導語：局域網(wǎng)絡ARP攻擊防范策略一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要文章介紹了ARP地址解析協(xié)議的含義和工作原理，分析了ARP協(xié)議所存在的安全漏洞，給出了網(wǎng)段內(nèi)和跨網(wǎng)段ARP欺騙的實現(xiàn)過程。最后，結合網(wǎng)絡管理的實際工作，重點介紹了IP地址和MAC地址綁定、交換機端口和MAC地址綁定、VLAN隔離等技術等幾種能夠有效防御ARP欺騙攻擊的安全防范策略，并通過實驗驗證了該安全策略的有效性。

關健詞ARP協(xié)議ARP欺騙MAC地址IP地址網(wǎng)絡安全

1ARP協(xié)議簡介

ARP(AddressResolutionProtocol)即地址解析協(xié)議，該協(xié)議將網(wǎng)絡層的IP地址轉換為數(shù)據(jù)鏈路層地址。TCPIP協(xié)議中規(guī)定，IP地址為32位，由網(wǎng)絡號和網(wǎng)絡內(nèi)的主機號構成，每一臺接入局域網(wǎng)或者Internet的主機都要配置一個IP地址。在以太網(wǎng)中，源主機和目的主機通信時，源主機不僅要知道目的主機的IP地址，還要知道目的主機的數(shù)據(jù)鏈路層地址，即網(wǎng)卡的MAC地址，同時規(guī)定MAC地址為48位。ARP協(xié)議所做的工作就是查詢目的主機的IP地址所對應的MAC地址，并實現(xiàn)雙方通信。

2ARP協(xié)議的工作原理

源主機在傳輸數(shù)據(jù)前，首先要對初始數(shù)據(jù)進行封裝，在該過程中會把目的主機的IP地址和MAC地址封裝進去。在通信的最初階段，我們能夠知道目的主機的IP地址，而MAC地址卻是未知的。這時如果目的主機和源主機在同一個網(wǎng)段內(nèi)，源主機會以第二層廣播的方式發(fā)送ARP請求報文。ARP請求報文中含有源主機的IP地址和MAC地址，以及目的主機的IP地址。當該報文通過廣播方式到達目的主機時，目的主機會響應該請求，并返回ARP響應報文，從而源主機可以獲取目的主機的MAC地址，同樣目的主機也能夠獲得源主機的MAC地址。如果目的主機和源主機地址不在同一個網(wǎng)段內(nèi)，源主機發(fā)出的IP數(shù)據(jù)包會送到交換機的默認網(wǎng)關，而默認網(wǎng)關的MAC地址同樣可以通過ARP協(xié)議獲取。經(jīng)過ARP協(xié)議解析IP地址之后，主機會在緩存中保存IP地址和MAC地址的映射條目，此后再進行數(shù)據(jù)交換時只要從緩存中讀取映射條目即可。ARP協(xié)議工作原理詳見圖1和圖2。

3ARP欺騙攻擊的實現(xiàn)過程

3.1網(wǎng)段內(nèi)的ARP欺騙攻擊

ARP欺騙攻擊的核心就是向目標主機發(fā)送偽造的ARP應答，并使目標主機接收應答中偽造的IP與MAC間的映射對，并以此更新目標主機緩存。設在同一網(wǎng)段的三臺主機分別為A,B,C，詳見表1。

表1：同網(wǎng)段主機IP地址和MAC地址對應表

用戶主機IP地址MAC地址

A10．10．100．100-E0-4C-11-11-11

B10．10．100．200-E0-4C-22-22-22

C10．10．100．300-E0-4C-33-33-33

假設A與B是信任關系，A欲向B發(fā)送數(shù)據(jù)包。攻擊方C通過前期準備，可以發(fā)現(xiàn)B的漏洞，使B暫時無法工作，然后C發(fā)送包含自己MAC地址的ARP應答給A。由于大多數(shù)的操作系統(tǒng)在接收到ARP應答后會及時更新ARP緩存，而不考慮是否發(fā)出過真實的ARP請求，所以A接收到應答后，就更新它的ARP緩存，建立新的IP和MAC地址映射對，即B的IP地址10．10．100．2對應了C的MAC地址00-E0-4C-33-33-33。這樣，導致A就將發(fā)往B的數(shù)據(jù)包發(fā)向了C,但A和B卻對此全然不知，因此C就實現(xiàn)對A和B的監(jiān)聽。

3.2跨網(wǎng)段的ARP欺騙攻擊

跨網(wǎng)段的ARP欺騙比同一網(wǎng)段的ARP欺騙要復雜得多，它需要把ARP欺騙與ICMP重定向攻擊結合在一起。假設A和B在同一網(wǎng)段，C在另一網(wǎng)段，詳見表2。

表2：跨網(wǎng)段主機IP地址和MAC地址對應表

用戶主機IP地址MAC地址

A10．10．100．100-E0-4C-11-11-11

B10．10．100．200-E0-4C-22-22-22

C10．10．200．300-E0-4C-33-33-33

首先攻擊方C修改IP包的生存時間，將其延長，以便做充足的廣播。然后和上面提到的一樣，尋找主機B的漏洞，攻擊此漏洞，使主機B暫時無法工作。此后，攻擊方C發(fā)送IP地址為B的IP地址10．10．100．2，MAC地址為C的MAC地址00-E0-4C-33-33-33的ARP應答給A。A接收到應答后，更新其

ARP緩存。這樣，在主機A上B的IP地址就對應C的MAC地址。但是，A在發(fā)數(shù)據(jù)包給B時，仍然會在局域網(wǎng)內(nèi)尋找10．10．100．2的MAC地址，不會把包發(fā)給路由器，這時就需要進行ICMP重定向，告訴主機A到10．10．100．2的最短路徑不是局域網(wǎng)，而是路由，請主機重定向路由路徑，把所有到10．10．100．2的包發(fā)給路由器。主機A在接受到這個合理的ICMP重定向后，修改自己的路由路徑，把對10．10．100．2的數(shù)據(jù)包都發(fā)給路由器。這樣攻擊方C就能得到來自內(nèi)部網(wǎng)段的數(shù)據(jù)包。

4ARP欺騙攻擊安全防范策略

4.1用戶端綁定

在用戶端計算機上綁定交換機網(wǎng)關的IP和MAC地址。

1）首先，要求用戶獲得交換機網(wǎng)關的IP地址和MAC地址，用戶在DOS提示符下執(zhí)行arp–a命令，具體如下：

C:\DocumentsandSettings\user>arp-a

Interface:10.10.100.1---0x2

InternetAddressPhysicalAddressType

10.10.100.25400-40-66-77-88-d7dynamic

其中10.10.100.254和00-30-6d-bc-9c-d7分別為網(wǎng)關的IP地址和MAC地址，因用戶所在的區(qū)域、樓體和交換機不同，其對應網(wǎng)關的IP地址和MAC地址也不相同。

2）編寫一個批處理文件arp.bat，實現(xiàn)將交換機網(wǎng)關的MAC地址和網(wǎng)關的IP地址的綁定，內(nèi)容如下：

@echooff

arp-d

arp-s10.10.100.25400-40-66-77-88-d7

用戶應該按照第一步中查找到的交換機網(wǎng)關的IP地址和MAC地址，填入arp–s后面即可，同時需要將這個批處理軟件拖到“windows--開始--程序--啟動”中，以便用戶每次開機后計算機自動加載并執(zhí)行該批處理文件，對用戶起到一個很好的保護作用。

4.2網(wǎng)管交換機端綁定

在核心交換機上綁定用戶主機的IP地址和網(wǎng)卡的MAC地址，同時在邊緣交換機上將用戶計算機網(wǎng)卡的MAC地址和交換機端口綁定的雙重安全綁定方式。

1）IP和MAC地址的綁定。在核心交換機上將所有局域網(wǎng)絡用戶的IP地址與其網(wǎng)卡MAC地址一一對應進行全部綁定。這樣可以極大程度上避免非法用戶使用arp欺騙或盜用合法用戶的IP地址進行流量的盜取。具體實現(xiàn)方法如下（以AVAYA三層交換機為例）：

P580(Configure)#arp10.10.100.100:E0:4C:11:11:11

P580(Configure)#arp10.10.100.200:E0:4C:22:22:22

P580(Configure)#arp10.10.200.300:E0:4C:33:33:33

2）MAC地址與交換機端口的綁定。根據(jù)局域網(wǎng)絡用戶所在的區(qū)域、樓體和用戶房間所對應的交換機端口號，將用戶計算機網(wǎng)卡的MAC地址和交換機端口綁定。此方案可以防止非法用戶隨意接入網(wǎng)絡端口上網(wǎng)。網(wǎng)絡用戶如果擅自改動本機網(wǎng)卡的MAC地址，該機器的網(wǎng)絡訪問將因其MAC地址被交換機認定為非法而無法實現(xiàn)上網(wǎng)，自然也就不會對局域網(wǎng)造成干擾了。具體操作如下（以AVAYA二層邊緣交換機為例）：

console>(enable)lockport1/1

console>(enable)addmac00:E0:4C:11:11:111

Address00:E0:4C:11:11:11wasaddedtothesecurelist!

console>(enable)lockport1/2

console>(enable)addmac00:E0:4C:22:22:222

Address00:E0:4C:22:22:22wasaddedtothesecurelist!

console>(enable)lockport1/3

console>(enable)addmac00:E0:4C:33:33:333

Address00:E0:4C:33:33:33wasaddedtothesecurelist!

console>(enable)showcam

VLANDestMAC/RouteDesDestinationPort

100:E0:4C:11:11:111/1

100:E0:4C:22:22:221/2

100:E0:4C:33:33:331/3

4.3采用VLAN技術隔離端口

局域網(wǎng)的網(wǎng)絡管理員可根據(jù)本單位網(wǎng)絡的拓卜結構，具體規(guī)劃出若干個VLAN，當管理員發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡，或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡時，網(wǎng)絡管理員可利用技術手段首先查找到該用戶所在的交換機端口，然后將該端口劃一個單獨的VLAN將該用戶與其它用戶進行物理隔離，以避免對其它用戶的影響。當然也可以利用將交換機端口Disable掉來屏蔽該用戶對網(wǎng)絡造成影響，從而達到安全防范的目的。

5結束語

網(wǎng)絡欺騙攻擊作為一種非常專業(yè)化的攻擊手段，給網(wǎng)絡安全管理者帶來了嚴峻的考驗。ARP欺騙是一種典型的欺騙攻擊類型，它利用了ARP協(xié)議存在的安全隱患，并使用一些專門的攻擊工具，使得這種攻擊變得普及并有較高的成功率。文中通過分析ARP協(xié)議的工作原理，探討了ARP協(xié)議從IP地址到MAC地址解析過程中的安全性，給出了網(wǎng)段內(nèi)和跨網(wǎng)段ARP欺騙的實現(xiàn)過程，提出了幾種常規(guī)可行的解決方案，如在用戶計算機上綁定交換機網(wǎng)關的IP地址和MAC地址、在交換機上綁定用戶主機的IP地址和網(wǎng)卡的MAC地址或綁定用戶計算機網(wǎng)卡的MAC地址和交換機端口、VLAN隔離等技術。如果多種方案配合使用，就可以最大限度的杜絕ARP欺騙攻擊的出現(xiàn)?？傊瑢τ贏RP欺騙的網(wǎng)絡攻擊，不僅需要用戶自身做好防范工作之外，更需要網(wǎng)絡管理員應該時刻保持高度警惕，并不斷跟蹤防范欺騙類攻擊的最新技術，做到防范于未然。

參考文獻

[1]鄧清華,陳松喬.ARP欺騙攻擊及其防范[J].微機發(fā)展,2004,14(8):126-128.

[2]孟曉明.基于ARP的網(wǎng)絡欺騙的檢測與防范[J].信息技術,2005,(5):41-44.

[3]徐功文,陳曙,時研會.ARP協(xié)議攻擊原理及其防范措施[J].網(wǎng)絡與信息安全,2005,(1):4-6.

[4]張海燕.ARP漏洞及其防范技術[J].網(wǎng)絡安全,2005,(4):40-42.

[5]王佳,李志蜀.基于ARP協(xié)議的攻擊原理分析[J].微電子學與計算機,2004,21(4):10-12.