浅谈ARP 攻击原理及防范措施

摘要：ARP攻击不仅攻击PC机，还攻击路由器、交换机等各种网络设备，传播和危害范围很广。ARP攻击既可能造成网络内出现随机断线，也可能造成整个网络瘫痪， 还可能造成通信被窃听、信息被篡改等各种严重后果。通过静态绑定，软件法，路由器法等方法，可以有效的防范ARP攻击。

关键词： ARP；网络；攻击；原理；防范

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）18-4188-02

随着互联网科技的飞速发展，网络安全问题显得越来越重要，特别是在办公网络和学校的校园网络中，经常会由于ARPP攻击而造成大面积的电脑无法上网甚至网络瘫痪的情况时有发生，这不仅影响人们的正常工作和学习，还有可能会影响到个人信息的安全。现通过分析ARP协议及攻击的原理，提出防范ARP网络攻击的对策。

1 ARP协议及工作原理

ARP协议也就是地址解析协议，是一个位于TCP/IP协议栈中的底层协议，对应于OSI七层体系结构之中的数据链路层，在局域网中，该协议的作用是将IP地址转换为与之对应的物理地址即MAC地址。在网络中尤其是局域网中，ARP协议对网络的安全运行起着非常重要的作用。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

在局域网中，网络中实际传输的数据是“帧”，帧里面包含有目标主机的MAC地址的。在以太网中，如果一个主机要和另一个主机进行直接通信，就必须要知道目标主机的MAC地址。为了获得目标主机的MAC地址，就要通过使用地址解析协议。地址解析的主要功能就是在主机发送帧前将目标IP地址转换成目标MAC地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证网络中数据通信的正常进行。

2 ARP攻击的原理分析

ARP实现欺骗攻击的主要手段是伪造IP地址和MAC地址，从而在网络中产生大量的ARP通信量，使得网络变得拥堵不堪。攻击者通过不断的发送伪造的ARP响应包，就能够修改目标主机ARP缓存中的IP-MAC表，造成网络的中断或者是中间人攻击。

每台主机中都有一个用于记录IP地址和MAC地址对应关系的ARP缓存表，在局域网中，数据的传输主要是利用MAC地址实现。假设当前有主机 A 192.168.1.2，B 192.168.1.3，C 192.168.1.4和网关 G 192.168.1.1；在同一局域网内，主机A和B通过网关G相互通信，就好比A和B两个人写信，由邮递员G送信，C永远都不会知道A和B之间说了些什么话。但是并不是想象中的那么安全，在ARP缓存表机制存在一个缺陷，就是当请求主机收到ARP应答包后，不会去验证自己是否向对方主机发送过ARP请求包，就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中，如果原有相同IP对应关系，原有的则会被替换。这样C就有了偷听A和B的谈话的可能。

一旦局域网中某台主机遭受ARP欺骗攻击并执行木马程序后，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。原本可能通过路由器上网的主机，现成也必须经由病毒主机才能上网，在这个切换过程中，会断网一次。

切换到经病毒主机上网之后，如果用户已经登陆了服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断网一次。

3 ARP攻击的危害

ARP的攻击问题的影响很大，其危害主要表现为以下几个方面：

3.1影响局域网正常运行

局域网内一旦有ARP欺骗攻击的存在，可能会欺骗局域网内所有主机和网关，导致用户不能上网，或者所有上网的流量都必须经过攻击者控制的主机。其他用户本来是直接通过网关上网的，现在要由攻击者控制的主机上网，由于被控主机的性能影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢或者时断时续甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞甚至大面积断网情况的发生。

3.2 攻击手段变化多样，破坏力强

ARP 作为可信任协议，在设计上是有一定缺陷的，黑客可以最大化的利用ARP协议缺陷进行欺骗攻击，将它与其他攻击方法组合运用于多种攻击，如：侦听、拒绝服务、挂载病毒等，使得网络内大面积账号丢失和数据失密等等，以窃取用户机密信息、传播病毒、破坏路由、暴力广告等攻击目。

3.3 攻击范围广，攻击快速隐蔽

由于ARP欺骗攻击不需要攻占具体主机，在不获得目标主机的权限的条件下，只要在局域网的中任意一点安放一台“肉机”，不需要改动任何目标主机的配置，在极短的时间内，能够造成约300台规模的电脑掉线。在攻击完成后，立即停止攻击并更正ARP信息。如果网内没有日志功能，再去通过ARP命令观察，已经很难发现攻击痕迹。

4 ARP攻击的防范措施

对于ARP攻击不能坐以待毙，必须积极预防，同时要提高网络安全意识。单个主机要安装防病毒软件并且及时将病毒库升级到最新版本、及时下载安装操作系统补丁程序、关闭一些不使用的服务、使用个人防火墙等。另外，不要接收、打开或运行陌生可疑文件，不访问有安全隐患的不良网站。除了这些防范一般性病毒和攻击的措施之外，针对ARP攻击，还需要考虑以下措施。

4.1 静态绑定ARP

静态绑定是指通过使用ARP命令，将IP和MAC的静态绑定，其具体操作步骤是：1）打开Windows附件中自带的“命令提示符窗口”； 2）在命令窗口中输入命令：ipconfig/all，获得本机的IP地址和MAC地址等详细信息；3）继续输入命令arp -d ，将ARP缓存表中的内容清空；4）输入命令arp -s 192.168.1.1 00-21-00-10-22-aa，向ARP缓存表中添加一下静态网关的MAC地址；5）输入命令arp –a，如果执行结果显示为Internet Address Physical Address Type192.168.1.1 00-21-00-10-22-aa static，则表明绑定成功了。实际操作时，可将上述IP地址和MAC地址更改为实际的IP地址和MAC地址即可。

静态绑定后，可以通过ipconfig interface arp完全禁止ARP，这样网卡不会发送ARP和接受ARP包。另外，还可以将上述命令编辑保存为批处理文件，加入开机启动项中。

4.2 双向绑定法

双向绑定是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。但是在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP–d命令，就可以使静态绑定完全失效。另外，在路由器上做IP-MAC表的绑定工作，也是一项比较繁琐的维护工作。换个网卡或更换IP，都需要重新配置路由。所以，双向绑定只能是防范ARP攻击的基本措施，但管理麻烦，防范效果有限。

4.3 路由器绑定法

这种方法就是使用具有ARP防护功能的路由器，其原理是定期发送自己正确的ARP信息，以维持网络稳定运行。另外还可以在路由器中绑定主机 IP/MAC 地址，启用路由器自带的防止 ARP 欺骗攻击功能和在 WEB 配置界面中启用 ARP 绑定的功能，以在确认路由器动态 ARP 表完整无误，或人工添加局域网所有主机 IP/MAC 地址后，进行绑定和保存为静态表。

除上述方法之外，安装ARP个人防火墙软件，以及定期检查和轮询ARP缓存，检查ARP响应的真实性也是必不可少的预防措施。

5 结束语

网络安全问题我们的日常工作和学习中已经越来越重要了，病毒和网络攻击几乎无处不在，该文通过对ARP攻击的原理及危害入手，提出了预防措施，但只靠技术手段是不够的，更多的还是要加强网络安全防范意识，才能尽可能的保证网络安全。

参考文献：

[1] 甘刚.网络攻击与防御[M].北京：清华大学出版社，2008.

[2] 陈芬，张永志，沈吉锋.ARP病毒攻击浅析[J].电脑学习.2010，4.

[3] 邹星.试谈局域网ARP攻击及其防御[J].科技信息：学术研究，2008（23）.

[4] 邓英豪，王以刚.以太网中基于ARP协议的欺骗及其防护[J].网络安全技术与应用， 2008（9）.