摘要：在目前的高职校园网中，对网络安全威胁最大的就是ARP欺骗。ARP欺骗不但会威胁用户的信息安全，还会导致网络出现故障，网速缓慢或者根本无法上网。笔者根据多年的经验，在本文中介绍了ARP协议的概念、工作原理、ARP协议存在的设计缺陷以及感染ARP病毒的症状，然后介绍了常见的ARP欺骗形式，最后介绍了防御ARP欺骗的对策。

关键词：高职校园网；ARP欺骗；防御对策

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）13-3012-02

随着信息化水平的不断提高和计算机技术的普及，很多高职都加大了对校园网的建设力度，校园内的网络越来越普及。人们在感受到网络带来的快捷和方便之外，也感受到了网络带来的危害，比如说网络安全问题。ARP攻击是校园局域网中最为常见的一种攻击方式，很多学校的校园网都深受其害，有些还造成了大面积的计算机网络中断，给学校都正常教学和工作带来了极为不利的影响。

校园网内的计算机实验室饱受ARP攻击最为严重的场所之一，主要原因为实验室中计算机数量多而且集中，而且由于用户的I知识水平参差不齐，容易收到ARP病毒的攻击。ARP病毒攻击给校园网络管理人员带来了巨大的工作量，而且也严重影响了学校正常的工作和教学秩序。要减小或者消除ARP欺骗的攻击，我们必须对ARP有个全面而准确的了解。

1 ARP简介及ARP病毒攻击原理

1.1 ARP协议概念

ARP是Address Resolution Protocol的简称，即地址解析协议。ARP协议的作用是将计算机的网络地址转化为物理地址，即将IP地址转化为MAC地址。使用ARP协议，通过目标计算机的IP地址查询到目标计算机的MAC地址，从而达到与目标计算机通信的目的。在网络中，只有知道目标设备的物理地址，才能实现通信，因此，在学校的局域网中，所有的IP通讯最终都要转化为物理地址的通信，而这些就是ARP协议所要实现的功能。IP地址与物理地址的映射方式有两种，表格方式和非表格方式。

1.2 ARP协议的工作原理

每一个安装了TCP/IP协议的计算机都有一个ARP高速缓存，里面放着一个IP地址-MAC地址的映射表，映射表中包含目前计算机所知道的的局域网中各个主机和路由器的IP地址与MAC地址的对应关系。

下面我们以实例来对说明ARP协议的工作原理。假设有一台主机A，其IP地址是192.168.0.112，MAC地址为00-36-ac-78-24-cb，有一台主机B，其IP地址是192.168.0.36，MAC地址是00-ca-65-40-cb-78。

当主机A想要向主机B发送数据包的时候，主机A会去查询自己的ARP高速缓存表，看自己的ARP高速缓存表中是否有主机B的映射信息，即主机B的IP地址和MAC地址的对应关系。如果主机A的ARP高速缓存表中有主机B的映射信息，那么找出主机B的MAC地址，然后根据主机B的MAC地址向主机B发送数据包。如果主机A的高速缓存表中没有主机B的映射信息，那么主机A会向网络中的所有主机都发送一个ARP请求的广播数据包，这个数据包是向所有主机询问“192.168.0.36”的主机的MAC地址。别的主机在接收到这个广播数据包之后，不会回应这个广播数据包，只有主机B接收到这个广播数据包之后，会以ARP应答包的方式回应主机A，即告诉主机A，本机的IP地址就是“192.168.0.36”，本机的MAC地址是“00-ca-65-40-cb-78”。主机B发出的数据会发送给主机A，主机A在接收到主机B的MAC地址之后会根据这个MAC地址向主机B发送数据包。同时，主机A还会把主机B的IP地址与MAC地址对应关系写入高速缓存表中，这样，当主机A下次还要向主机B发送数据包的时候就可以直接在ARP高速缓存表中找到主机B的MAC地址。

ARP高速缓存表采用了老化机制，即ARP表中的IP地址与MAC地址的对应关系只会存在一定的时间，超过这个设置的时间之后，如果缓存表中有一行没有使用的话就会被删除，从而加快查询的速度。

1.3 ARP协议的设计缺陷

ARP协议在设计之初就没有考虑过安全性，在设计ARP协议时，是认为局域网的所有节点都是可以信任的，网络是绝对安全的，因此，不会去检查是否发送过广播数据包，也不会去检查受到的应答是否合法。因此，ARP协议是存在着设计缺陷的，主要表现如下：

1）主机的ARP高速缓存表是依据接收到的ARP应答包来进行动态更新的。主机的高速缓存表会在一个设置时间后进行刷新，很多攻击者就是利用更新数据之前的时间段来修改被攻击机器上的地址缓存，从而来进行拒绝服务或者假冒的攻击的。

2）ARP协议没有连接的概念，局域网中的主机在没有发出ARP请求的情况下，也会做出应答。有些攻击者向主机发送ARP响应，而主机即使没有向攻击者发送ARP请求，也会接受ARP响应，从而根据攻击者发出的虚假的信息来修改其高速缓存表。

3）ARP协议没有认证机制，只要接收到协议包就会就会根据协议包来修改ARP缓存表，而不去检查其是否合法。这样完全信任局域网内主机的方式，给局域网的安全带来了相当大的安全隐患。

由此可见，ARP协议中存在很多的安全漏洞，而这些安全漏洞导致了ARP攻击具备了欺骗性和隐蔽性，而且ARP攻击的技术门槛比较低，因此，对ARP攻击的防御难度比较大。

1.4感染ARP病毒的症状

网络中的计算机被ARP病毒攻击之后，主要表现为以下一些症状：在某一个网段中的所有主机都无法正常连接网络；网速很慢，网络连接时断时续，严重者甚至根本就无法连接网络，发送包数据量远远高出接收到的数据包量；会发现一些可疑的进程；交换机指示灯出现大面积相同频率的闪烁；查看当前缓存表时返回的网关的MAC地址与实际网关的MAC地址不同。出现这些情况，则可以证明局域网中有主机感染了ARP病毒。

2 常见的ARP欺骗形式

2.1欺骗主机

所谓的欺骗主机，就是采用伪造、假冒等方法来迷惑局域网中的主机。具体在ARP攻击中，主要指攻击者伪装为网络中的网关，从使得被欺骗的主机无法连接网络。当ARP攻击者使用欺骗主机的手段的时候，它把自己的MAC地址对应的IP地址以广播数据包或者ARP应答包的形式不断向被欺骗的主机发送信息，由于ARP协议的设计存在缺陷，因此，被欺骗的主机中的ARP高速缓存表中存储的网关的MAC地址就变成了攻击者的MAC地址，从而导致被欺骗的主机无法正常连接网络，出现掉线。

2.2欺骗交换机

我们知道，交换机会对各端口以及端口所连接的主机的对应关系进行记录，形成一个端口和主机MAC地址的对应关系表，这个表就是CAM表。当攻击者使用欺骗交换机的手段来攻击的时候，它会连续不断的将包含有错误MAC地址的ARP包发送给交换机，因此，交换机中的CAM表会被很快的填满直至溢出，当CAM表发生溢出之后，交换机负荷量会很大，容易导致丢包、网络缓慢甚至是网络的瘫痪。

2.3欺骗路由器/网关

欺骗路由器/网关，攻击者是冒充局域网中的主机的MAC地址，截获主机数据，或者伪造一些局域网中主机的MAC地址，然后持续不断的向这些路由器发送伪造的主机的MAC地址，由于路由器收到的都是伪造的主机的MAC地址，因此，局域网中主机的真实MAC地址就无法保存到路由器中。路由器的数据就会发送给这些伪造的MAC地址，导致局域网中的主机都无法接收到来自路由器的信息，也就无法响应正常的ARP请求，从而导致路由器无法正常通信。

3 ARP欺骗的防御对策

根据对高职校园网中ARP欺骗的案例的分析，我们可以很明显的发现网络内部主机的ARP欺骗是高职校园网中的ARP欺骗主要来源。比起其他网络相比，高职校园网有其特殊的一面，这也给ARP病毒攻击的防护带来了一定的困难，我们在防御ARP病毒攻击的时候要根据这个特点来采取相应的措施。就目前而言，ARP欺骗的防御还没有一种特别有效的措施，通常情况下都是采用IP地址和MAC地址的静态绑定的形式或者启用ARP报文限速功能等。

3.1客户端的防御

1）加强客户端ARP的检测。在客户端正常的情况下，查看本机正确的IP地址以及记录本机ARP缓存表中网关及其对应的MAC地址，当客户端出现异常时，可以查看这些记录，如果存在差异则说明主机已经感染ARP病毒。

2）将客户端的操作系统打上最新的补丁，让系统的防御能力得到提升。此外，还可以使用静态绑定的方法，即将本机的IP地址与MAC地址进行绑定，不允许进行修改。同时，还可以安装一些防御ARP攻击的软件来防御和处理ARP病毒。

3.2交换机的防御

1）对交换机中的日志文件和ARP缓存表进行监控，从而及时发现ARP病毒。

2）在发现某个VLAN有ARP欺骗攻击后，可以查找出ARP攻击的计算机所在的端口，然后将端口和计算机的连接线拔出，再对感染的计算机进行杀毒。

3.3其他防御策略

1）在局域网中安装ARP服务器，替代局域网中的主机ARP应答包。这种方法可以很好的防御ARP病毒攻击，但是存在配置复杂、成本高的缺点。

2）安装ARP防火墙。ARP防火墙简单易用，而且防护全面。

3）在交换机端口上绑定IP地址和MAC地址，限制ARP流量，开启ARP报文限速功能，从而杜绝ARP攻击。

4）用户要养成良好的上网习惯，提高自身的安全意识，不随便打开可疑的文件盒程序，及时更新操作系统的补丁。

参考文献：

[1] 王小玲，周刚.一种扩展的ARP协议设计[J]. 四川理工学院学报：自然科学版，2011，24（02）：59-62.

[2] 潘晓君.基于缓存超时的ARP欺骗攻击协议的研究[J]. 计算机技术与发展，2009，19（10）：173-175.

[3] 胡清桂.一种新的ARP协议改进方案[J]. 陕西科技大学学报：自然科学版，2011，30（05）：84-89.