王默晗

（江苏省阜宁中等专业学校,江苏 阜宁 224400）

浅谈校园网中ARP欺骗的防范

王默晗

（江苏省阜宁中等专业学校,江苏 阜宁 224400）

网吧是最常见的局域网，相信很多朋友都曾经到网吧上网冲浪。不过在使用过程中是否出现过别人可以正常上网而自己却无法访问任何页面和网络信息的情况呢?虽然造成这种现象的情况有很多，但是目前最常见的就是ARP欺骗了，很多黑客工具甚至是病毒都是通过ARP欺骗来实现对主机进行攻击和阻止本机访问任何网络信息的目的，今天我们就为各位介绍ARP欺骗的原理及危害，让我们对这个攻击方式有一个清晰的了解。

ARP；广播；病毒

一、ARP概述

（一）何谓ARP病毒

ARP地址欺骗类病毒（简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。

（二）ARP病毒发作时的现象

常见的现象有：网络掉线，但网络连接正常，整个网段内部分计算机不能上网，或者所有计算机无法正常上网，无法打开网页或打开网页慢，访问页面时常常弹出广告窗口，局域网时断时续并且网速较慢等。

二、ARP欺骗原理

（一）什么是ARP

ARP是地址转换协议（Address Resolution Protocol）的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时对上层（网络层）提供服务。

二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是常说的MAC地址）传输以太网数据包。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。

（二）ARP欺骗的原理

主机在两种情况下会保存、更新本机的ARP缓存表:（1）接收到“ARP广播-请求”包时。（2）接收到“ARP非广播-回复”包时。从中我们可以看出，ARP协议是没有身份验证机制的，局域网内任何主机都可以随意伪造ARP数据包，ARP协议设计天生就存在严重缺陷。

当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题。

三、校园网ARP欺骗及其防范

校园网中，各种ARP攻击类型都有发生过，但最主要的攻击方式是冒充网关。攻击者通过发送错误的终端MAC地址给网关，从而导致网关无法和受攻击计算机终端用户进行通信；然后是欺骗主机的方式，攻击者通过发送错误的网关MAC地址给受攻击者或者发送错误的终端MAC地址给受攻击者，从而导致受害者无法与网关或本网段内其他计算机终端互相通信；最后还有一种就是攻击者通过欺骗PC和网关相结合的方法，导致网关和PC终端用户无法正常通信。

（一）判断PC是否受到ARP欺骗攻击

某校现有三幢楼，内网中有网上办公系统，每幢楼中都有很多计算机需要在校园内网上办公，目前学校内网的所有计算机都在同一个广播域中。时常出现无法连接互联网、网速慢、计算机频繁中毒、打开网页时时常会弹出很多广告等现象。

（二）校园网中ARP欺骗的防范措施

解决ARP欺骗攻击是一个系统的综合措施，我们可以从以下这些思路上寻求解决办法：首先不能仅把网络安全信任建立在IP或MAC地址的基础上，理想的关系应该建立在IP和MAC绑定的基础上。我们需要设定静态的MAC-IP对应表，防止主机刷新设定好的转换表。其次要使用硬件屏蔽主机，设置好路由器，务必保证IP地址能获取合法正常的路径。最后管理员要定期查询，检查主机的ARP缓存表，安装软件监测网络，一旦发现攻击，立刻查找根源及时阻断攻击机器。

具体防范措施：首先，对于我们计算机的初级使用者来说，最直接的防范措施就是安装ARP防火墙或者开启局域网ARP防护，比如360安全卫士等ARP病毒专杀工具，并且实时下载安装系统漏洞补丁，关闭不必要的服务等来减少病毒的攻击。这些都是软件的辅助防范。

（三）网关设备攻击防范，主要是二层和三层交换机配置的规范。

1.二层交换机。与电脑直接相连的端口上配置静态MAC地址，同时禁止动态学习；如果需要修改或删除静态MAC绑定的数据，先要在端口下删除mac-address max-mac-count 0,修改后在端口重新添加mac-address max-mac-count 0；暂时不用的端口手动shutdown。

2.三层交换机。该设备上配置静态ARP绑定下挂PC机的IP与MAC地址，防止下挂PC机随意变动IP地址。

3.交换机既作网关又作接入是的配置规范。首先与PC机直接相连的端口上配置MAC，禁止动态学习MAC；暂时不用的端口手动关闭；下挂的PC机不得随意变动已经设置的IP地址。

四、小结

ARP欺骗攻击虽然已经在网络发现这么多年了，我们能做的只是被动的来采取一些综合措施来防范这种攻击，希望我的这些方法建议对于防范ARP欺骗攻击有所帮助。也希望随着计算机技术的不断完善，通过变协议的方式来彻底解决ARP欺骗这一难题。

[1]计算机网络原理实验教程[M].北京：科学出版社，2005.

[2]《关于校园网内防范ARP欺骗病毒攻击的重要通告》衢州学院,2007.

王默晗（1985-），女，汉族，江苏阜宁人，江苏省阜宁中等专业学校二级教师，研究方向：职业高中计算机教育教学。