浅谈局域网防护ARP攻击

浅谈局域网防护ARP攻击

【摘 要】ARP攻击是目前局域网中最常见的攻击方式，本文主要介绍了ARP攻击的原理、解决一般局域网ARP攻击的方法、合理设置具有ARP防护功能的路由器和交换机的方法。

【关键词】局域网；ARP攻击

学校的网络刚升级完成，但是ARP攻击又来了，这次通过在学校升级的网络设备上合理的设置，总算把ARP攻击给控制住了。现在把我这几年处理局域网ARP攻击的经验总结一下，希望与大家互相借鉴一下。我们先来了解一下ARP攻击的原理。

一、ARP攻击的原理

首先我们先来了解一下几个基本定义。

IP地址是互联网协议地址（Internet Protocol Address）的缩写，IP地址是IP协议提供的一种统一的地址格式，它为一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节），它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

MAC地址是Medium/Media Access Control的缩写，它是收录在网卡里的,也叫硬件地址,是由12位16进制的数字组成。网卡的物理地址通常是由网卡生产厂家烧入网卡的闪存芯片中，每一块网卡都有自己的MAC地址，网络中是通过物理地址来识别主机的，它一定是全球唯一的。

ARP协议是地址解析协议（Address Resolution Protocol）的缩写，其功能是：主机将ARP请求广播到网络上的所有主机，并接收返回消息，确定目标IP地址的物理地址，同时将IP地址和硬件地址存入本机ARP缓存中，下次请求时直接查询ARP缓存。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

因为ARP具体来说是将IP地址解析为MAC地址，所以ARP攻击仅能在局域网中发生，无法对互联网进行攻击。

假设我们局域网里面有两台主机A和B通过路由器C上网，正常的情况下，主机A和主机B都是直接连接到路由器C上网的，但是当主机B中了ARP欺骗病毒时，它首先发出广播的应答报文，把自己伪装成网关地址，主机A接收到以后会替换自己的ARP表（ARP表是动态的），然后主机A再发送上息的话，首先会发送给主机B，主机B再转发给路由器C，这样主机A的上网过程就是连接到主机B再连接路由器C，主机B就可以直接窃取主机A的各种信息或者直接控制主机A的网速，但是路由器C会不定时的发送更新网关的报文，这样路由器C和主机B就会发生竞争，会造成网络的迟缓或中断。如果局域网的主机比较多，就会造成整个局域网的崩溃。

二、一般局域网的解决方法

一般的局域网中使用的二层交换机和路由器都没有针对ARP攻击的解决方案，所以我们只能够采用绑定主机来预防，嗅探来查找的方法来解决问题。

绑定的方法主要有两种，一种是直接通过DOS命令来绑定，另一种是通过ARP防火墙来绑定。

第一种方法通过DOS命令的方法如下：

打开“开始”菜单，选择“运行”，输入“CMD”。

输入：ARP –s IP MAC 绑定本机地址

ARP –s 网关IP 网关MAC 绑定网关地址 图1

这样就可以绑定本机和网关地址，还可以通过下面命令来查看绑定是否成功。

输入：ARP -a

为了避免每次开机都输入DOS命令，我们还可以把它写成批处理文件*.bat，直接加到系统启动当中。

第二种方法通过ARP防火墙的方法如下：

这里我们选择360ARP防火墙来演示。

打开360安全卫士，选择“更多”，选择“流量防火墙”，选择“局域网防护”，选择“手动绑定”。

图2

在局域网绑定过后，当出现ARP攻击的时候，网速会变慢，我们通过查看系统信息或软件提示，发现本机被攻击获得攻击主机的MAC地址，这时可以通过嗅探工具找出ARP攻击的主机，并及时处理，从而解决ARP攻击的问题。这里我们以NBTSCAN工具来举例。

假设在局域网中有一台MAC为“00-11-09-43-6a-25”的地址主机正在使用了ARP攻击，我们使用NBTSCAN工具来嗅探的步骤如下：

1、将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2、选择Windows“开始”菜单，选择“运行”菜单，选择“打开”，输入“cmd”，在出现的DOS窗口中输入：C: nbtscan -r 192.168.1.1/24（这里需要根据用户实际网段输入），回车。

图3

3、通过查询IP--MAC对应表，查出“00-11-09-43-6a-25”的病毒主机的IP地址为“192.168.1.213”。

4、找到病毒主机，对它杀毒。

当然我们也可以使用其它的工具来完成查找的工作，这里我们就不再一一累述了。但是我们使用这种方法，对于维护人员的工作量太大，不利于网络的维护。

三、具有ARP防护功能的路由器和交换机的解决方法

目前随着网络设备的提高，具有ARP防护功能的路由器和交换机也越来越普及，解决的方案也非常多，最主要的有两种方法，一种是全部绑定的方法，另一种是ARP动态监测的方法。

全部绑定的方法，主要是关闭ARP功能，在路由器或交换机上全部手动绑定所有的IP地址和MAC地址。优点是所有的地址都是静态的，可以有效地防止各种ARP攻击。缺点是非常不灵活，局域网中主机的增加或调配都必须经过管理员，管理员的工作量增大。

ARP动态监测的方法，其原理是通过DHCP监听绑定表，交换机的端口能够自动检测ARP数据包是否来自正确的端口。如果正确则转发数据包，否则将直接丢弃，并且在记录相关信息的同时，还会将违规的端口设置为disable状态，攻击者将不能对网络进行破坏。优点是能够自动对网络ARP进行管理。缺点是有时会关闭非信任端口，对其它合法用户有影响。

四、结束语

由于ARP是基于信任的原理的协议，所以要依据具体的网络环境，进行合理的设置，才能够有效的防治ARP攻击的产生。