韩子寅

摘 要：ARP攻击是计算机网络安全面临的主要威胁，如何保护计算机网络安全，防止其遭受ARP攻击已经成为网络完全管理必须研究和解决的问题。本文主要介绍了ARP攻击理论，在此基础上探讨了ARP防攻击技术的实现，并提出了ARP病毒攻击的防范措施，以供参考。

关键词：计算机；网络安全；ARP攻击

计算机网络在给人们带来极大便利的同时，也因各种网络攻击极大地影响了人们的信息安全，在互联网广泛应用的大背景下，计算机网络安全问题已经成为人们关注的焦点之一，同时也是计算机应用技术研究领域的重要课题之一。鉴于ARP攻击是现阶段计算机网络安全面临的主要威胁，加强对计算机网络安全防ARP攻击的研究，有其必要性和重要的现实意义。

1 ARP攻击的理论分析

1.1 ARP攻击的原理和特征

ARP协议（地址转换协议）是网络运行的基础协议之一，其作用是将网络中的IP地址转换成MAC地址，以保证通信的正常运行，而该协议并未对ARP报文来源的合法性进行验证。ARP协议的基础是信任局域网内所有的人，这就为实现在以太网上的ARP期待带来的可能，通过伪造目标的IP地址以及查询目标的MAC地址对ARP实施欺诈行为，即所谓的ARP攻击。ARP攻击正是利用了ARP协议设计之初的缺陷，以大量的ARP通信量堵塞网络，从而达到让目标主机网络中断的目的。

ARP攻击主要有三大特征，一是隐蔽性，计算机网络系统并不能对ARP缓存操作的正确性进行有效的判断，当计算机网络受到ARP攻击时并不会出现提示，因此，ARP攻击具有跟强的隐蔽性；二是堵塞性，这一点很好理解，ARP攻击的主要手段就是在通信网络中产生大量的ARP通信数据，其目的就是为了造成网络系统之间的通信堵塞以影响其通信功能；三是难除性，计算机网络系统遭受ARP攻击后，对该病毒的消除是非常困难的[1]。

1.2 ARP攻击的类型和影响

ARP协议简单、高效，但是并不安全，攻击者可以冒充真正的主机发送任意伪造的应答报文，而该应答报文又缺乏认证机制，攻击者能够窃取真正主机的通信数据并对其进行攻击。按照攻击类型，ARP攻击可分为仿冒用户攻击、仿冒网关攻击、免费ARP攻击、代理ARP攻击以及泛洪攻击。其中，仿冒用户攻击和仿冒网关攻击是攻击者采取的主要方式，仿冒用户攻击又分为欺骗网关和欺骗其他用户，欺骗网关是由一个主机向网关设备发送伪造应答报文实现，欺骗其他用户则是由一个主机向另一个主机发送伪造应答报文实现；仿冒网关攻击与仿冒用户攻击中的欺骗其他用户的方式大体上相同。

ARP攻击对计算机网络的危害极大，不仅会使计算机网络系统之间无法进行正常连接，使通信功能丧失，还会使计算机中用户存储的密码、个人信息、重要数据被盗窃，给用户的信息安全和财产安全带来极大的威胁。ARP攻击造成的计算机网络中毒现象主要表现为计算机死机、网络信号不稳定、用户信息丢失等。为了有效地防范ARP病毒的攻击，计算机管理人员非常有必要进行事前预防，避免网络瘫痪等不良后果发生[2]。

2 ARP防攻击技术的实现

2.1 网管保护和主动确认功能

根据ARP攻击的类型，我们可以设计有针对性的防御技术，ARP防攻击技术需要具备网管保护、主动确认、ARP检查、ARP固化、报文限速以及ARP防IP报文攻击等功能。网管保护功能的实现体现在网关设备的端口上，网关对应的交换机收到ARP报文时，网管设备会对报文的IP地址进行合法验证，一旦收到的报文不合法，就会被丢弃，只有能够通过验证的IP地址才会被转发；主动确认功能的实现体现在网关设备上，这又分为新建表项前的主动确认与更新表项前的主动确认，前者在收到ARP报文时，设备会检查系统中是否存在与该报文对应的ARP映射关系，后者在收到更新后的ARP报文时，设备会检查检查系统中是否存在与该报文对应的更新后的ARP映射关系，然后再进行检查和处理。

2.2 ARP检查和ARP固化功能

ARP检查功能的实现体现在接入层设备上，虚拟局域网（VLAN）开启ARP检查后，就会对虚拟局域网内所有的ARP报文进行双项检测（用户合法性检测和报文有效性检测），一旦收到的报文未通过检测，就会被丢弃，只有通过双项检测，报文才能从设备端口进行转发和后续处理，此外，ARP检测还能对ARP报文进行强制转发，即在虚拟局域网内，ARP非信任端口收到已经通过双项检测的ARP报文，设备会按照具体规则对其进行强制转发；ARP固化功能的实现体现在系统中ARP的转换上，即在设备中敲入ARP固化命令，将系统中所有的动态ARP转换成静态ARP，以此来防止攻击者修改ARP地址。

2.3 报文限速和ARP防IP报文攻击功能

报文限速功能的实现体现在设备端口上，主要是为了防范泛洪攻击的发生，攻击者通过主机向设备发送大量伪造ARP报文，使设备无法响应用户的请求，报文也无法正常转发，这说明网络系统遭受了泛洪攻击，而设备端口配备了报文限速功能，设备就会按照配备的报文速率接收ARP报文，那些在设备可接受范围以外的速率就会被直接丢弃；ARP防IP报文攻击功能的实现主要借助源抑制和ARP黑洞路由方法，源抑制方法适用于固定IP地址的攻击类型，通过设定阀值来对不能解析的IP地址进行处理，ARP黑洞路由方法适用于不固定IP地址的攻击类型，通过建立相应的黑洞路由表项来对不能解析的IP地址进行处理[3]。

3 ARP病毒攻击的防范措施

3.1 ARP攻击的初步防范

ARP攻击的初步防范主要适用于在计算机方面技术水平一般的普通用户，这些用户在计算机受到ARP病毒攻击时，可以采取暂时性的初步防范措施，如重启计算机、禁用计算机网卡、网络设备复位处理、安装杀毒软件等，重启计算机能够使ARP病毒暂时失去攻击的环境，从而起到暂时性防范作用，禁用计算机网卡是为了让ARP病毒无法发现可攻击的目标，网络设备复位处理实际上就是恢复网络设备的出厂复位，安装杀毒软件也可以起到预防ARP病毒攻击的效果。这些是非专业计算机人员采取的防御ARP病毒攻击的最基本的方法，保护效果不会持续太久。

3.2 采取双向地址绑定的方法

双项地址绑定方法是防御ARP病毒攻击最常用的一种手段，也是实践环节应用较为广泛的一类防范措施，通过将IP地址和MAC地址绑定在一起来防止ARP病毒攻击，这样即便攻击者盗取了计算机系统的IP地址，由于MAC地址已经事前进行了修改，这样反过来就会骗过攻击者。双向地址绑定主要考虑到ARP病毒攻击是对相应的IP地址和MAC地址伪造操作实现的，所要要改变这一单一形式，将相应的IP地址和MAC地址进行一对一的映射操作，使其在实际基础上进行有效的设置，以防止攻击者对ARP数据的更改，从而避免ARP欺诈现象的发生[4]。

3.3 应用ARP防火墙

ARP防火墙是专门用于应对ARP病毒攻击的一种杀毒软件，其主要功能就是保证计算机获取的MAC地址和设备网关获取的MAC地址的合法性，保障数据流的正确，防止计算机和网管受到伪造ARP数据包的干扰。在计算机系统的杀毒软件中加入ARP防火墙，能够有效地拦截ARP病毒攻击和IP冲突，确保通信数据的安全以及网络的畅通。现在市场上的主流ARP防火主要有金山ARP防火墙、彩影ARP防火墙、风云防火墙、360ARP防火墙等，如果用户的操作系统是Windows，建议选用风云防火墙，如果用户的操作系统是VISTA，建议选用金山ARP防火墙或彩影ARP防火墙。

3.4 开发Socket软件

Socket软件系统不仅可以防止ARP病毒的攻击，还能在ARP攻击时为用户提供实时警报，便于用户及时发现问题，对其进行处理。Socket编程软件的开发和应用，能够有效达到防范ARP病毒攻击的目的，当然，该软件对计算机网络管理者提出了较高标准的要求，计算机网络管理者要能够对ARP攻击原理以及Socket编程开发技术有一定的了解[5]。

4 结论

计算机网络安全问题是计算机应用技术研究领域的一个重要课题，而ARP攻击又是计算机网络安全面临的主要威胁，人们对此关注显得更为密切，因此，探讨ARP攻击对计算机网络安全和用户信息安全的影响，对计算机网络安全防ARP攻击的相应措施进行研究，有着重要的现实意义。

[参考文献]

[1]刘和伟.基于计算机网络安全防ARP攻击的研究[J].数字技术与应用.2013，12（5）：224-225.

[2]徐林.论计算机网络安全的防ARP攻击的安全策略[J].计算机光盘软件与应用.2013，17（10）：164-166.

[3]王宇杰，王锋，黄红.基于ARP攻击的网络犯罪与防范的研究[J].信息网络安全.2010，10（6）：66-69.

[4]马蓉平.计算机网络安全与ARP攻击的解决方案[J].辽宁教育行政学院学报.2009，6（2）：159-161.

[5]胡亚希.一种基于交换机的局域网ARP攻击防御方法的研究及系统实现[D].湖南大学.2010.