简述ARP原理与防范

摘 要：本文通过对ARP协议的工作原理的研究，描述在局域网络中ARP欺骗原理和欺骗的方式、方法，并提出防范ARP网络欺骗攻击的方法。

关键词：ARP协议；ARP欺骗；防范

1　引言

在计算机技术高速发展的今天，网络已经成为我们工作生活中不可或缺的部分；然而网络在给我们的工作、生活带来了极大便利的同时，也带来了一系列负面问题。众所周知，计算机一旦与网络互联，几乎都遇到过各式各样的网络攻击，媒体上经常有服务器被黑客入侵或被病毒攻击的报道；网络安全已经受到了日益严重的威胁。

现在局域网中感染ARP病毒的情况日益增多，清理和防范都比较困难，给不少网络管理员造成了很大的困扰。本文在分析当前局域网特点的基础上，旨在找出感染ARP病毒的原因和防范ARP病毒的机制，为局域网的管理提供解决的思路和方法。

2　ARP协议工作原理

ARP(Address Resolution Protocol，地址解析协议)是一个位于OSI参考模型中的数据链路层(DL)协议，负责将网络层(OSI的第三层)IP地址解析为数据链路层(OSI的第二层)的MAC地址。

假设：

计算机A的IP为17225.13.1，MAC地址为00-1E-90-33-46-01；

计算机B的IP为172.25.13.2，MAC地址为00-1E-90-33-46-02；

ARP工作原理如下：

在TCP/IP协议中，A给B发送IP包，在包头中需要填写B的IP为目标地址，但这个IP包在以太网上传输的时候，还需要进行一次以太包的封装，在这个以太包中，目标地址就是B的MAC地址。

计算机A是如何得知B的MAC地址的呢?解决问题的关键就在于ARP协议。

在A不知道B的MAC地址的情况下，A就广播一个ARP请求包，请求包中填有B的IP(172.25.13.2)，以太网中的所有计算机都会接收这个请求，而正常的情况下只有B会给出ARP应答包，包中就填充上了B的MAC地址，并回复给A。A得到ARP应答后，将B的MAC地址放入本机缓存，便于下次使用。本机MAC缓存是有生存期的，生存期结束后，将再次重复上面的过程。

3　ARP欺骗原理

ARP欺骗作为一种典型的欺骗类攻击，包括构造伪造的ARP请求和ARP应答包。攻击主机通过发送伪造的ARP应答来更新目标主机的ARP缓存，从而使自身赢得目标主机的信任。然后再实施有效攻击或非法监听网络数据包，造成目标主机被攻破或机密信息泄漏等一系列灾难性后果。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断地发出伪造的ARP响应包，就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息，并因此造成网内其他计算机的通信故障。

4　防范技术

4．1　基于交换机的端口与MAC地址绑定

机柜交换机进行IP-MAC-交换机端口配对绑定，服务器只能在指定交换机端口使用，防止内部ARP攻击机发送虚假IP地址，虚假MAC地址，伪造网关，进行欺骗攻击。

机柜交换机进行网关IP-网关MAC静态绑定，为机柜内部服务器提供静态的网关MaC地址解析。

4．2　创建PC机上的绑定脚本文件

以在XP系统上的设置为例，采用双向绑定的方法解决并且防止ARP欺骗。

(1)首先，获得安全网关的内网的MAC地址[例如网关地址172.25.13.254的MAC地址为00-1 E-90-33-46-5A)。

(2)编写一个批处理文件rarp.bat内容如下：

@echo Off

arp-d

arp-S 172.25.13.254 00-1E-90-33-46-5A

将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

将这个批处理软件拖到“Windows开始所有程序启动”中。

4．3　在交换机上做单端口

VLAN设定：由于ARP欺骗攻击一般在同网段危害比较大，我们将网络分段划分得比较细，从而减少危害影响面，达到一定的保护作用。具体做法是，在交换机上有多少个端口就设定多少个VLAN，将端口设定为工作在某个指定的VLAN。这样可在局域网内起到防范ARP欺骗攻击的作用。

4．4　软件防控

安装360安全卫士的360arp防火墙，在窗口中选择“网关保护设置综合设置自动获取保存设置”就可完成保护设定。

安装AntiArp软件。运行AntiArp软件后，输入本网段网关的正确IP地址后，单击“获取网关MAC地址”，点击“自动保护”，即可完成保护设定工作。该方法由于安装、设置比较简单，适合普通用户的使用，是目前个人计算机上使用比较多的一种保护方式。

5　结束语

通过以上几种方法来解决ARP病毒对于局域网的欺骗攻击是比较有效果的。但是由于ARP病毒版本在不断更新、升级中，所以仍会给局域网用户带来新的冲击与危害。因此有必要提前做好局域网ARP病毒的防范工作，使得ARP病毒的危害减少到最小程度。当然，在网络安全领域，没有任何一种技术手段可以解决所有的问题，对于各种类型的网络攻击，网络管理员应当密切检查网络，不断提高自身的技术水平，确保网络安全的正常运行。