Windows 环境中基于ARP 的网络攻防技术研究

赵 彦 单广荣 西北民族大学数学与计算机科学学院 甘肃兰州 730124

西北民族大学中央专项资金资助研究生项目 项目号：ycx14030

【文章摘要】

随着计算机网络技术的快速发展, 网络中的不安全因素也在不断增加。在本文中首先介绍了ARP 协议，然后描述了ARP 欺骗的原理，最后提出了防御ARP 攻击的策略。

【关键词】

ARP 欺骗；ARP 表；网络攻防

0 引言

随着计算机网络技术的迅猛发展, 网络攻击事件日益增多, 网络安全问题越来越受到人们的关注。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受攻击。计算机网络攻击战已成为现代高技术条件下战争的重要作战样式之一,而与此息息相关的计算机网络攻防问题也将成为国家安全和军事领域长期跟踪研究的对象。因此了解和掌握计算机网络攻击技术, 尤其是国外在该领域的发展动态对于我方采取有力措施, 加强计算机网络攻防具有十分重要的现实意义和长远意义。

而关于ARP 欺骗和攻击问题，对于这个问题的讨论已经很深入了，对ARP 攻击的机理了解的很透彻，各种防范措施也层出不穷。但问题是，现在真正摆脱ARP问题困扰了吗？虽然尝试过各种方法，但这个问题并没有根本解决。因此，在本文中对于ARP 问题进行再次研究，力求得到新的思路和方法。

1 ARP 欺骗分析

1.1 什么是ARP

ARP（Address Resolution Protocol， 地址解析协议）是一个位于TCP/IP 协议栈中的底层协议，对应于数据链路层，负责将某个IP 地址解析成对应的MAC 地址。其功能就是通过目标设备的IP 地址，查询目标设备的MAC 地址，以保证通信的进行。ARP 攻击仅能在以太网（局域网如：内网、机房等）进行，无法对外网进行攻击。ARP攻击就是通过伪造IP 地址和MAC 地址实现ARP 欺骗。

ARP 欺骗也是黑客常用的攻击手段之一，ARP 欺骗分为二种，一种是对路由器ARP 表的欺骗；另一种是对内网PC 的网关欺骗。

第一种对路由器ARP 表欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC 地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC 地址，造成正常PC 无法收到信息。

第二种对内网PC 的网关欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC 向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网，“网络掉线了”。

1.2 ARP 表

ARP 表是IP 地址和MAC 地址的映射关系表，任何实现了IP 协议栈的设备，一般情况下都会通过该表维护IP 地址和MAC 地址的对应关系，以防止ARP 解析造成广播数据报文对网络的冲击。ARP表的建立一般是通过以下二个途径：

（1）主动解析

如果一台计算机想与另外一台不知道其MAC 地址的计算机通信，则该计算机主动发ARP 请求，通过ARP 协议建立( 但前提是这两台计算机必须位于同一个IP 子网上)。

（2）被动请求

如果一台计算机接收到了一台计算机的ARP 请求，则首先在本地建立请求计算机的IP 地址和MAC 地址的对应表。所以，针对ARP 表，一个可能的攻击就是误导计算机建立正确的ARP 表。根据ARP 协议，如果一台计算机接收到了一个ARP 请求报文，在满足以下两个条件的情况下，该计算机就会用ARP 请求报文中的源IP 地址和源物理地址更新自己的ARP缓存：

1）如果发起该ARP 请求的IP 地址在自己本地的ARP 缓存中；

2）请求的目标IP 地址不是自己的。

2 如何防范和解决

2.1 ARP 防火墙

通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的。

2.2 双绑

双绑是在路由器和终端上都进行IPMAC绑定的措施，它可以对ARP 欺骗的两方，伪造网关和截获数据，都具有约束的作用。这是从ARP 欺骗原理上进行的防范措施，也是广泛应用的办法。用它对付最普通的ARP 欺骗是有效的。

2.3 PPPoE

网络给每一个用户分配了一个帐号、密码，上网时必须通过PPPoE 认证，这种方法也是防范ARP 措施的一种。PPPoE拨号方式对封包进行了二次封装，使其具备了不受ARP 欺骗影响的效果。

2.4 VLAN 和交换机端口绑定

通过划分VLAN 和交换机端口绑定，以防范ARP。细致地划分VLAN，减小广播域的范围，使ARP 在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC 地址学习的功能，学习完成后，再关闭这个功能，就可以有效地把对应的MAC 和端口进行绑定，避免了病毒利用ARP 攻击篡改自身地址。即，把ARP 攻击中被截获数据的风险解除了。这种方法也能起到一定的作用。以上四个措施，对防范ARP 攻击和欺骗有一定的作用，但问题并没有根本解决，体现在：

（1）解决措施的防范能力很有限，不是最根本的办法；

（2）对网络管理的约束很大，不方便不实用，操作性不强；

（3）对网络传输的效能有损失，网速变慢，带宽浪费。从技术原理上看，要彻底解决ARP欺骗和攻击，有以下三个技术要点：

（1）终端对网关的绑定要坚实可靠，这个绑定能够抵制病毒的捣毁。

（2）接入路由器或网关对下面终端IP-MAC 的识别要始终保证准确、唯一。

（3）网络内要有一个最可依赖的机构，对网关IP-MAC 提供最强大的保护。既能够分发正确的网关信息，又能对出现的假网关信息立即封杀。

【参考文献】

［1］胡清桂. 一种新的ARP 协议改进方案［J］. 陕西科技大学学报（自然科学版），2011，30(05) ：84—89

［2］潘晓君. 基于缓存超时的ARP 欺骗攻击协议的研究［J］. 计算机技术与发展，2009，19(10) ：173—175