ＡＲＰ欺騙防禦技術的研究

　　[論文關鍵詞] ARP欺騙 防禦
　　
　　[論文摘要] 文章對ARP欺騙的原理、中毒現象進行了分析，同時歸納了ARP欺騙的主要方式，重點論述了ARP欺騙的防禦技術，以達到全面防禦維護局域網絡安全的目的。
　　
　　2007年6月初，國家病毒應急處理中心預報一種新型“地址解析協議欺騙”（簡稱：ARP欺騙）的惡意木馬程序正在互聯網絡中。從此，ARP欺騙逐漸在校園網、小區網、企業網以及網吧等局域網中蔓延，嚴重影響了正常網絡通訊。如何有效防範ARP欺騙，成爲普遍關注的問題。

　　一、ARP欺騙的原理及中毒現象
　　欺騙的原理
　　ARP病毒是一種木馬程序, 其本質就是利用ARP本身的漏洞進行欺騙,即透過僞造IP位址和MAC地址實現欺騙,在網絡中產生大量的ARP量使網絡阻塞,或使資訊流向本不存在的有正確的“IP位址和MAC地址”虛擬主機,而使個人主機無法收到資訊。
　　典型的ARP欺騙過程如下：
　　假設局域網分別有IP位址爲、和的A、B、C三臺主機,假如A和C之間正在進行通訊,此時B向A發送一個自己僞造的ARP應答,而這個應答中的數據爲發送方IP位址是 (C的IP位址),MAC地址是BB-BB-BB-BB-BB-BB,當A接收到B僞造的ARP應答,就會更新本地的ARP快取,這時B就僞裝成C了。同時,B同樣向C發送一個ARP應答,應答包中爲發送方IP位址(A的IP位址),MAC地址BB-BB-BB-BB-BB-BB(A的MAC地址本來應該是AA-AA-AA-AA-AA-AA) ,當C收到B僞造的ARP應答,也會更新本地ARP快取,這時B 又僞裝成了A。這時主機A和C都被主機B欺騙,A和C之間通訊的數據都經過了B,主機B完全劫持目標主機與其他主機的會話。
　　2.中毒現象
　　局域網出現突然掉線，過一段時間後又會恢復正常的現象。同時，網內的其他計算機系統也會受到影響，出現IP位址衝突、頻繁斷網、IE瀏覽器頻繁出錯，以及一些系統內常用軟件出現故障等現象。如果局域網中是透過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啓機器或在MS-DOS視窗下執行命令arp -d後，又可恢復上網。

　　二、ARP欺騙的主要方式及防禦技術
　　欺騙的主要方式
　　從影響網絡連接的方式來看,ARP欺騙通常分爲四種:
　　(1)冒充網關欺騙計算機。它是透過建立假網關(其實是網內一普通的'感染ARP病毒的主機)，讓被它欺騙的計算機向假網關發數據，而不能透過網關正常上網。在用戶的角度看來，就是上不了網了以及網絡掉線了，這樣會給用戶造成系統網關出錯的假象。
　　(2)冒充計算機欺騙網關。感染ARP病毒的計算機不斷冒充其它計算機通知網關，並按照一定的頻率不斷進行，結果網關發給正常計算機的數據被欺騙計算機攔截，造成正常計算機無法收到資訊。
　　(3)冒充計算機欺騙計算機。攻擊源會以正常身份僞造虛假的ARP應答，欺騙其它計算機，結果其它計算機發給被冒充計算機的數據全部被攻擊源截取。如果冒充計算機啓動IP Forword(IP轉發)功能，很容易獲取發往配冒充計算機的數據而不被發現。
　　(4)ARP泛洪攻擊：攻擊源僞造大量MAC和IP位址，對局域網內廣播，干擾正常通信。
　　欺騙的防禦技術
　　(1)設定靜態ARP快取（靜態綁定）。最常用的方法就是做IP和MAC靜態綁定，在網內把主機和網關都做IP和MAC綁定。欺騙是透過ARP的動態實時的規則欺騙內網機器，所以我們把ARP全部設定爲靜態可以解決對內網PC的欺騙，同時在網關也要進行IP和MAC的靜態綁定，這樣雙向綁定才比較。具體操作分爲兩步：
　　第一步在PC機上，開啟DOS提示符視窗，先輸入：arp -d（清除ARP快取表） 回車後，然後輸入arp s IP位址MAC地址（IP和MAC爲網關的）；也可作批處理檔案放在啓動項中，內容如下：
　　@echo off
　　arp -d
　　arp -s ＜inet-addr＞ ＜eth-addr＞
　　第二步在交換機或路由器上，對每個IP對應得MAC地址進行靜態綁定。
　　(2)安裝ARP防護軟件和殺毒軟件。目前關於ARP類的防護軟件也比較多了，大家比較常用的主要有360安全衛士、欣向ARP工具和Antiarp等。目前常用的殺毒軟件也比較多，諸如卡巴斯基、Macfee、瑞星和趨勢科技等。安裝了相關軟件後，PC用戶要經常升級病毒庫。
　　(3)DHCP結合靜態捆綁。透過方法①中的IP與MAC的雙向綁定，可以有效防範ARP欺騙，但是由於操作繁瑣，會大大加重網絡的負擔。另外，遇到那些透過ARP欺騙非法攻擊的用戶來說，他可以事先自己手動更改IP位址，這樣檢查起來就更加複雜了。透過在網關上建立DHCP服務器，把DHCP的地址池或者將客戶端獲得IP的租約設定爲一個非常長的時間，可以固定主機MAC與IP的對應關係，從而保證MAC地址與IP位址的惟一性 ，有效地避免ARP欺騙的發生。

　　三、結束語
　　ARP欺騙也在不斷的發展和變化中（如基於ARP欺騙的DDoS攻擊），希望廣大網絡管理員密切注意它，從而減少ARP欺騙對我們網絡的影響。

　　參考文獻:
　　[1]_[EB/OL].國家計算機病毒應急處理中心
　　[2]王堅樑海軍:ARP欺騙原理及其防範策略的探討[J].計算機與現代化，2008（2）：100