局域网中的ARP攻击与防护

【摘 要】当网络给人们带来巨大便利的同时，也存在着越来越多的安全隐患问题。本文从介绍ARP的数据包结构，ARP的工作原理，ARP的攻击原理以及它的几种攻击类型，从而做出ARP的防护措施，从个人PC的病毒清理到整个网络的安全策略设计，以及平常运行过程中的网络维护。

【关键词】ARP；ARP攻击；防护

中图分类号： TP393.08 文献标识码： A 文章编号： 2095-2457（2018）25-0290-003

DOI：10.19694/j.cnki.issn2095-2457.2018.25.133

【Abstract】While the Internet brings great convenience to people， there are more and more safety problems.This paper introduces the packet structure of ARP，the working principle of ARP，the attack principle of ARP and several attack types of ARP，so as to make ARP protection measures，involving virus cleanup of PC to security policy design of entire network，and network maintenance during normal operation.

【Key words】ARP；ARP Attack；Protection

ARP協议是常用的TCP/IP底层协议。在以太网中进行IP通信的时候需要一个协议来建立IP地址与MAC地址的对应关系，以使IP数据包能发到一个确定的地方去。这就是ARP（Address Resolution Protocol，地址解析协议）。在所有的网络安全威胁中，对局域网最常见的攻击手段就是ARP攻击。攻击者往往利用ARP协议本身存在的缺陷，用一些专门的工具进行网络的攻击。这种攻击会造成局域网中用户信息数据的丢失，应该采取相应的安全措施来解决这些问题。

1 ARP攻击的原理及常见类型

ARP攻击主要是通过伪造IP地址和MAC地址进行欺骗，使以太网数据包的源地址、目标地址和ARP数据包的协议地址不匹配，从而在网络中产生大量的ARP通信量导致网络中断或中间人攻击。ARP攻击主要存在于局域网中，若其中一台计算机感染ARP病毒，就会试图通过ARP欺骗截获局域网内其他计算机的信息，造成局域网内的计算机通信故障。

现在局域网中比较常见的ARP攻击包括：上网时断时续，拷贝文件无法完成，局域网内的ARP包激增，出现不正常的MAC地址，MAC地址对应多个IP地址，网络数据发不出去了，网上发送信息被窃取，个人PC中毒，局域网内MAC地址泛洪使MAC地址缓存表溢出等问题。

2 局域网中ARP的攻击类型

2.1 ARP泛洪攻击

通过向网关发送大量ARP报文，导致网关无法正常响应。如图2-1所示：主机（IP192.168.20.1）首先发送大量的ARP请求报文，然后又发送大量虚假的ARP响应报文，从而造成网关部分的CPU利用率上升难以响应正常服务请求，而且网关还会被错误的ARP表充满导致无法更新维护正常ARP表，消耗网络带宽资源。

图2-1 ARP泛洪攻击

2.2 ARP欺骗主机的攻击

ARP欺骗主机的攻击也是ARP众多攻击类型中很常见的一种。攻击者通过ARP欺骗使得局域网内被攻击主机发送给网关的流量信息实际上都发送给攻击者。主机刷新自己的ARP使得在自己的ARP缓存表中对应的MAC为攻击者的MAC，这样一来其他用户要通过网关发送出去的数据流就会发往主机这里，这样就会造成用户的数据外泄。

2.3 欺骗网关的攻击

欺骗网关就是把别的主机发送给网关的数据通过欺骗网关的形式使得这些数据通过网关发送给攻击者。这种攻击目标选择的不是个人主机而是局域网的网关，这样就会攻击者源源不断的获取局域网内其他用户的数据，造成数据的泄露，同时用户电脑中病毒的概率也会提升。

2.4 中间人攻击

中间人攻击是同时欺骗局域网内的主机和网关，局域网中用户的数据和网关的数据会发给同一个攻击者，这样，用户与网关的数据就会泄露。如图2-3所示：攻击者通过发送ARP攻击使得本来192.168.20.2要发送给网关192.168.20.3的数据发送给了MACA，然而在对于网关方面攻击者通过发送回应数据使得网关发给主机192.168.20.2的数据对应的MAC为MACA，数据又会返回192.168.20.1的主机上面所以这样192.168.20.2与网关192.168.20.3的通讯则都是通过192.168.20.1这样则为发起中间人的攻击。

图2-2 ARP中间人攻击

2.5 IP地址冲突攻击

通过对局域网中的物理主机进行扫描，扫描出局域网中的物理主机的MAC地址，然后根据物理主机的MAC进行攻击，导致局域网内的主机产生IP地址冲突，影响用户的网络正常使用。

3 局域网中ARP的防护策略

3.1 用户机绑定安全设置

要保证用户机的安全，使主机IP与MAC绑定。常用方法是在运行窗口中输入CMD，在弹出窗口中输入ipconfig /all，找到IPv4地址和物理地址，输入arp -s IP地址，再输入arp -s MAC地址，实现主机IP与物理地址的绑定。

3.2 用户机病毒的清除

在局域网络中ARP的攻击很多是由于用户机出现了病毒从而不断的发出ARP的欺骗攻击，导致整个局域网及所有用户出现问题。Autorun是网络中常见的病毒，通常会通过U盘传播，感染相应的用户机，可以使用固定程序来实现对这种病毒的清除。

3.3 主机日常清理策略

我们平时在使用计算机时，会产生很多的系统垃圾。这些垃圾不仅会影响电脑的运行速度，还会造成很多的电脑漏洞，如果不注意清理，就会为ARP的攻击与ARP病毒的入侵创造了条件，更容易使我们的电脑或局域网络中的服务器受到攻击，给用户带来很多的问题。

3.4 端口绑定策略

通常情況下，ARP的攻击往往是产生于局域网内，所以要做ARP的防护首先要从接入层交换机来进行。端口绑定技术就是通过IP+MAC+端口的策略来进行端口安全的设定。局域网内的ARP攻击，通过绑定可以实现设备对转发报文的过滤与控制，从而提高局域网络的安全性。目前，各个厂商都有自己的端口绑定技术，比如CISCO推出的端口安全技术就是通过限制接入交换机绑定的MAC的数量，让交换机自动获取或手动配置这些地址，配置了该特性之后，接口会把自动学习到的地址转换为粘性安全地址。

3.5 端口隔离策略

采用端口隔离的技术也是对ARP攻击进行防护的一种有效方法。通过端口的隔离，一旦局域网内的用户感染病毒或受到ARP病毒攻击，只会影响一个端口，并不会影响其他用户。端口隔离的方法也有很多，不同的厂商才用的方法也不一样。常见的是CISCO采用基于端口VLAN的划分，通过将不同的端口加入不同的VLAN中，从而实现端口的隔离。另外，华三、华为的方法通过划分端口的策略来进行端口的隔离。

3.6 DAI防止ARP攻击策略

DAI（动态ARP检测）是指从可信端口收到的ARP数据包，不用进行任何检查，直接进行转发；不可信端口上的所有ARP数据包在其更新本地ARP缓存之前，先根据IP与MAC地址绑定数据库来检测每个ARP数据包的合法性，丢弃并记录与绑定数据库信息不符的非法ARP数据包。也可以限制ARP数据包的发送速率，并且当速率过高时，把接口转变为err-disable状态。

以上是我们在局域网络中常见的ARP攻击类型，并针对这些类型的攻击制定了安全策略。但在现实生活中，ARP的攻击往往是错综复杂的，我们介绍的这些安全策略并不能完全解决局域网内所有的ARP攻击，还需要根据实际情况去做具体的完善。

【参考文献】

[1]项宁.管群ARP漏洞及其ARP攻击防范[J].软件导刊，2009（11）.

[2]高喜龙.网络安全与局域网ARP地址欺骗攻击[J].商情，2009（10）.

[3]孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术，2005（05）.

推荐访问： 网中 防护 攻击 ARP