章海宁

（天津中德应用技术大学，天津 300350）

局域网ARP病毒的攻击方式和解决办法研究

章海宁

（天津中德应用技术大学，天津 300350）

长久以来，ARP病毒攻击问题成为困扰局域网的一个难题。为此，文章探讨了局域网ARP病毒的攻击方式和解决办法。

局域网；ARP病毒；攻击方式

当前，各个企事业单位、工作室、学校和机关单位等都建立了自己的局域网。局域网是将计算机使用各种通信设备互联在一起的用于资源共享的局部区域内网络，具有成本低、传输速率高、传输信道共享等特点，给工作带来了极大的便利，但是针对局域网的木马病毒也纷至沓来，造成电脑经常掉线，重启计算机或者是网络设备后，计算机又能恢复正常。查看进程，会看见增加了down.exe, 1.exe, cmd.exe, 9sy.exe中的任意一个或多个，严重的还能自动还下载病毒，logo_1.exe, .rundl132.exe，感染可执行文件，图标变换。不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。同时网速也出现时快时慢，非常不稳定，采用单机进行光纤数据测试时，又一切正常。这其实就是局域网遭地址解析协议（Address Resolution Protocol, ARP）木马病毒攻击，ARP漏洞也成为网络攻击和木马病毒经常利用的漏洞，造成ARP木马病毒攻击主要由于局域网内的计算机遭受病毒引发，或是操作者利用局域网中的某台计算机故意发起，而ARP地址解析协议的工作过程是这种攻击行为得以进行的关键。

1 ARP协议的概述

ARP协议属于TCP/IP协议的范畴，其全称为地址解析协议，主要根据IP地址取得物理地址，该协议提供了从IP地址到物理地址的映射。也就是说，为保证通信的顺利进行，该协议通过已知的网络层地址得到数据链路层的MAC地址，其中已知的网络层属于OSI的第三层，亦可称为IP层，而数据链路层属于OSI的第二层，亦可成为MAC层。ARP协议的工作原理：在以太网中传输的数据包是以太包，在局域网中，通过MAc地址传输数据包，为实现数据传送的准确性，需要借用ARP缓存表，这样的缓存表普遍存在于局域网内的每一台主机中，以保证IP地址与MAC的一对一性。具体来说，首先是主机A向主机B发送报文，并查询本地的ARP缓存表，确认目标IP地址的物理地址，与此同时，这些IP地址以及硬件地址被存入主机的ARP缓存当中，当再一次发送请求时，可通过直接查找ARP缓存，便可实现IP地址与MAC地址的一一对应，继而开展数据传输。当查询不到目标计算机mac地址的时候，则A会发起ARP请求报文，以广播包的形式向本地网段查问与目标计算机的IP相对应的MAC地址，报文的具体内容是：主机A的IP地址到物理地址的映射及主机B的IP地址，请求主机B回答其物理地址。如此一来，局域网内所有的主机均能收到含有上述内容的ARP请求报文，这当然也包括主机B，随后所有主机检查并识别该数据包中的目的IP及其自己的IP地址，主机B识别出数据包中的目的IP就是自己的IP地址，便会向主机A发送ARP响应报文，该相应报文中回复了主机B的MAC地址，当主机A收到来自主机B的相应之后，会更新本地的ARP缓存，继而使用这个MAC地址发送数据。在局域网内，本地网络得以顺利流通，主要是依靠ARP缓存表，而ARP缓存表是不断变化的，假设在ARP缓存表中已经包含了所需的IP信息，该IP信息会被覆盖，并向数据源主机发送出ARP响应数据包，以诉诸数据源主机自己需要查找的MAC地址是什么。

ARP协议的属性就是信任局域网内所有的人，具体表现为，该协议只需认定目标地址与自身的mac是否一致，一旦一致，便会第一时间接收，并回应对方请求，正因为这样无条件的信任，而从不检查所受到的数据包、应答包的真实性及合法性，极易出现以太网上的ARP欺骗。电脑不断刷新ARP表以确保ARP表的有效性，即便网络中出现欺骗包，也会被无条件地接收，继而欺骗包的ip地址和mac地址被更新到ARP缓存表中，且由于ARP协议层的工作级别低于IP协议层，因而欺骗包及其欺骗性的ip、mac地址所表现出的危害性更为隐蔽。

2 局域网ARP病毒的攻击方式

2.1 冒充网关IP地址

病毒制造者将目光投向局域网，发送伪造的网关arp报文，病毒制造者就是利用主机通过ARP协议来寻找网关的MAC地址的，获取网关的MAC地址后，主机就可以直接把数据包发给网关这一特点。把同网段内其他终端的网关mac重定向到错误的mac地址，造成局域网的其他用户上不了网。

2.2 ARP欺骗供给

当电脑收到ARP应答数据包之后，随即会及时更新本地的ARP缓存，同时将接收到的目标主机IP地址和MAC地址存储在ARP缓存当中，这给ARP欺骗供给提供了有利时机。如果操作者利用局域网中的主机B给主机A发送一个伪造的ARP应答，该应答由B冒充路由伪造而成，就是说，主机B所伪造的ARP应答中，其IP地址实际上是另一台机器C的IP地址，其MAC地址则是路由的，当主机A受到这项欺骗性质的ARP应答之后，将其应答的内容更新至本地缓存中。由于局域网内部是通过MAC地址实现网络流通，而并非通过IP地址，因而当主机A接受到主机B伪造的ARP应答，会认为机器C的IP地址并未改变，但其MAC地址已经路由改变。如此一来，主机A将C的MAC地址改为MAC地址，当主机A向B发生路由数据时，数据会发送给机器C。

2.3 ARP泛洪攻击

攻击者通过不断发送伪造的ARP广播数据包，对于局域网内的所有主机与网关给予广播，抢占网络带宽予干扰正常通信，造成网关ARP表项被占满，最终使得交换机忙于处理广播数据而耗尽网络带宽。同时局域网内部的主机或者网关不能找到正确的通信对象，最终使得正常通信被阻断，让合法用户的ARP表项不能正常学习工作。

3 局域网ARP病毒攻击的解决办法

3.1 安装ARP防火墙

安装ARP防火墙，如360安全卫士、金山卫士、卡巴斯基、瑞星杀毒软件等，在局域网中，计算机感染ARP类型病毒以后，可以从防火墙的日志中判断出感染病毒的主机。感染病毒的主机会不断地发出大量数据包，假设在日志里看到来自同一IP的大量数据包，这样就说明这台机器感染病毒了。安装ARP防火墙所具备的主要功能，首先这些软件具有通过在系统内核层拦截虚假ARP数据包和主动通告网关本机正确的MAC地址，保障系统不受ARP欺骗、ARP攻击影响，并保障本机ARP缓存表的正确性，确保单机和网关间数据流向不经过第三方软件，保持网络畅通和通讯安全。其次拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包，这样可以杜绝本机因IP冲突造成掉线等问题发生。再次自动监测本机ARP缓存表，假设有网关MAC地址被恶意程序篡改，就会发出报警，并进行自动修复，以确保网络畅通和通讯安全。最后主动防御。主动与网关保持通讯，通告网关正确的MAC地址，保障网关不受ARP欺骗影响，确保网络畅通和通讯安全。

3.2 把IP和MAC静态绑定

欺骗是以ARP的动态实时的规则欺骗内网机器，因此把ARP全部设置为静态就能解决对内网PC的欺骗行为，同时还要把主机与网关都做IP和MAC绑定，这样可以实现最简单有效的ARP攻击防御措施。但是由于内网可能涉及的计算机数量大，每台电脑要实现双向绑定IP，MAC，其工作量非常大，根本无法完成，而且在电脑重启以后，ARP路由表会被清除，仍需绑定，面对这样的问题，可以采用批处理方式来解决，把运行的文件加入到开机运行中，就可以解决这个问题的存在。

3.3 VLAN技术隔离端口

VLAN即为虚拟局域网，是为确保部分安全性比较敏感的部门不被随意访问浏览而实现的网络用户逻辑分段，要顺利开展工作，需要将其连接到第二层交换机端口，并根据用户的需要开展网络分段，而不应受限于网络用户的物理位置。此外，为了杜绝当一个网络系统的设备数量增加到一定规模后，造成数量庞大的广播报文消耗网络带宽，以限制有效数据的传递问题。因此局域网的管理人员可以将网络规划出很多个VLAN，当有非法用户在利用ARP欺骗攻击网络时，或者是因合法用户受病毒ARP病毒感染而影响网络时，网络管理员可先找到该用户所在的交换机端口，并把该端口划一个单独的VLAN，把该用户和局域网里的其他用户隔离开来，以保证其他用户安全。

[1]邢少铭.浅析ARP攻击及防范[J].计算机与网络，2011（13）：30-31.

[2]袁华，张凌.一个地址解析协议的实验教学案例[J].计算机教育，2015（22）：83-87.

[3]李芳，夏宇.地址解析协议病毒攻击与防御分析[J].软件，2013（2）：121-123.

[4]申健，周倩芳.校园无线局域网安全管理及入侵检测系统分析[J].网络安全技术与应用.2016（8）：88-89.

[5]姜传江，马赟.企业网络安全结构设计及相关问题解析[J].网络安全技术与应用，2016（8）：22-23.

[6]黄超，王勇.VPN技术在校园网络安全体系中的应用研究[J].网络安全技术与应用，2016（8）：77.

Study on LAN ARP virus attack methods and solutions

Zhang Haining
（Tianjin Sino-German University of Applied Science, Tianjin 300350, China）

For a long time, ARP virus attacks have become a difficult problem plagued the local area network. Therefore, the way attack ARP virus in local and solutions are explored in this paper.

local area network; ARP virus; attack mode

章海宁（1978— ），男，天津，实验师；研究方向：计算机网络管理。