[摘 要]随着计算机技术和网络技术的发展和普及，网络本身的开放性、不确定性、交互性和脆弱性使得网络安全问题显得日益重要和突出，网络安全问题越来越得到人们的重视。由于ARP协议发展较早，协议相对比较简单，并且没有验证或校对等措施，因此存在着严重的安全隐患。它是局域网进行通讯的基础，是以信任为基础的，如果信任被破坏了，那就形成了ARP欺骗。

[关键词]ARP欺骗 对策

作者简介：王盘岗，男，汉族，河南省西平县人，讲师，主要研究方向：网络安全。

一、ARP原理

ARP即地址解析协议，是一个位于TCP/IP协议中的低层协议，其将各设备的IP地址和MAC地址对应起来，即将网络层地址解析为数据链路层的MAC地址，保证通信的顺利进行。

其基本原理：用户甲要向乙发送报文，会查询本地的ARP缓存表，找到乙的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，会将甲的ARP请求报文进行广播，请求指定IP地址的乙回答其物理地址。网上所有主机包括乙都会收到ARP请求，但只有乙才能识别自己的IP地址，于是向甲发回一个ARP响应报文。其中就包含有乙的MAC地址，甲收到乙的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。因此，本地高速缓存的这个ARP表是动态的且是本地网络流通的基础。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。

二、ARP欺骗

由于ARP协议发展较早，协议相对比较简单，采用了广播、动态学习机制，并且没有任何验证或校对等安全措施，因此存在着比较严重的安全隐患。它是系统进行通讯的基础，是以信任为基础的，如果破坏了这个信任，那就形成ARP欺骗了。

ARP欺骗简单来说，伪造源MAC地址发送ARP响应包，破坏ARP缓存机制。ARP协议在局域网通信中，处于一个非常关键的位置，一旦出现问题，将直接导致以局域网环境中的设备无法通信。如果ARP欺骗问题处理不好，将给网络带来严重影响。

当局域网中的某台机器乙向甲发送一个自己伪造的ARP应答，而如果这个应答是乙冒充丙伪造来的，即IP地址为丙的IP，而MAC地址是伪造的，则当甲接收到乙伪造的ARP应答后，就会更新本地的ARP缓存，这样在甲看来丙的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在甲上被改变成一个不存在的MAC地址，这样就会造成网络不通，造成甲Ping不通丙，这就是一个ARP欺骗。

当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网，这就造成了无法访问外网的问题。

可以通过如下方式确定是否是ARP欺骗：在确保局域网交换机正常工作和网线正常连接的情况下，在命令提示符状态下，执行arp/a，查看网关ip地址对应的mac是否是路由器的网口的mac地址，如果不是，基本可以确定是ARP欺骗。

ARP欺骗只要一开始就可能造成局域网内计算机无法和其他计算机进行通讯，只要局域网中存在一台感染“ARP欺骗”病毒的计算机将会造成整个局域网通讯中断，IE浏览器和常用软件出现故障，严重的甚至可能带来整个网络的瘫痪。它不但会使网络产生较大的延时，而且会造成局域网的中断，并且中毒主机会截取局域网内所有的通讯数据，并向其他用户发送带了自身ARP病毒的数据，对局域网用户的网络使用造成非常严重的影响，直接威胁着局域网用户自身的信息安全。

三、ARP欺骗的攻击类型

（一）盗用或强占IP

利用ARP机制，盗用或者强占他人IP，由此进行侵权或其他非法操作

（二）网关或服务器IP欺骗

发送一系列错误的内网MAC地址，假冒局域网中的网关或其他服务器IP地址，把正常应该传给网关或服务器的数据流引向进行ARP欺骗的计算机，让被欺骗的主机向假网关发数据，造成无法通过正常的路由器上网，使其无法实现正常的数据通信，从而造成网络中断或时断时续，或数据丢失，造成正常PC无法收到信息。

（三）抢占资源

使用ARP欺骗技术将别人的网络断掉，抢占出口网络带宽，以方便自己快速下载。

四、ARP欺骗的解决方案

（一）静态绑定

单纯依靠IP地址或MAC地址来建立信任关系是不安全，必须建立在IP地址及MAC地址关联基础上。所以将IP和MAC静态绑定，在网内把主机和网关都做进行IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网机器的欺骗，同时在网关也要进行IP和MAC的静态绑定。这样每台电脑都需绑定，且重启后仍需绑定。

（二）采用ARP防火墙软件

ARP防火墙软件具有智能检测和防御ARP欺骗的功能，ARP防火墙采用系统内层拦截技术和主动防御技术，可解决大部分欺骗、ARP攻击带来的问题， 保障通讯数据不被恶意软件监听和控制，保证网络畅通。ARP防火墙软件可以拦截接收到的虚假ARP数据包，保障本机ARP缓存表的正确性，拦截本机对外的ARP攻击数据包，避免本机感染ARP病毒后成为攻击源，拦截接收到的IP冲突数据包，避免本机因IP冲突造成掉线等。另外其可以主动向网关通告本机正确的MAC地址，保障网关不受ARP欺骗影响。

（三）利用交换机或路由器过滤

即进行相关的配置，将IP地址与MAC地址绑定，启用ARP检查，以过滤伪造源MAC地址的ARP攻击，使ARP欺骗攻击的破坏性减到最小。

（四）主动查询

在某个正常的时刻，做一个IP和MAC对应的数据库，以后定期检查当前的IP和MAC对应关系是否正常。定期检测交换机的流量列表，查看丢包率。

（五）部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。

另外，还可遵循以下方法以减少或避免ARP欺骗：（1）加强安全意识。安装正版的杀毒软件，并及时更新；不浏览缺乏可信度的网站；不轻易下载和安装盗版的、不可信任的软件或者程序；不随便打开不明来历的电子邮件，尤其是邮件附件；不随便点击打开QQ等聊天工具上发来的链接信息；使用360安全卫士等工具软件修复不安全的系统设置（2）及时使用工具软件修补OS系统漏洞；（3）停止不必要的系统服务。

参考文献

[1]叶成绪。校园网中基于ARP的欺骗及其预防， 青海大学学报（自然科学报） ， 2007 （3）

[2]曹洪武。ARP欺骗入侵的检测与防范策略。塔里木大学学报， 2007 （2）.

[3]黄学林。ARP协议欺骗原理分析及防范措施。广东科技，2007，（7）

[4]朱光迅。ARP欺骗原理及防护技术方案。韶关学院学报，2007，28（6）