刘昌烜

【摘要】本文在对ARP欺骗攻击防控方法分析研究中，对局域网在运行过程中存在的安全问题作为研究基础，了解ARP协议存在的不足，同时为计算机系统带来的安全隐患，进而对ARP欺骗攻击防控方法进行详细阐述。笔者在分析研究之后发现，不同类别ARP欺骗攻击防控方法都具有不同特征，局域网在实际应用过程中可以按照实际应用情况进行结合。

【关键词】网络安全；ARP欺骗攻击；防控方法

在传统网络安全内，主要对外网对局域网所造成的攻击进行分析研究，所采取的网络安全技术主要针对外网攻击进行设计，例如防火墙、入侵检测系统等。内部攻击主要表示由内部人员引起，对系统所造成的不良影响。研究人员在研究之后认为，在已经发生的网络安全事故内，大部分网络安全事故全部属于内网。在ARP欺骗攻击防控方法内，ARP是主要遭受到的安全威胁。

1 ARP欺骗攻击

1.1 ARP工作原理

两个主机在进行传输过程中，需要通过网卡内物理地址落实，ARP在实际应用过程中主要功能就是对主机地址进行了解，了解对应主机地址，进而保证两台主机之间能够顺利通信。

主机在发出数据包之前，主机会按照网段广播申请ARP，对目的主机进行查询，物理网络内主机在接受到这ARP请求之后，需要对数据包内地址进行对比，保证IP地址相一致，要是数据包存在差别，就可以忽略不计。要是IP地址相同，主机就会将ARP数据包回传到主机内。主机在接受到ARP数据包之后，主机地址和针对地址都存储到针对缓存列表内，并且借助物理通道对信息进行传输。

1.2 ARP欺骗攻击类型

ARP协议是建设在局域网结点上面，在实际应用过程中具有较高运行效率，但是运行安全系数却较低。主机在接受到目标之后，ARP协议会接受针对主机内容，对目标内容进行储存，但是并不需要对主机ARP请求包进行检验，同时也不会判断应打包是都合理。在这种情况下，ARP非常容易造成攻击，攻击者可以借助ARP存在的安全漏洞，传播虚假信息，对主机之间的通信造成不良影响。从网络连接通畅方式而言，ARP欺骗攻击主要可以分为三种类别，分别为内网主机欺骗、ARP表格欺骗及中间人攻击。

2 ARP欺骗攻击防控方法

2.1 IP静态绑定

IP静态绑定是以静态ARP表作为基础原理，将Mac地址和ARP地址进行绑定，非法攻击者在向主机传输非法地址情况下，ARP就会申请针对性数据包，主机并不会发现自身所储存的ARP缓存表存在错误。IP静态绑定实现方法步骤为：（1）按照主机所应用指令，对命令进行针对性传输，主要是对IP地址及Mac地址进行传输；（2）以内网交换机端口作为基础条件，对Mac地址和IP地址在主机上合法绑定。IP静态绑定方法在实际应用过程中，主要在机器数量较少及较为固定地点上应用，例如学校机房等地点，并不适合在大型局域网上面应用。主要原因是由于IP静态绑定方法在应用过程中需要配置任务作为保证，工作数量及难度较高。

2.2划分安全域

ARP遭受到局域网攻击过程中，其中主机在遭受到ARP病毒感染情况下，整个局域网都会遭受到病毒影响。因此，局域网覆盖范围月越广，病毒所造成的不良影响将会越加严重。在内部网络环境内，可以借助VLAN对局域网进行划分，也就是将ARP欺骗攻击控制在合理范围。划分安全域在实际应用过程中能够有效缓解ARP攻击，对ARP攻击传播范围进行控制。但是划分安全域在应用过程中也存在一定缺点，也就是安全域划分要是过细，就会造成局域网资源共享难度较高，局域网管理难度显著提高。

2.3 s-arp

s-arp是以ARP协议作为基础，所形成的协议，同时和ARP协议之间具有良好兼容性，借助非对称加密机制，对ARP数据包完整性和精确性進行保证，有效填补原有ARP协议存在的缺陷，进而对ARP攻击有效防范。局域网内s-arp协议，主机上都具有针对性密钥及证书，每一个证书上都具有Mac地址及IP地质，并且主机上都具有签名信息。不同主机在通信传输过程中，主机需要对传输的Mac地址及IP地质信息进行验证，保证用户身份合理性，因此非法攻击者无法通过窃取信息应打包进行检验。S-arp协议有效阶级了传统ARP协议存在的问题，但是现阶段仅仅能够在linux系统内应用，无法在windows系统内应用。S-arp协议在今后分析研究中，在windows平台上应用进行分析研究。这几种ARP欺骗攻击防控方法在应用过程中存在不同优势，进而局域网管理人员在对其选择中，需要按照局域网实际需求，选择适合自身应用的ARP欺骗攻击防控方法，保证局域网并不遭受到ARP欺骗攻击。

结论

本文主要以局域网ARP工作原理进行分析研究，了解ARP欺骗攻击防控类别，并且对不同ARP欺骗攻击防控方法进行了解。简而言之，在局域网内，攻击者在不了解局域网操作系统及应用软件情况下，仅仅利用ARP协议存在的漏洞，可以对局域网网络内攻击进行了解，提高主机信息利用效率。所以，提高网络边界防护的情况下，也需要提高对局域网内部防护关注程度。

参考文献

[1]邢金阁，刘扬.ARP欺骗攻击的检测及防御技术研究[J].东北农业大学学报，2012，08：74-77.

[2]宋玉芹.基于WINPCAP实现ARP欺骗攻击[J].吉林省教育学院学报，2011，09：150-152.

[3]王绍龙，王剑，冯超.ARP欺骗攻击的取证和防御方法[J].网络安全技术与应用，2016，10：27-28.