導語：局域網絡ARP攻擊防范策略一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要文章介紹了ARP地址解析協議的含義和工作原理，分析了ARP協議所存在的安全漏洞，給出了網段內和跨網段ARP欺騙的實現過程。最后，結合網絡管理的實際工作，重點介紹了IP地址和MAC地址綁定、交換機端口和MAC地址綁定、VLAN隔離等技術等幾種能夠有效防御ARP欺騙攻擊的安全防范策略，并通過實驗驗證了該安全策略的有效性。

關健詞ARP協議ARP欺騙MAC地址IP地址網絡安全

1ARP協議簡介

ARP(AddressResolutionProtocol)即地址解析協議，該協議將網絡層的IP地址轉換為數據鏈路層地址。TCPIP協議中規定，IP地址為32位，由網絡號和網絡內的主機號構成，每一臺接入局域網或者Internet的主機都要配置一個IP地址。在以太網中，源主機和目的主機通信時，源主機不僅要知道目的主機的IP地址，還要知道目的主機的數據鏈路層地址，即網卡的MAC地址，同時規定MAC地址為48位。ARP協議所做的工作就是查詢目的主機的IP地址所對應的MAC地址，并實現雙方通信。

2ARP協議的工作原理

源主機在傳輸數據前，首先要對初始數據進行封裝，在該過程中會把目的主機的IP地址和MAC地址封裝進去。在通信的最初階段，我們能夠知道目的主機的IP地址，而MAC地址卻是未知的。這時如果目的主機和源主機在同一個網段內，源主機會以第二層廣播的方式發送ARP請求報文。ARP請求報文中含有源主機的IP地址和MAC地址，以及目的主機的IP地址。當該報文通過廣播方式到達目的主機時，目的主機會響應該請求，并返回ARP響應報文，從而源主機可以獲取目的主機的MAC地址，同樣目的主機也能夠獲得源主機的MAC地址。如果目的主機和源主機地址不在同一個網段內，源主機發出的IP數據包會送到交換機的默認網關，而默認網關的MAC地址同樣可以通過ARP協議獲取。經過ARP協議解析IP地址之后，主機會在緩存中保存IP地址和MAC地址的映射條目，此后再進行數據交換時只要從緩存中讀取映射條目即可。ARP協議工作原理詳見圖1和圖2。

3ARP欺騙攻擊的實現過程

3.1網段內的ARP欺騙攻擊

ARP欺騙攻擊的核心就是向目標主機發送偽造的ARP應答，并使目標主機接收應答中偽造的IP與MAC間的映射對，并以此更新目標主機緩存。設在同一網段的三臺主機分別為A,B,C，詳見表1。

表1：同網段主機IP地址和MAC地址對應表

用戶主機IP地址MAC地址

A10．10．100．100-E0-4C-11-11-11

B10．10．100．200-E0-4C-22-22-22

C10．10．100．300-E0-4C-33-33-33

假設A與B是信任關系，A欲向B發送數據包。攻擊方C通過前期準備，可以發現B的漏洞，使B暫時無法工作，然后C發送包含自己MAC地址的ARP應答給A。由于大多數的操作系統在接收到ARP應答后會及時更新ARP緩存，而不考慮是否發出過真實的ARP請求，所以A接收到應答后，就更新它的ARP緩存，建立新的IP和MAC地址映射對，即B的IP地址10．10．100．2對應了C的MAC地址00-E0-4C-33-33-33。這樣，導致A就將發往B的數據包發向了C,但A和B卻對此全然不知，因此C就實現對A和B的監聽。

3.2跨網段的ARP欺騙攻擊

跨網段的ARP欺騙比同一網段的ARP欺騙要復雜得多，它需要把ARP欺騙與ICMP重定向攻擊結合在一起。假設A和B在同一網段，C在另一網段，詳見表2。

表2：跨網段主機IP地址和MAC地址對應表

用戶主機IP地址MAC地址

A10．10．100．100-E0-4C-11-11-11

B10．10．100．200-E0-4C-22-22-22

C10．10．200．300-E0-4C-33-33-33

首先攻擊方C修改IP包的生存時間，將其延長，以便做充足的廣播。然后和上面提到的一樣，尋找主機B的漏洞，攻擊此漏洞，使主機B暫時無法工作。此后，攻擊方C發送IP地址為B的IP地址10．10．100．2，MAC地址為C的MAC地址00-E0-4C-33-33-33的ARP應答給A。A接收到應答后，更新其

ARP緩存。這樣，在主機A上B的IP地址就對應C的MAC地址。但是，A在發數據包給B時，仍然會在局域網內尋找10．10．100．2的MAC地址，不會把包發給路由器，這時就需要進行ICMP重定向，告訴主機A到10．10．100．2的最短路徑不是局域網，而是路由，請主機重定向路由路徑，把所有到10．10．100．2的包發給路由器。主機A在接受到這個合理的ICMP重定向后，修改自己的路由路徑，把對10．10．100．2的數據包都發給路由器。這樣攻擊方C就能得到來自內部網段的數據包。

4ARP欺騙攻擊安全防范策略

4.1用戶端綁定

在用戶端計算機上綁定交換機網關的IP和MAC地址。

1）首先，要求用戶獲得交換機網關的IP地址和MAC地址，用戶在DOS提示符下執行arp–a命令，具體如下：

C:\DocumentsandSettings\user>arp-a

Interface:10.10.100.1---0x2

InternetAddressPhysicalAddressType

10.10.100.25400-40-66-77-88-d7dynamic

其中10.10.100.254和00-30-6d-bc-9c-d7分別為網關的IP地址和MAC地址，因用戶所在的區域、樓體和交換機不同，其對應網關的IP地址和MAC地址也不相同。

2）編寫一個批處理文件arp.bat，實現將交換機網關的MAC地址和網關的IP地址的綁定，內容如下：

@echooff

arp-d

arp-s10.10.100.25400-40-66-77-88-d7

用戶應該按照第一步中查找到的交換機網關的IP地址和MAC地址，填入arp–s后面即可，同時需要將這個批處理軟件拖到“windows--開始--程序--啟動”中，以便用戶每次開機后計算機自動加載并執行該批處理文件，對用戶起到一個很好的保護作用。

4.2網管交換機端綁定

在核心交換機上綁定用戶主機的IP地址和網卡的MAC地址，同時在邊緣交換機上將用戶計算機網卡的MAC地址和交換機端口綁定的雙重安全綁定方式。

1）IP和MAC地址的綁定。在核心交換機上將所有局域網絡用戶的IP地址與其網卡MAC地址一一對應進行全部綁定。這樣可以極大程度上避免非法用戶使用arp欺騙或盜用合法用戶的IP地址進行流量的盜取。具體實現方法如下（以AVAYA三層交換機為例）：

P580(Configure)#arp10.10.100.100:E0:4C:11:11:11

P580(Configure)#arp10.10.100.200:E0:4C:22:22:22

P580(Configure)#arp10.10.200.300:E0:4C:33:33:33

2）MAC地址與交換機端口的綁定。根據局域網絡用戶所在的區域、樓體和用戶房間所對應的交換機端口號，將用戶計算機網卡的MAC地址和交換機端口綁定。此方案可以防止非法用戶隨意接入網絡端口上網。網絡用戶如果擅自改動本機網卡的MAC地址，該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現上網，自然也就不會對局域網造成干擾了。具體操作如下（以AVAYA二層邊緣交換機為例）：

console>(enable)lockport1/1

console>(enable)addmac00:E0:4C:11:11:111

Address00:E0:4C:11:11:11wasaddedtothesecurelist!

console>(enable)lockport1/2

console>(enable)addmac00:E0:4C:22:22:222

Address00:E0:4C:22:22:22wasaddedtothesecurelist!

console>(enable)lockport1/3

console>(enable)addmac00:E0:4C:33:33:333

Address00:E0:4C:33:33:33wasaddedtothesecurelist!

console>(enable)showcam

VLANDestMAC/RouteDesDestinationPort

100:E0:4C:11:11:111/1

100:E0:4C:22:22:221/2

100:E0:4C:33:33:331/3

4.3采用VLAN技術隔離端口

局域網的網絡管理員可根據本單位網絡的拓卜結構，具體規劃出若干個VLAN，當管理員發現有非法用戶在惡意利用ARP欺騙攻擊網絡，或因合法用戶受病毒ARP病毒感染而影響網絡時，網絡管理員可利用技術手段首先查找到該用戶所在的交換機端口，然后將該端口劃一個單獨的VLAN將該用戶與其它用戶進行物理隔離，以避免對其它用戶的影響。當然也可以利用將交換機端口Disable掉來屏蔽該用戶對網絡造成影響，從而達到安全防范的目的。

5結束語

網絡欺騙攻擊作為一種非常專業化的攻擊手段，給網絡安全管理者帶來了嚴峻的考驗。ARP欺騙是一種典型的欺騙攻擊類型，它利用了ARP協議存在的安全隱患，并使用一些專門的攻擊工具，使得這種攻擊變得普及并有較高的成功率。文中通過分析ARP協議的工作原理，探討了ARP協議從IP地址到MAC地址解析過程中的安全性，給出了網段內和跨網段ARP欺騙的實現過程，提出了幾種常規可行的解決方案，如在用戶計算機上綁定交換機網關的IP地址和MAC地址、在交換機上綁定用戶主機的IP地址和網卡的MAC地址或綁定用戶計算機網卡的MAC地址和交換機端口、VLAN隔離等技術。如果多種方案配合使用，就可以最大限度的杜絕ARP欺騙攻擊的出現。總之，對于ARP欺騙的網絡攻擊，不僅需要用戶自身做好防范工作之外，更需要網絡管理員應該時刻保持高度警惕，并不斷跟蹤防范欺騙類攻擊的最新技術，做到防范于未然。

參考文獻

[1]鄧清華,陳松喬.ARP欺騙攻擊及其防范[J].微機發展,2004,14(8):126-128.

[2]孟曉明.基于ARP的網絡欺騙的檢測與防范[J].信息技術,2005,(5):41-44.

[3]徐功文,陳曙,時研會.ARP協議攻擊原理及其防范措施[J].網絡與信息安全,2005,(1):4-6.

[4]張海燕.ARP漏洞及其防范技術[J].網絡安全,2005,(4):40-42.

[5]王佳,李志蜀.基于ARP協議的攻擊原理分析[J].微電子學與計算機,2004,21(4):10-12.