新到最新版本，部署具有全网监控功能的杀毒软件或者硬件监控设备。

4 结语

ARP地址欺骗类病毒是公共图书馆网络中比较常见的一类病毒。由于ARP地址欺骗病毒发生在公共图书馆局域网内部，图书馆内的计算机组成也很复杂，使用计算机的人群也不固定，这样就很容易被管理人员误判为网络主干设备、网线、光转设备等工作不稳定，增加了我们技术人员的工作量。通过上述的防范措施，我们馆目前已基本遏制了ARP病毒的功击。但是随着ARP病毒变种的增多，我们必须提高重视这个问题，在日常的工作中，应该随时警惕ARP攻击，以减少受到的危害，确保图书馆网络的安全，提高工作效率，更好的为广大读者服务。