摘要：ARP欺騙和攻擊是近來(lái)網(wǎng)絡(luò)中普遍存在的現(xiàn)象，隨著ARP攻擊的不斷升級(jí)，不同的解決方案在網(wǎng)絡(luò)上流傳。但是筆者最近發(fā)現(xiàn)，有些ARP防制方法很容易操作和實(shí)施，但經(jīng)過(guò)實(shí)際深入了解后，發(fā)現(xiàn)長(zhǎng)期效果都不大，并且實(shí)際上對(duì)于真正的ARP攻擊發(fā)揮不了作用，也降低了局域網(wǎng)工作效率。要了解ARP欺騙攻擊,我們首先要了解ARP協(xié)議以及它的工作原理，以更好的來(lái)防范和排除ARP攻擊的帶來(lái)的危害。為了進(jìn)一步讓大家了解并防制ARP，特撰寫此文，與用戶們共同探討、研究。
關(guān)鍵詞：ARP欺騙，病毒，路由器。

一、ARP介紹
首先，讓我們來(lái)了解一下ARP的含義。ARP的全稱是“AddressResolutionProtocol”（地址解析協(xié)議）。在局域網(wǎng)中，兩臺(tái)主機(jī)之間訪問(wèn)通過(guò)網(wǎng)絡(luò)實(shí)際傳輸?shù)氖?ldquo;幀”，“幀”里面也包含目標(biāo)主機(jī)的MAC地址，這就像郵政快遞員手中的信，不僅包含需要傳遞的信息內(nèi)容，也需要注明詳細(xì)的地址。但是光有信封和地址還不夠，還需要郵遞員知道詳細(xì)的街道和門牌號(hào)，也就是所謂“地址解析”，這部分工作主要是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。

下面來(lái)簡(jiǎn)單的講述ARP協(xié)議的工作原理.在局域網(wǎng)內(nèi)每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的，如表所示。



我們以主機(jī)A（192.168.1.2）向主機(jī)B（192.168.1.1）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“192.168.1.1的MAC地址是什么？”網(wǎng)絡(luò)上其它主機(jī)并不響應(yīng)ARP詢問(wèn)，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-1F-29-A8-0E-0F。”這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表。

整個(gè)過(guò)程就像一個(gè)第一天上班的郵政快遞員，想要送信給“李四”，不知道該做什么，只有滿腔熱情，站在大馬路上挨個(gè)問(wèn)：“李四那兒？”。只要有人應(yīng)答“我就是李四”，這位不辭辛勞的郵政快遞員就立刻投送，也不驗(yàn)明正身。在一個(gè)人人誠(chéng)實(shí)的烏托邦，郵政快遞員的工作還是能切實(shí)地進(jìn)行。但若是旁人覺得快遞物品對(duì)自己來(lái)說(shuō)有價(jià)值，想要用欺騙手段獲取物品的話，快遞員這種工作方式就會(huì)帶來(lái)混亂了。
ARP攻擊的原理，互聯(lián)網(wǎng)上很容易找到，這里不再覆述。原始的ARP協(xié)議運(yùn)作，會(huì)附在局域網(wǎng)接收的廣播包或是ARP詢問(wèn)包，無(wú)條件覆蓋本機(jī)緩存中的ARP/MAC對(duì)照表。這個(gè)特性好比前面那位無(wú)知的郵政快遞員，聽了每一個(gè)路人和他說(shuō)話都信以為真，誰(shuí)回答“我是李四”就立刻以最新聽到的信息作決定，將信件送交至應(yīng)答者。
我們?cè)倩貋?lái)看ARP攻擊和這個(gè)稀里糊涂的郵政快遞員的關(guān)系。常見ARP攻擊對(duì)象有兩種：一是網(wǎng)絡(luò)網(wǎng)關(guān)，也就是路由器；二是局域網(wǎng)上的計(jì)算機(jī)，也就是一般用戶。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯(cuò)誤的地址信息給快遞員，讓郵政快遞員整個(gè)工作大亂，所有信件無(wú)法正常送達(dá)。而攻擊一般計(jì)算機(jī)就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發(fā)動(dòng)攻擊的計(jì)算機(jī)。現(xiàn)實(shí)社會(huì)中，前者，路由器被攻擊的情況可以在大型公司和網(wǎng)吧場(chǎng)所頻繁見到，主要是不懷好意的商業(yè)競(jìng)爭(zhēng)對(duì)手惡意干擾路由器的正常運(yùn)行，以達(dá)到致使對(duì)方整體網(wǎng)絡(luò)癱瘓的目的。后者，一般用戶被攻擊，常見于帶寬較小的共享網(wǎng)絡(luò)，B主機(jī)利用ARP欺騙A主機(jī)的網(wǎng)卡，導(dǎo)致A主機(jī)不能訪問(wèn)外網(wǎng)，此時(shí)B主機(jī)就可以獨(dú)享對(duì)外網(wǎng)絡(luò)的總體帶寬。總而言之，均為滿足一己私利，利用ARP進(jìn)行不法手段。
由于一般的計(jì)算機(jī)及路由器的ARP協(xié)議的固有的缺陷，因此只要有惡意計(jì)算機(jī)在局域網(wǎng)持續(xù)發(fā)出錯(cuò)誤的ARP訊息，就會(huì)讓計(jì)算機(jī)及路由器信以為真，作出錯(cuò)誤的傳送網(wǎng)絡(luò)包動(dòng)作。針對(duì)ARP攻擊的防制，常見的方法，可以分為以下三種作法：
1、利用ARPecho傳送正確的ARP訊息：通過(guò)頻繁地提醒正確的ARP對(duì)照表，來(lái)達(dá)到防制的效果。
2、利用綁定方式，固定ARP對(duì)照表不受外來(lái)影響：通過(guò)固定正確的ARP對(duì)照表，來(lái)達(dá)到防制的效果。
3、舍棄ARP協(xié)議，采用其它尋址協(xié)議：不采用ARP作為傳送的機(jī)制，而另行使用其它協(xié)議例如PPPoE方式傳送。

二、ARP病毒防制法
通過(guò)對(duì)ARP工作原理的簡(jiǎn)略分析后，我們可以得知如果系統(tǒng)ARP緩存表被修改，并且不停的將一系列錯(cuò)誤的內(nèi)網(wǎng)IP或者干脆偽造一個(gè)假的網(wǎng)關(guān)通知路由器進(jìn)行欺騙的話，網(wǎng)絡(luò)就肯定會(huì)出現(xiàn)大面積的掉線問(wèn)題，這樣的情況就是典型的ARP攻擊，對(duì)遭受ARP攻擊的判斷，其方法很容易，你找到出現(xiàn)問(wèn)題的電腦點(diǎn)“開始”“運(yùn)行”進(jìn)入系統(tǒng)的DOS操作。輸入ping192.168.1.1（一般默認(rèn)網(wǎng)關(guān)IP地址），ping路由器的LANIP丟包情況。如下圖：

圖片一

內(nèi)網(wǎng)ping路由器的LANIP間斷性丟包，然后又連上，緊接著又階段性丟包，呈現(xiàn)一定規(guī)則。這很有可能是中了ARP攻擊，為了進(jìn)一步確認(rèn)，我們可以通過(guò)查找ARP表來(lái)判斷。DOS界面中輸入ARP-a命令，顯示如下圖：


圖片二

可以看出192.168.1.1地址和192.168.2地址的IP的MAC地址都是00-0f-3d-83-74-28,很顯然，這就是ARP欺騙造成的。通過(guò)第二步判斷該主機(jī)已經(jīng)遭ARP攻擊。下面我們簡(jiǎn)單介紹一下如何找到行之有效的防制辦法來(lái)防止這類攻擊對(duì)網(wǎng)絡(luò)造成的危害。

處理簡(jiǎn)單的APR攻擊一般處理辦法可分三個(gè)步驟來(lái)完成。
1、激活路由器自我保護(hù)機(jī)制
進(jìn)入路由器的防火墻的基本配置欄將“防止ARP病毒攻擊”這一行的“激活”點(diǎn)擊并確定。該步驟的目的是從網(wǎng)絡(luò)設(shè)備硬件機(jī)制上進(jìn)行預(yù)警防護(hù)，做到有備無(wú)患。
2、在每臺(tái)pc上綁定網(wǎng)關(guān)的IP和其MAC地址
在每臺(tái)PC機(jī)上進(jìn)入dos操作，輸入arp–s192.168.1.1(網(wǎng)關(guān)IP)00-0f-3d-83-74-28(網(wǎng)關(guān)MAC),(每臺(tái)電腦的IP地址和MAC地址可以輸入DOS命令ipconfig/all查出)Enter后完成每臺(tái)PC機(jī)的綁定。該步驟的目的是防止篡改MAC地址欺騙路由器。
但該方法的缺陷是，如果重起了電腦，該主機(jī)上的IP和MAC地址綁定作用就會(huì)消失，所以可以把此命令做成一個(gè)批處理文件，放在操作系統(tǒng)的啟動(dòng)里面，批處理文件可以這樣寫：
@echooff
arp-d
arp-s路由器LANIP路由器LANMAC
3、在路由器端綁定用戶網(wǎng)關(guān)的IP和其MAC地址：
進(jìn)入路由器的高級(jí)設(shè)置中，在DHCP功能中對(duì)IP和MAC地址進(jìn)行綁定。

以上三則簡(jiǎn)略的防范APR攻擊的方法，適合于絕大多數(shù)初級(jí)用戶，借助于這樣的操作基本可以解決問(wèn)題，但不一定能解決根本問(wèn)題，因?yàn)楹芏郃RP攻擊之所以得逞往往是主機(jī)使用者的諸多細(xì)節(jié)問(wèn)題沒有處理所致。接下來(lái)，我們將列舉一些注重于細(xì)節(jié)的操作手段，進(jìn)一步控制ARP的攻擊，較為徹底的防范ARP進(jìn)攻，而這樣的防范方式絕大多數(shù)和電腦的使用者習(xí)慣有著密不可分的關(guān)系。

1、控制病毒源
對(duì)病毒源頭的機(jī)器進(jìn)行處理，直接采取殺毒或重新裝系統(tǒng)措施。此操作比較重要，解決了ARP攻擊的源頭PC機(jī)的問(wèn)題，可以保證內(nèi)網(wǎng)免受攻擊。治標(biāo)還需治本，解決源頭主機(jī)才是關(guān)鍵。
2、網(wǎng)絡(luò)管理員檢查局域網(wǎng)病毒。
安裝國(guó)內(nèi)外正版殺毒軟件，并且一定要定期更新病毒庫(kù)，定期對(duì)機(jī)器進(jìn)行病毒掃描。沒有條件在線升級(jí)病毒庫(kù)的內(nèi)網(wǎng)，可以由管理員下載殺毒軟件離線升級(jí)包，給局域網(wǎng)內(nèi)主機(jī)的殺毒軟件進(jìn)行全面升級(jí)。
3、安裝關(guān)鍵系統(tǒng)補(bǔ)丁。
進(jìn)入操作系統(tǒng)的控制面板，點(diǎn)擊自動(dòng)更新選項(xiàng)，雙擊運(yùn)行。通過(guò)WindowsUpdate安裝好系統(tǒng)補(bǔ)丁程序(關(guān)鍵更新、安全更新和ServicePack)。如果不及時(shí)修復(fù)系統(tǒng)漏洞，那么危害主機(jī)安全的不僅僅是ARP病毒。
4、給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的混編密碼
列如12位以上密碼，采用字母+數(shù)字+符號(hào)的混編組合。并且，可以禁用/刪除一些不使用的帳戶，列如停用Guest來(lái)賓訪問(wèn)。
5、定期更新殺毒軟件的病毒庫(kù)。
安裝并使用網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻在防病毒過(guò)程中也可以起到至關(guān)重要的作用，能有效地阻擋自來(lái)網(wǎng)絡(luò)的攻擊和病毒的入侵。殺毒軟件的病毒庫(kù)更新最好可以設(shè)置為每天定時(shí)自動(dòng)更新。
6、關(guān)閉一些不需要的系統(tǒng)服務(wù)。
條件允許的可關(guān)閉系統(tǒng)內(nèi)非必要的共享設(shè)置，也包括C$、D$等管理共享。完全單機(jī)的用戶也可直接關(guān)閉Server服務(wù)，關(guān)閉網(wǎng)絡(luò)和打印機(jī)共享服務(wù)。
7、謹(jǐn)慎點(diǎn)擊網(wǎng)絡(luò)鏈接
在打開陌生QQ、MSN等聊天工具上轉(zhuǎn)發(fā)的網(wǎng)址鏈接之前，可簡(jiǎn)略分析網(wǎng)址的安全性。不要隨便打開或運(yùn)行陌生、可疑文件和程序，不要訪問(wèn)一些域名很奇特的網(wǎng)站。特別留心查看后綴名是.EXE的程序和郵件的附件。在接受郵件之前，確保殺毒軟件或者防火墻正在運(yùn)行之中。

三、結(jié)束語(yǔ)
ARP攻擊防制是一項(xiàng)需要謹(jǐn)慎小心的過(guò)程，切忌大意馬虎，我們可以采取上述方法警惕ARP攻擊，以減少受到的危害，提高工作效率，降低經(jīng)濟(jì)損失。

【參考文獻(xiàn)】
[1]王群．非常網(wǎng)管.網(wǎng)絡(luò)安全［M］．北京：人民郵電出版社，2007.4．
[2]譚敏，楊衛(wèi)平．ARP病毒攻擊與防范［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008.4
[3]StevensWR．TCP/IP詳解（卷1：協(xié)議）[M]．北京：機(jī)械工業(yè)出版社，2003。
[4]譚浩強(qiáng)．C程序設(shè)計(jì)[M]．北京：清華大學(xué)出版社，1999年。
[5]周明天等．TCP/IP網(wǎng)絡(luò)原理與技術(shù)．北京：清華大學(xué)出版社，1993年
[6]王曉春等．計(jì)算機(jī)網(wǎng)絡(luò)與Intemet教程．北京：清華大學(xué)出版社，1999年

　　搜論文知識(shí)網(wǎng)致力于為需要刊登論文的人士提供相關(guān)服務(wù),提供迅速快捷的論文發(fā)表、寫作指導(dǎo)等服務(wù)。具體發(fā)表流程為：客戶咨詢→確定合作，客戶支付定金→文章發(fā)送并發(fā)表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認(rèn)收到。鳴網(wǎng)系學(xué)術(shù)網(wǎng)站，對(duì)所投稿件無(wú)稿酬支付，謝絕非學(xué)術(shù)類稿件的投遞！