導(dǎo)語(yǔ)：局域網(wǎng)ARP分析論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

【摘要】本文將對(duì)近期校園局域網(wǎng)種頻繁發(fā)生的arp欺騙基本原理進(jìn)行介紹，并且通過(guò)網(wǎng)關(guān)等實(shí)際生活中的例子加以解釋，同時(shí)介紹幾種常見(jiàn)的ARP欺騙和攻擊方式，并且從客戶端、網(wǎng)關(guān)等多個(gè)方面提出關(guān)于如何防御ARP攻擊的多種方法，以達(dá)到全面防御維護(hù)局域網(wǎng)絡(luò)安全的目的。

關(guān)鍵詞：地址解析協(xié)議，介質(zhì)訪問(wèn)控制，網(wǎng)絡(luò)安全

Abstract

Inthispaper,afraudulentactionwhichwascalledARPCheatinghappensfrequentlyintheLANofcampus.Thebasisontheelementswillbeintroducedandexplainedthroughtheexampleofgatewayandsoon.Atthesametime,afewfamiliarmannersofARPcheatingwillbeintroduced.Finally,itwillbringforwardsomemethodsindifferentanglebywhichwewillbuiltamoresecureenvironmentoftheLAN.

Keywords：AddressResolutionProtocol，MACAddress，ARPCheating，securityofnetwork

1.引言

ARP欺騙是一種利用計(jì)算機(jī)病毒是計(jì)算機(jī)網(wǎng)絡(luò)無(wú)法正常運(yùn)行的計(jì)算機(jī)攻擊手段。近期，一種叫“ARP欺騙”的木馬病毒在校園網(wǎng)中擴(kuò)散，嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。

感染此木馬的計(jì)算機(jī)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時(shí)會(huì)突然掉線，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。比如出現(xiàn)用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)等現(xiàn)象。如果校園網(wǎng)需要通過(guò)身份認(rèn)證的，會(huì)突然出現(xiàn)認(rèn)證信息（無(wú)法ping通網(wǎng)關(guān)）。重啟機(jī)器或在

MS-DOS窗口下運(yùn)行命令arp-d后，又可恢復(fù)上網(wǎng)。這種木馬危害也很大。各大學(xué)校園網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情。ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)無(wú)法上網(wǎng)，嚴(yán)重的可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。此外，此木馬還會(huì)竊取用戶密碼，如盜取QQ密碼、網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。

2.ARP與MAC

ARP（AddressResolutionProtocol）[1]是地址解析協(xié)議的簡(jiǎn)稱，是一種將IP地址轉(zhuǎn)化為物理地址的協(xié)議。在OSI網(wǎng)絡(luò)參考模型的第二層（數(shù)據(jù)鏈路層）中，存在著兩個(gè)子層：介質(zhì)訪問(wèn)控制（MAC）和邏輯鏈路控制（LLC）。由MAC子層提供的最廣為認(rèn)知的服務(wù)或許就是它的地址了，就像以太網(wǎng)的地址一樣。在以太網(wǎng)中，數(shù)據(jù)傳輸?shù)哪康牡刂泛驮吹刂返恼矫Q是MAC地址。此地址大多數(shù)情況下是獨(dú)一無(wú)二的固化到硬件設(shè)備上的，而IP地址所要轉(zhuǎn)化的物理地址就是MAC地址。[2]

在網(wǎng)絡(luò)數(shù)據(jù)傳輸中實(shí)際傳輸?shù)氖恰皫?Frame)，它以比特流的方式通過(guò)傳輸介質(zhì)傳輸出去，其中幀里面就包含有所要傳送的主機(jī)的MAC地址。在以太網(wǎng)中一臺(tái)主機(jī)要同另一臺(tái)主機(jī)進(jìn)行通信就必須要知道對(duì)方的MAC地址（就如同我們要給對(duì)方郵信一定要知道對(duì)方的地址一樣）。但是我們?nèi)绾沃肋@個(gè)MAC地址呢？這時(shí)就用到了地址解析協(xié)議，所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。

每臺(tái)安裝有TCP/IP協(xié)議的計(jì)算機(jī)主機(jī)里都有一個(gè)ARP緩存表，表中的IP地址與MAC

地址是一一對(duì)應(yīng)的，如表1所示：

表1地址解析協(xié)議緩存地址表

值得注意的一點(diǎn)是：ARP緩存表采用了一種老化機(jī)制，在一定的時(shí)間內(nèi)如果某一條記

錄沒(méi)有被使用過(guò)就會(huì)被刪除。這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。首先根據(jù)上表用兩個(gè)主機(jī)通過(guò)一個(gè)網(wǎng)關(guān)進(jìn)行通信的例子說(shuō)明一下：假設(shè)當(dāng)主機(jī)A

（192.168.10.1）向主機(jī)B（192.168.10.2）發(fā)送數(shù)據(jù)時(shí)，主機(jī)A首先會(huì)在自己的ARP緩存表中查找是否存在“IP=192.168.10.2”的記錄。若找到就會(huì)根據(jù)ARP緩存表中IPMAC的對(duì)應(yīng)關(guān)系找到主機(jī)B的“MAC地址=bb-bb-bb-bb-bb-bb”。但是如果主機(jī)A沒(méi)有在表中找到主機(jī)B的IP地址，那么主機(jī)A機(jī)就會(huì)向網(wǎng)絡(luò)發(fā)送一個(gè)ARP協(xié)議廣播包，這個(gè)廣播包里面就有待查詢的主機(jī)B的IP地址，而直接收到這份廣播包的所有主機(jī)都會(huì)查詢自己的IP地址是否與之匹配。如果收到廣播包的某一個(gè)主機(jī)發(fā)現(xiàn)自己符合條件，那么就準(zhǔn)備好一個(gè)包含自

己MAC地址的ARP包傳送給發(fā)送ARP廣播的主機(jī)。廣播主機(jī)接收到ARP包后會(huì)更新自己的ARP緩存表。發(fā)送廣播的主機(jī)就會(huì)用新的ARP緩存數(shù)據(jù)準(zhǔn)備好數(shù)據(jù)鏈路層的數(shù)據(jù)包發(fā)送工作。這樣主機(jī)A就得到了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。

3.ARP欺騙和攻擊方式

3.1簡(jiǎn)單的欺騙攻擊

這種欺騙方式是指：欺騙主機(jī)通過(guò)發(fā)送偽造的ARP包來(lái)欺騙網(wǎng)關(guān)和目標(biāo)主機(jī)，讓目標(biāo)主機(jī)認(rèn)為這是一個(gè)合法的主機(jī)。其中包括兩種情況：

①局域網(wǎng)主機(jī)冒充網(wǎng)關(guān)進(jìn)行欺騙

欺騙過(guò)程如圖1所示：當(dāng)PC_A要與網(wǎng)關(guān)GW_C通訊時(shí)，首先要知道GW_C的MAC地址，如果局域網(wǎng)中另有一臺(tái)主機(jī)PC_B冒充GW_C告訴PC_A：GW_C的MAC地址是MACB，那么PC_A就受騙了；或者直接告訴PC_A：GW_C的MAC地址是PC_X，那么

就會(huì)如同我們郵寄信件時(shí)寫錯(cuò)了地址，信件或者是發(fā)錯(cuò)了地方，或者是根本就發(fā)送不出去。

這樣一來(lái)就會(huì)造成斷線。

圖1簡(jiǎn)單的主機(jī)對(duì)主機(jī)通過(guò)網(wǎng)關(guān)連接圖

網(wǎng)絡(luò)中通訊有一個(gè)前提條件，也就是必須滿足通訊雙方都能向?qū)Ψ絺魉蛿?shù)據(jù)才會(huì)確保正

常通訊，即：確保PC_AGW_C和GW_CPC_A的通訊都沒(méi)有問(wèn)題時(shí)，才能確保通訊正常。假如PC_B冒充PC_A，告訴GW_C，PC_A的MAC是MACB，那么就會(huì)出現(xiàn)：當(dāng)PC_AGW_C時(shí)沒(méi)有問(wèn)題，可是當(dāng)GW_CPC_A時(shí)就回出錯(cuò)，造成網(wǎng)絡(luò)斷線的現(xiàn)象。

3.2基于ARP的“中間人攻擊”

MITM(Man-In-The-Middle)稱為“中間人攻擊”，是一種“間接”的入侵攻擊方式。這種攻擊是利用一定手段在兩臺(tái)或多臺(tái)主機(jī)之間人為的加入一臺(tái)透明主機(jī)，（這對(duì)其他用戶是透明的）這臺(tái)主機(jī)就稱為“中間人”?！爸虚g人”能夠與原始主機(jī)建立連接、截獲并篡改它們的通信數(shù)據(jù)。由于“中間人”對(duì)于原通信雙方是透明的，使得“中間人”很難被發(fā)現(xiàn)，也就使得這種攻擊更加具有隱蔽性。而其中“中間人”常用的一種手段就是通過(guò)ARP欺騙的方式來(lái)實(shí)現(xiàn)的。基本欺騙過(guò)程如圖2所示：

圖2MITM“中間人攻擊”示意圖

假設(shè)有同一網(wǎng)段內(nèi)的三臺(tái)主機(jī)A，B，C。主機(jī)A，B為合法主機(jī)，C為“中間人”攻擊者。

如果主機(jī)C分別向主機(jī)A和C發(fā)送假消息，即：告訴主機(jī)A，主機(jī)C的MAC地址是MACB，同時(shí)告訴主機(jī)B，主機(jī)C的MAC地址是MACA。這樣主機(jī)C就成功地成為了A與B的“中間人”。那么A，B間正常的直接通信也會(huì)隨之中斷。取而代之的是A，B間每次進(jìn)行信息交互時(shí)都要經(jīng)過(guò)主機(jī)C。這樣，主機(jī)C就可以有辦法監(jiān)聽(tīng)A與B之間的通信，達(dá)到監(jiān)聽(tīng)的目的了。如果C不轉(zhuǎn)發(fā)A與B之間的通信，就會(huì)造成主機(jī)A，B之間的網(wǎng)絡(luò)連接中斷。3.3MAC洪泛現(xiàn)象

MACFlooding可以稱之為MAC洪泛現(xiàn)象。其中flooding是一種快速散布網(wǎng)絡(luò)連接設(shè)備

（如交換機(jī)）更新信息到整個(gè)大型網(wǎng)絡(luò)打每一個(gè)節(jié)點(diǎn)的一種方法。交換機(jī)中也存放著一個(gè)ARP緩存表。同主機(jī)中的ARP緩存表相同，它也起到記錄網(wǎng)絡(luò)設(shè)備MAC地址與IP地址的對(duì)應(yīng)關(guān)系的功能。但是交換機(jī)中的ARP緩存表的大小是固定的，這就導(dǎo)致了ARP欺騙的另一種隱患：由于交換機(jī)可以主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)這個(gè)ARP緩存表，當(dāng)某人利用欺騙攻擊連續(xù)大量的制造欺騙MAC地址，ARP緩存表就會(huì)被迅速填滿，同時(shí)更新信息以洪泛方式發(fā)送到所有的接口，也就代表TRUNKING（所謂TRUNKING是用來(lái)在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè)VLAN的成員能夠相互通訊。[3]）的流量也會(huì)發(fā)給所有的接口和鄰近的交換機(jī)，會(huì)導(dǎo)致其他交換機(jī)的ARP表溢出，造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。所以說(shuō)MACFlooding是一種比較

危險(xiǎn)的攻擊，嚴(yán)重會(huì)使整個(gè)網(wǎng)絡(luò)不能正常通信。3.4基于ARP的DoS攻擊

DoS(DenialofService)中文為，拒絕服務(wù)攻擊。DoS攻擊的目的就是讓被攻擊主機(jī)拒絕用戶的服務(wù)訪問(wèn)，破環(huán)系統(tǒng)的正常運(yùn)行。最終使用戶的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。

[4]基于ARP的DoS攻擊是新出現(xiàn)的一種攻擊方式。它的基本原理是：攻擊者利用ARP欺騙工具，不斷向被攻擊主機(jī)發(fā)送大量的連接請(qǐng)求，由于遭到ARP欺騙的主機(jī)不能夠根據(jù)ARP緩存表找到對(duì)方主機(jī)，加之主機(jī)的處理能力有限，使得它不能為正常用戶提供服務(wù)，便出現(xiàn)拒絕服務(wù)。在這個(gè)過(guò)程中，攻擊者可以使用ARP欺騙方式來(lái)隱藏自己，這樣在被攻擊主機(jī)的日志上就不會(huì)出現(xiàn)攻擊者真實(shí)的IP地址。被攻擊主機(jī)不能根據(jù)日志上提供的IP地址找到正真的攻擊者。所以在攻擊的同時(shí)，不會(huì)影響到本機(jī)，具有很強(qiáng)的隱密性。

以上幾種欺騙方式中，第一種最為常見(jiàn)，攻擊者通常利用ARP木馬病毒進(jìn)行攻擊。但是從本質(zhì)上看，所有的欺騙方式都是一樣的，都是利用ARP緩存表的老化機(jī)制使得ARP欺騙有機(jī)可乘。

4.ARP欺騙解決方案

4.1DHCP結(jié)合靜態(tài)捆綁法

DHCP是DynamicHostConfigurationProtocol（動(dòng)態(tài)主機(jī)分配協(xié)議）縮寫。要想徹底避

免ARP欺騙的發(fā)生，我們需要讓每臺(tái)計(jì)算機(jī)的MAC地址與IP地址唯一且對(duì)應(yīng)。雖然我們可以通過(guò)為每臺(tái)計(jì)算機(jī)設(shè)置IP地址的方法來(lái)管理網(wǎng)絡(luò)，但是對(duì)于那些通過(guò)ARP欺騙非法攻擊的用戶來(lái)說(shuō)，他可以事先自己手動(dòng)更改IP地址，這樣檢查起來(lái)就更加復(fù)雜了。

這就需要進(jìn)行IP與MAC的雙向綁定，也就是說(shuō)在網(wǎng)關(guān)的交換機(jī)處?kù)o態(tài)綁定用戶的MAC

地址和IP地址的同時(shí)，在客戶端靜態(tài)綁定網(wǎng)關(guān)MAC地址和IP地址以及同一網(wǎng)段的IP地址

和MAC地址，使之不再動(dòng)態(tài)學(xué)習(xí)。但這只是一個(gè)理想的解決方案，因?yàn)檫@樣會(huì)大大加重網(wǎng)絡(luò)管理的負(fù)擔(dān)。網(wǎng)絡(luò)管理員要非常熟悉交換機(jī)設(shè)備，因?yàn)楣芾韱T要在交換機(jī)和客戶端加入一臺(tái)計(jì)算機(jī)并且添加一條記錄，否則將無(wú)法通信。這就需要提出一種更加全面立體的防御對(duì)策。

4.2幾種主要的防御方案

4.2.1使用交換機(jī)進(jìn)行設(shè)置

從交換機(jī)的角度，以Cisco解決方案為例。思科DynamicARPInspection(DAI)在交換機(jī)上提供IP地址和MAC地址的綁定，并動(dòng)態(tài)建立綁定關(guān)系。DAI以DHCPSnooping綁定表為基礎(chǔ)，對(duì)于沒(méi)有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加ARPaccess-list實(shí)現(xiàn)。DAI配置針對(duì)VLAN，對(duì)于同一VLAN內(nèi)的接口可以開(kāi)啟DAI也可以關(guān)閉。通過(guò)DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文數(shù)量。這樣可以有效地提高網(wǎng)絡(luò)安全性和穩(wěn)定性。

配置示例：網(wǎng)際操作系統(tǒng)（IOS）全局命令：

ipdhcpsnoopingvlan100,200/*交換機(jī)可以通過(guò)dhcpsnooping功能監(jiān)聽(tīng)dhcp廣播報(bào)文，記錄用戶的ip地址信息。

noipdhcpsnoopinginformationoptionipdhcpsnooping

iparpinspectionvlan100,200/*定義對(duì)哪些VLAN（虛擬局域網(wǎng)）進(jìn)行ARP報(bào)文檢測(cè)。

iparpinspectionlog-bufferentries1024

iparpinspectionlog-bufferlogs1024interval10

網(wǎng)際操作系統(tǒng)接口命令：

ipdhcpsnoopingtrust

iparpinspectiontrust/*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口，TRUNK接口等。

iparpinspectionlimitrate15(pps)/*檢查限制接口每秒ARP報(bào)文數(shù)量（15脈沖/秒）。對(duì)于沒(méi)有使用DHCP設(shè)備可以采用下面辦法：

arpaccess-liststatic-arp/*設(shè)置靜態(tài)ARP訪問(wèn)表

permitiphost192.*.*.*machosta-a-a-a-a-a/*將ip地址192.*.*.*與maca-a-a-a-a-a靜態(tài)綁定

iparpinspectionfilterstatic-arpvlan201

配置DAI后的效果：

由于DAI檢查對(duì)DHCPsnooping綁定表中的IP和MAC對(duì)應(yīng)關(guān)系，所以無(wú)法實(shí)施中間人攻擊，攻擊工具失效。圖3為實(shí)施中間人攻擊時(shí)交換機(jī)的警告：

圖3中間人攻擊時(shí)交換機(jī)的警告

由于對(duì)ARP請(qǐng)求報(bào)文做了速度限制，客戶端無(wú)法進(jìn)行認(rèn)為或者病毒進(jìn)行的IP掃描、探

測(cè)等行為，如果發(fā)生這些行為，交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器。如圖4所示：

圖4交換機(jī)警報(bào)并切斷端口過(guò)程

用戶獲取IP地址后，不能修改IP或MAC。如果用戶同時(shí)修改IP和MAC必須是網(wǎng)絡(luò)

內(nèi)部合法的IP和MAC才可，對(duì)于這種修改可以使用IPSourceGuard技術(shù)來(lái)防范。圖5為手動(dòng)指定IP地址的報(bào)警：

圖5手動(dòng)指定IP地址的報(bào)警

為了防止局域網(wǎng)外部對(duì)局域網(wǎng)進(jìn)行ARP攻擊，下面以阿爾法寬帶路由器為例介紹基本

的路由器ARP表綁定設(shè)置。在進(jìn)行ARP綁定前首先要確定網(wǎng)絡(luò)是正常運(yùn)行的，然后再進(jìn)行

ARP綁定設(shè)置。具體設(shè)置如下：

⑴啟用ARP綁定功能。默認(rèn)下該定功能是關(guān)閉的，首先打開(kāi)路由器的管理界面，選擇

“MAC地址綁定”。打開(kāi)如圖6所示的界面，勾中“啟用ARP綁定”，點(diǎn)擊“保存”。

可以看到當(dāng)前路由器自動(dòng)獲取的局域網(wǎng)內(nèi)電腦的IP地址與MAC地址的映射表。如果

確認(rèn)這個(gè)表是正確的（即所有的電腦都可以正常上網(wǎng)、MAC地址沒(méi)有重復(fù)，這個(gè)表一般就沒(méi)有錯(cuò)誤了。），可以選擇某個(gè)條目后面的“綁定”操作進(jìn)行單獨(dú)的MAC地址綁定，也可通過(guò)點(diǎn)擊“全部綁定”把ARP表中的所有條目綁定。如果綁定成功就會(huì)看到“狀態(tài)”項(xiàng)從“未綁定”變?yōu)椤耙呀壎ā?。為了在路由器重啟后使這些綁定條目仍然有效，可以選擇“全部導(dǎo)入”把這些條目存入靜態(tài)ARP表，打開(kāi)“ARP靜態(tài)綁定設(shè)置”（如圖8所示）可以看到一個(gè)靜態(tài)的ARP映射表已經(jīng)建立。圖8對(duì)ARP映射表綁定

對(duì)于這個(gè)靜態(tài)ARP映射表，可以進(jìn)行修改、刪除、取消綁定等操作。點(diǎn)擊條目右邊的“修

改”就可以修改該條目的IP地址、MAC地址和綁定狀態(tài)。點(diǎn)擊“刪除”可刪掉該條目?？梢渣c(diǎn)擊“取消所有綁定”可把ARP表中的所有綁定條目暫時(shí)取消，當(dāng)需要的時(shí)候點(diǎn)擊“綁定所有條目”就可以重新綁定這些條目。當(dāng)不再需要這個(gè)靜態(tài)ARP表時(shí)，點(diǎn)擊“刪除所有條目”則可以刪除整個(gè)ARP表。。如果已經(jīng)知道局域網(wǎng)內(nèi)主機(jī)的MAC地址，也可以在這里手工輸入MAC地址、IP地址來(lái)添加靜態(tài)ARP映射條目。如圖9所示：

圖9手工設(shè)置IP地址注意事項(xiàng)：

①進(jìn)行綁定置前要確認(rèn)ARP緩存表是正確的。

②盡量手工設(shè)置電腦的IP地址，（如圖9）如果是采用DHCP動(dòng)態(tài)獲取IP地址，以后可能會(huì)出現(xiàn)獲取到的地址與當(dāng)前綁定的地址不一致而導(dǎo)致某些電腦不能上網(wǎng)。

③當(dāng)更換電腦網(wǎng)卡時(shí)要更新靜態(tài)ARP映射表。否則由于更換了網(wǎng)卡的主機(jī)的MAC地址于ARP表中的不一致，也會(huì)導(dǎo)致無(wú)法上網(wǎng)。

4.2.3客戶端主機(jī)進(jìn)行ARP綁定設(shè)置

至于個(gè)人電腦的綁定設(shè)置，可以通過(guò)一些軟件如：AntiARP-DNS，或者一些自己編寫的批處理文件使之能夠靜態(tài)綁定ARP緩存表，此外WindowsVista也提供了這樣的供能。下面僅針對(duì)大多數(shù)用戶介紹一種在命令提示符下綁定ARP緩存表的方法。

在本地主機(jī)上可以使用arp–a命令，顯示如圖10：

圖10命令提示符中運(yùn)行arp-a

這就是主機(jī)中的ARP緩存表。其中“dynamic”代表動(dòng)態(tài)緩存，即這項(xiàng)在收到一個(gè)ARP

包時(shí)會(huì)被動(dòng)態(tài)修改。如果更改的ARP緩存表中的“PhysicalAddress”是被欺騙的虛假的信息，當(dāng)主機(jī)通過(guò)ARP緩存表按照提供的MAC地址進(jìn)行通信時(shí)卻不能找到正確的通信對(duì)象，因此就不能和其他主機(jī)正常通信了。所以，我們要手動(dòng)建立起可信任的ARP緩存表。靜態(tài)表的建立用arp-sIPMAC命令。

執(zhí)行“arp–s222.26.12.12900-e0-fc-49-a9-fb”再次查看ARP緩存表：（如圖11）

此時(shí)“Type”項(xiàng)變成了“static”靜態(tài)類型。在這種狀態(tài)下，在接受到ARP包時(shí)也不會(huì)改變

本地緩存表，從而有效的防止ARP攻擊。由于靜態(tài)的ARP緩存表在每次重啟后都會(huì)自動(dòng)恢復(fù)原來(lái)設(shè)置，所以每次開(kāi)機(jī)都需要重新設(shè)置。

這就為我們提供了一個(gè)新的思路：其一，可以將利用ARP靜態(tài)綁定的軟件來(lái)提前設(shè)置綁定表，并將其加入系統(tǒng)啟動(dòng)項(xiàng)目里。這樣，我們每次啟動(dòng)電腦時(shí)都會(huì)自動(dòng)運(yùn)行ARP靜態(tài)綁定程序，以達(dá)到保護(hù)客戶端的目的。其二，可以編寫一個(gè)簡(jiǎn)單實(shí)用的dat文件，添入啟動(dòng)項(xiàng)中。這樣，運(yùn)行之后程序會(huì)自動(dòng)結(jié)束，不占用內(nèi)存資源。不失為一種簡(jiǎn)單實(shí)用的方法。除此之外，會(huì)話加密也很重要。[5]我們不應(yīng)該把網(wǎng)絡(luò)安全的信任關(guān)系完全建立在IP地址或硬件MAC地址的基礎(chǔ)上，而是應(yīng)該對(duì)所有要傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密，然后再進(jìn)行傳

輸。這樣，即使我們傳輸?shù)臄?shù)據(jù)被其他主機(jī)惡意監(jiān)聽(tīng)，也無(wú)法獲得切實(shí)有用的信息。

綜上所述，ARP協(xié)議自身的缺陷雖然給網(wǎng)絡(luò)安全，尤其是局域網(wǎng)絡(luò)的安全帶來(lái)很大的隱

患，所以我們要高度引起重視。但是只要掌握了它的基本原理，就可以從多方面下手，杜絕隱患。普通的一種方法也許不能夠完全杜絕這種網(wǎng)絡(luò)傳輸中所帶來(lái)的隱患，只有在客戶端、各個(gè)網(wǎng)關(guān)和服務(wù)器端同時(shí)建立起有效的立體防御機(jī)制，才能有保證網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]免費(fèi)論文網(wǎng)

[2][美]賴?yán)?Riley,C.)等著．ISCO網(wǎng)絡(luò)核心技術(shù)解析［M］.江魁等譯．北京：水利水電出版社，2005．

[3]Trunking［EB/OL］．/question/37275192.html，2007-10-21．

[4]王群．非常網(wǎng)管.網(wǎng)絡(luò)安全［M］.北京：人民郵電出版社，2007.4．

[5]譚敏楊衛(wèi)平．ARP病毒攻擊與防范［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008.4

⑵綁定ARP表。選擇“ARP映射表”，會(huì)打開(kāi)如下界面（如圖7）：