祁　芸　张士辉

摘要：ARP协议对网络安全具有重要的意义，通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞。所以通过本文将使我们更加深入地理解AKP攻击的发现与定位以及防御办法。

关键词：ARP；发现；定位；防御方法

1什么是ARP协议

ARP是TCP／IP协议集中的网络层协议之一，ARP协议完成IP地址转换为第二物理地址(即MAC地址)，从而实现通过IP地址来访问网络设备的目的。然而，一些非法的入侵者和网络监听者利用各种技术和手段，篡改和伪造IP地址和MAC地址，在网络中产生大量的ARP通信量使网络阻塞或者实现“中间人”进行ARP重定和嗅探攻击，以达到非法监听和获取他人在网络上传输的信息的目的，这种网络入侵方式为ARP欺骗。它是近年来网络入侵攻击的主要形式之一，严重威胁着网络信息的安全。

2ARP攻击的发现与定位

要定位感染ARP木马电脑的MAC地址有三种方法可供选择：

方法一：可以查看三层交换机网段里面的ARP信息(如cisco 6509中可以输入show ARPlinclude网段相同部分)，如果发现里面存在有不同IP对应相同MAC列表的情况，就可以肯定该网段内有ARP欺骗，这个MAC地址就是感染ARP木马的电脑MAC。

方法二：用户端可以通过输入命令的方式，输入arp-a命令即可显示与该电脑直连设备的MAC，就会发现电脑网关所对应的MAC地址是否被修改，如果被修改就可判定该电脑感染了ARP木马程序。

方法三：安装网络检测软件的用户，如果网段中有ARP攻击，检测软件会有报警，如antiARP软件会自动弹出攻击者的MAC地址，网络执法官则会显示一个与MAC地址对应的两个IP地址，其中一个IP必然为网关，那该MAC对应电脑就是攻击者了。

如果确定了MAC的攻击者，还需要进行物理位置定位来确定该电脑的使用者，以便及时通知对方进行处理，现在高校用户大部分使用真实IP地址进行上网，只要找到该IP地址就等于找到了该用户。

为大家介绍两种方法来通过MAC地址查找IP地址。

方法一：命令法。下载nbtscan DOS软件，在虚网中任意主机运行nbtsacn218.197.57.0／24就可以得到该段内所在的用户的IP对应的MAC，通过MAC查询，就可以得到该机的IP。

方法二：软件法。利用网络执法官软件保存该网段内所有IP所对应的MAC，当发现攻击电脑MAC时就可找到该IP，从而定位到该电脑。

另外，对于采用DHCP服务器进行IP地址分配的网络，由于每台没有固定IP，很难通过IP直接定位，那需要我们利用IP冲突查找，只要将网内某台电脑IP修改为该感染ARP木马的电脑IP，该电脑上面就会出IP冲突的提示，只要有用户打电话反映IP有冲突，那台电脑就是攻击者。

3ARP欺骗攻击的防范策略

3.1用户端防御

由于绝大部分ARP欺骗攻击都是针对网关进行攻击的。使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

针对此在用户端计算机上绑定交换机网关的IP和MAC地址，就是强制指定ARP对应关系。

(1)静态绑定

首先获取网关的真实MAC地址。网络正常的情况下ping网关IP地址，之后用arp-a查看网关的IP对应的MAC地址。

编写一个批处理文件arp.bat，实现将交换机网关的MAC地址和IP地址的绑定，内容如下：

arp-d(清空ARP缓存)

arp-s 10.10.100.254 00-40-66-77-88-d7

将这个批处理文件加入计算机启动项中，以便每次开机后自动加载并执行该批处理文件，对用户起到一个很好的保护作用。

(2)使用防ARP攻击的软件

下载和使用防ARP攻击的软件，如AARP、Aarpguard等支持arp过滤的防火墙。

3.2网管交换机端绑定

采用在核心交换机上绑定用户主机的IP地址的网卡的MAC地址，同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

(1)IP和MAC地址的绑定

在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。

(2)MAC地址与交换机端口的绑定

根据局域网用户所在的区域、楼体和用户房间所对应的交换机端口号，将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。

3.3采用VLAN技术隔离端口

网络管理员可根据本单位网络的拓扑结构，具体规划出若干个VLAN，当发现有非法用户在恶意利用ARP欺骗攻击网络，或因合法用户受ARP病毒感染而影响网络时，首先利用技术手段查找到该用户所在的交换机端口，然后把该端口划一个单独的VLAN将该用户与其他用户进行物理隔离，以避免对其他用户的影响。可以利用将交换机端口Disable来屏蔽该用户对网络造成影响，从而达到安全防范的目的。

4结束语

网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者带来了严峻的考验，ARP欺骗是一种典型的欺骗攻击类型，它利用了ARP协议存在的安全隐患，并使用一些专门的攻击工具，使得这种攻击变得普及并有较高的成功率。对于ARP欺骗的网络攻击，不仅需要用户自身做好防范工作，更需要网络管理员时刻保持高度警惕，并不断跟踪防范欺骗攻击的最新技术，做到防患于未然。