郭奇峰，曾大军

（1江西师范大学 瑶湖校区现代教育技术中心 江西 南昌 330027）

（2吉安职业技术学院 江西 吉安 343000）

1 ARP产生的原因与危害

每一台主机在出厂的时候都会有一个唯一标识自己的物理地址，也就是我们通常说的MAC地址，每台电脑会在本地电脑上建立一张ARP缓存表，这张缓存表会保存IP地址和MAC地址的映射关系。当前主机如果需要将一个数据包发送到目的主机，首先会检查本机当中的ARP缓存表里面是否有对应的映射关系，也就是检查是否有IP地址对应的MAC地址，如果有则直接将数据包发送到对应的MAC地址，如果当前主机ARP缓存没有对应的映射表存在，则会发起一个ARP的广播请求，查询是否有目的地址的MAC地址。该ARP请求包包括当前主机的IP地址、MAC地址、已经目的主机的IP地址，网络的主机收到该广播包后会和自己的ARP缓存表进行对比，如果不同则忽略该数据包；如果相同，则会把发动断的MAC地址和对应的IP地址添加到ARP缓存表中；如果缓存表中已经有该IP地址，则会覆盖原有的映射，然后回应一个ARP响应包，告诉对方是要查找的硬件地址。源发送的主机收到ARP响应的数据包，会将对应的IP地址和MAC地址添加到ARP缓存表，并利用该表发送数据。如果源主机发送后一直没有收到ARP响应，则查询ARP失败。

计算机一旦感染ARP病毒，便会在局域网疯狂传播。给正常的局域网持续造成一定的破坏，之后计算机病毒便利用已经控制的大量“僵尸主机”对互联网的某个网站或者服务器进行洪水攻击。高校机房、校园网一旦局域网内的一台计算机感染了病毒，就会造成大量的计算机掉线甚至整个网络陷入瘫痪，令用户和管理员万般无奈，在校园内部网络也几乎存在同样的问题，此时传统的防火墙却显得毫无办法。

2 ARP防御对策分析

通过上面的叙述不难发现ARP欺骗是一种更改ARP Cache的技术。目前很多种ARP防范措施，一是解决措施的防范能力有限，不是根本办法。二是对网络管理约束很大，不具备可操作性。三是某些措施对网络传输的效能有损失，网速变慢，带宽浪费，不可取。因此可以采用以下措施。

2.1 双绑措施

通过微软提供的ARP命令实现绑定，防范部分ARP攻击。例如：“arp–s 192.168.10.1 AA-AA-AA-AA-AAAA”。机房里面普遍安装了还原卡，我们可以写个批处理放在启动项，电脑开机自动运行实现自动绑定。

2.2 安装ARP防火墙

目前关于ARP类的防护软件较多，安装ARP防火墙来可有效解决ARP攻击，例如：antiarp、金山ARP防火墙等。

2.3 交换机防御法

对于可网管的交换机，我们可以通过将网络划分多个网段来减少ARP病毒带来的危害；每个端口做隔离来保证ARP对每个人不相互影响，在实行端口绑定来防范ARP病毒。

2.4 拨号防御ARP

在人流动性大的情况下，防范麻烦。例如：学生公寓，人员流动频繁，管理起来麻烦，鉴于这样的情况可以采取PPPOE拨号上网的方式。由于PPPOE协议采用是点对点的通信方式，它能单独控制每个用户，更主要的是不依赖ARP服务，因此ARP攻击从根本上就无法实现。

3 结语

ARP攻击是由于设计时候自身的缺陷导致的安全漏洞，让ARP攻击的有可乘之机。本文在根据高校实际情况出发，采用不同的防御方法从某种程度上减弱其破坏性，在实际生活中使用了以上方法ARP攻击取得了良好的防御效果。对防止ARP病毒肆意传播，减少ARP病毒对网络的危害，对网络的有效保护起到一定的借鉴意义。