本文介绍了ARP攻击的原理以及由此引发的网络安全问题，并且结合实际情况，提出在校园网中实施多层次的防范方法，以解决因ARP攻击而引发的网络安全问题，最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。

您是否【nín shì fǒu】📖遇到局【yù dào jú】🔱域网内【yù wǎng nèi】🔝频繁性区域或整体掉【zhěng tǐ diào】线，重启计【chóng qǐ jì】算机或网络设备后恢复正常🤥?您的网【nín de wǎng】速是否🅱时快时慢👁，极其不稳定【wěn dìng】，但单机进行光【jìn háng guāng】🗻纤数据测试时一切正常🤥?您是否【nín shì fǒu】📖时常🤥听到教职🆒工的网【gōng de wǎng】上银行【shàng yín háng】🥏、游戏及QQ账号频【zhàng hào pín】🛬繁丢失的消息?

这些问题的出【tí de chū】现有很【xiàn yǒu hěn】🌉大一部🌭分要归功于🦒ARP攻击【gōng jī】🙃，我校局域网自👞去年5月份开始【shǐ】ARP攻击【gōng jī】🙃频频出现，目前校🤩园网内已发现的“ARP攻击【gōng jī】🙃”系列病毒已经有了几【yǒu le jǐ】十个变种。据检测数据显【shù jù xiǎn】示【shì】，APR攻击【gōng jī】从🤨未停止🍣过，为此有【wéi cǐ yǒu】效的防范【fàn】ARP形式的【xíng shì de】网络攻🆚击已成为确保【wéi què bǎo】网络畅【wǎng luò chàng】🌖通必要【tōng bì yào】👈条件🕟。

　　一、ARP的基本知识

　　1、什么是ARP?

ARP协议【yì】是“Address Resolution Protocol”(地址【zhǐ】🆔解析协【jiě xī xié】议【yì】)的【de】缩写。在局域网中【wǎng zhōng】，网络中【wǎng luò zhōng】👵实际传输的【de】是“帧”，帧里面🔫是有目🤪标主机的【de】MAC地址【zhǐ】的【de】♉。在以太网中【wǎng zhōng】，一个主机要和🌍另一个【lìng yī gè】主机进🥋行直接通信【tōng xìn】，必须要知道目😭标主机的【de】MAC地址【zhǐ】🆔。但这个目标💯MAC地址【zhǐ】是🎙如何获【rú hé huò】得的【de】呢🐓?它就是【tā jiù shì】通过地【tōng guò dì】址【zhǐ】🆔解析协【jiě xī xié】议获得【yì huò dé】的【de】。

所谓“地址【dì zhǐ】🏬解析”就是主【jiù shì zhǔ】机在发🚛送帧前【sòng zhēn qián】将目标IP地址【dì zhǐ】转🌵换成目标MAC地址【dì zhǐ】🏬的🚃过程【guò chéng】。ARP协议的🕍基本功🥘能就是💗通过目标设备【biāo shè bèi】💪的🚃IP地址【dì zhǐ】🏬，查询目🏓标设备【biāo shè bèi】💪的🚃MAC地址【dì zhǐ】🏬，以保证通信的【tōng xìn de】🚃顺利进行。

在局域【zài jú yù】🈶网中，通过🌯ARP协议来完成IP地址【dì zhǐ】转换为第二层物💪理地址【dì zhǐ】(即【jí】📩MAC地址【dì zhǐ】)的【de】，ARP协议对网络安🈹全具有【quán jù yǒu】重要的【chóng yào de】🧚意义。

　　2、ARP协议的工作原理

正常情况下，每台主机都会在自己的【de】✡ARP缓冲区中建立【zhōng jiàn lì】一个 ARP列表【liè biǎo】🚬，以表示🛳IP地址和MAC地址的【de】✉对应关【duì yīng guān】系。当源主机需要🚓将一个数据包🔥要发送【yào fā sòng】到目的【de】✡主机时【zhǔ jī shí】🤮，会首先【huì shǒu xiān】检查自🔚己 ARP列表【liè biǎo】🚬中是否存【cún】🔇在该 IP地址对应的【yīng de】😼MAC地址，如果有🥦﹐就直接将数据【jiāng shù jù】📸包发送到这个【dào zhè gè】MAC地址;

如果没有，就向本地网段🥝发起一个ARP请求的📚广播包🌕，查询此【chá xún cǐ】目的主【mù de zhǔ】⏹机对应的📚MAC地址【dì zhǐ】🗾。此ARP请求数据包里包括源【bāo kuò yuán】主机的【zhǔ jī de】📚IP地址【dì zhǐ】🗾、硬件地【yìng jiàn dì】址🗾、以及目的主【mù de zhǔ】⏹机的📚IP地址【dì zhǐ】🗾。网络中所有的📚主机收【zhǔ jī shōu】到这个【dào zhè gè】🈷ARP请求后✌，会检查🎣数据包中的目【zhōng de mù】🈁的📚IP是否和🐉自己的【zì jǐ de】🤴IP地址【dì zhǐ】🗾一致【yī zhì】。

如果【rú guǒ】🚘不相同【bú xiàng tóng】就忽略【jiù hū luè】此数据包【jù bāo】🌛;如果【rú guǒ】🚘相同【xiàng tóng】，该😘主机首【zhǔ jī shǒu】先将发送端🐼的MAC地址和㊙IP地址添【dì zhǐ tiān】😎加到自己的🧘ARP列表中【liè biǎo zhōng】，如果【rú guǒ】🚘ARP表中已经存在该😘IP的信息【de xìn xī】，则将其【zé jiāng qí】🏓覆盖，然后给源主机【yuán zhǔ jī】🎨发送一【fā sòng yī】个【gè】✒ ARP响应数🍯据包【jù bāo】🌛，告诉对【gào sù duì】方自己是它需🗞要查找💖的MAC地址;源主机【yuán zhǔ jī】🎨收到这【shōu dào zhè】个【gè】✒ARP响应数🍯据包【jù bāo】🌛后，将得到【jiāng dé dào】的目的主机的【zhǔ jī de】IP地址和㊙MAC地址添【dì zhǐ tiān】😎加到自己的🧘 ARP列表中【liè biǎo zhōng】，并利用此信息开始数👑据的传输。

如图：

1. 要发送📛网络包【wǎng luò bāo】给192.168.1.1，但不知【dàn bú zhī】💱MAC地址?

2. 在局域网发出🎼广播包“192.168.1.1的【de】MAC地址是【dì zhǐ shì】什么🐼?”

3. 其他机【qí tā jī】器不回应【huí yīng】🐱，只有192.168.1.1回应【huí yīng】🐱“192.168.1.1的MAC地址是【dì zhǐ shì】🐼00-aa-00-62-c6-09”

从上面🆙可以看出⬆，ARP协议的【xié yì de】🕯基础就是信任局域网【jú yù wǎng】内所有【nèi suǒ yǒu】的人，那么就🌈很容易实现在【shí xiàn zài】以太网上的🍱ARP欺骗。更何况【gèng hé kuàng】📯ARP协议是工作在更低于【gèng dī yú】🚶IP协议的【xié yì de】🕯协议层【xié yì céng】，因此它【yīn cǐ tā】的危害😖就更加隐蔽。

　　二、ARP欺骗的原理

ARP类型的攻击最早用于😦盗取密码之用【mǎ zhī yòng】📮，网内中【wǎng nèi zhōng】毒电脑⛸可以伪【kě yǐ wěi】🦐装成路由器，盗取用户的密码， 后来发【hòu lái fā】🚯展成内藏于软件【jiàn】，扰乱其🧗他局域【tā jú yù】网用户【wǎng yòng hù】正常的【zhèng cháng de】👗网络【wǎng luò】🎚通信👈，下面我【xià miàn wǒ】们简要【men jiǎn yào】阐述🐧ARP欺骗的原理：假设这样一个网络【wǎng luò】🎚，一个交换机连🤔接了🤓3台机器，依次是计算机【jì suàn jī】A，B，C

A的地址🌙为【wéi】：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址【de dì zhǐ】💨为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址【de dì zhǐ】💓为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步：正常情况下在【kuàng xià zài】A计算机【jì suàn jī】🔀上运行ARP -A查询【chá xún】🔫ARP缓存表应该出🤩现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步🌉：在计算机✏B上运行【shàng yùn háng】ARP欺骗程【qī piàn chéng】序🏬，来发送【lái fā sòng】ARP欺骗包。

B向A发送一【fā sòng yī】个自己🤟伪造的【wěi zào de】🔪ARP应答🥚，而这个📿应答🥚中的数据🏷为发送【wéi fā sòng】👣方IP地址是【dì zhǐ shì】🖥192.168.10.3(C的🔪IP地址)，MAC地址是【dì zhǐ shì】🖥DD- DD-DD-DD-DD-DD(C的🔪MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被【zhè lǐ bèi】🛡伪造了【le】🛎)。当A接收到B伪造的【wěi zào de】🔪ARP应答🥚，就会更【jiù huì gèng】新本地【xīn běn dì】的🔪ARP缓存(A可不知【kě bú zhī】道【dào】😏被伪造【bèi wěi zào】了【le】🛎)。而且🐏A不知道【dào】😏其实是从B发送过来的【lái de】🔪，A这里只⏪有【yǒu】192.168.10.3(C的🔪IP地址)和无效【hé wú xiào】🔋的🔪DD-DD- DD-DD-DD-DD MAC地址。

第四步：欺骗完【qī piàn wán】毕我们在【zài】A计算机上运行ARP -A来查询🥘ARP缓存信息【xìn xī】📟。你会发📬现原来【xiàn yuán lái】正确的🤛信息【xìn xī】📟现在已【xiàn zài yǐ】经出现了错误💄。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

上面例⏺子中在🧛计算机【jì suàn jī】📺A上的🐠关于计算【suàn】📠机C的🐠MAC地址已经错误了，所以即🏬使以后【shǐ yǐ hòu】从A计算机【jì suàn jī】📺访问【fǎng wèn】C计算机【jì suàn jī】📺这个【zhè gè】192.168.1.3这个地【zhè gè dì】址也会🚚被 ARP协议错误的🐠解析成MAC地址为DD-DD-DD-DD-DD-DD的🐠。

当局域网中一【wǎng zhōng yī】台机器【qì】✨，反复向其他机【qí tā jī】器【qì】，特别是【tè bié shì】🤾向网关💪，发送这样无效假冒的🔏ARP应答信息包时【xī bāo shí】，严重的网络堵塞就会【sāi jiù huì】开始🛄。由于网💷关😰MAC地址错误【wù】，所以从💑网络中【wǎng luò zhōng】计算机【jì suàn jī】发来的【fā lái de】🌾数据无法正常发到网⚡关😰，自然无法正常上网。

这就造成了【le】无法访问【fǎ fǎng wèn】外网的【wài wǎng de】💆问题🐁，另外由🛅于很多🕦时候网关还控制着我🏻们的【de】局域网【yù wǎng】LAN上网，所以这时我们💲的【de】LAN访问也就出现【jiù chū xiàn】问题🐁了【le】。下图更☔直观的【de】展示了【zhǎn shì le】ARP欺骗攻【qī piàn gōng】击的【de】情🚌况：

三、ARP欺骗的危害

ARP类型的攻击在【gōng jī zài】🛩校园网【yuán wǎng】🎅中最早出现在【chū xiàn zài】去年5月份，目前校园网【yuán wǎng】🎅内的计算机所感染的【gǎn rǎn de】“ARP欺骗🌿”系列病【xì liè bìng】🛄毒已经🐤有了几【yǒu le jǐ】十个变🌺种【zhǒng】。根据这🥣些变种【zhǒng】的工作特点和【tè diǎn hé】🤮外部特性大概👰可以分为三大类，其中🕟“ARP欺骗🌿”和【hé】🌷“恶意窃🍙听”两类对【liǎng lèi duì】学校局域网的正常运行和【hé】🌷网络用【wǎng luò yòng】户的信息安全【xī ān quán】的威胁【de wēi xié】最大。

ARP攻击只要一开始就造成局域网【wǎng】🥙内计算机【jì suàn jī】无📓法和其【fǎ hé qí】他计算【tā jì suàn】机进行通讯【tōng xùn】👤，而且网【wǎng】络对此【luò duì cǐ】种病毒➰没有任何耐受【hé nài shòu】度【dù】，只要局💮域网【wǎng】中存在一【cún zài yī】台感染✌“ARP欺骗”病毒的👗计算机【jì suàn jī】将会造成整个局域网【wǎng】🥙通讯【tōng xùn】👤中断😳。

“恶意窃【è yì qiè】📼听💇”病毒是“ARP欺骗🤾”系列病毒中影响【xiǎng】和危害最为🍤恶劣的。它不会造成局域网的中断【zhōng duàn】，仅仅会使网络【shǐ wǎng luò】产生较🍠大的延【dà de yán】时【shí】💂，但是中😔毒主机【dú zhǔ jī】会截取🕠局域网内所有的通讯数据，并向特【bìng xiàng tè】定的外【dìng de wài】⛔网用户发送所【fā sòng suǒ】截获的【jié huò de】数据，对局域🌭网用户的网络🚝使用造成非常非常严💔重的影⛑响【xiǎng】，直接威【zhí jiē wēi】胁着局【xié zhe jú】域网用【yù wǎng yòng】户自身🖍的信息安全。

　　四、出现ARP攻击的原因及特征

一个正常运行🥕的局域【de jú yù】💑网是不应该出现【xiàn】ARP攻击的【gōng jī de】🌩，经过长时间的【shí jiān de】😾观测，发现【xiàn】ARP攻击的【gōng jī de】🌩出现主【chū xiàn zhǔ】👇要是由以下几🍎个原因造成的【zào chéng de】：

1、人为破坏

主要是内网有【nèi wǎng yǒu】人安装🎮了P2P监控软🏙件🐨，如🎂P2P终结者【zhōng jié zhě】，网络执🏮法官🐜，聚生网管【guǎn】，QQ第六感等【děng】，恶意监控其他机器【jī qì】，限制流量，或者进【huò zhě jìn】🐓行内网DDOS攻击【gōng jī】。

2、木马病毒

传奇🏭、跑跑卡丁车、劲舞团🤓等游戏【děng yóu xì】外挂💉，如【rú】🌙：及时雨【jí shí yǔ】PK版，跑跑牛车，劲舞小生等，他内含一些木【yī xiē mù】马程序，也会引起【qǐ】🎇ARP欺骗【qī piàn】😥。

其实真🍍正有人【zhèng yǒu rén】恶意捣🏏乱的是🚺很少的，一次两次捣乱，次数多【cì shù duō】了自己也就腻了，更何况🧐事后网管肯定【guǎn kěn dìng】🦆会找到捣乱的【dǎo luàn de】主机【zhǔ jī】，所以说【suǒ yǐ shuō】人为破【rén wéi pò】坏是比较好解【jiào hǎo jiě】🔠决的【jué de】。最麻烦的就是🗝使用带木马的🌨游戏外挂和浏览带有✳恶意代🤓码的网页【yè】。

当出现📕ARP攻击后【gōng jī hòu】🏢最明显的特征是网络【shì wǎng luò】🏐频繁掉【pín fán diào】线【xiàn】🖱，速度变慢，查看进程你会发现增加了 down.exe 1.exe cmd.exe 9sy.exe中的任意一个🐻或多个🐱，严重的还能自【hái néng zì】👙动还下载威金【zǎi wēi jīn】病毒，logo_1.exe.rundl132.exe，感染可执行文件【jiàn】，图标变🍑花还【huā hái】。

　　五、常用的防范方法

目前ARP系列的【xì liè de】🛣攻击方式和手【shì hé shǒu】段多种【duàn duō zhǒng】💐多样【duō yàng】，因此还没有一个绝对🏏全面有效的防🉑范方法。从实践【cóng shí jiàn】🎢经验看最为有🎪效的防🉑范方法即打全【jí dǎ quán】Windows的补丁、正确配置和使【zhì hé shǐ】用网络💸防火墙【fáng huǒ qiáng】、安装防【ān zhuāng fáng】病毒软件并及🦍时更新🐍病毒库。

对于Windows补丁不🍃仅仅打【jǐn jǐn dǎ】到SP2(XP)或🕺SP4(2000)，其后出【qí hòu chū】现的所【xiàn de suǒ】有安全更新也😽都必须及时打【jí shí dǎ】全才能最大限【zuì dà xiàn】度的防📳范病毒和木马🏻的袭击🖼。此外【cǐ wài】，正确使用【yòng】🐸U盘等移动存储设备⛰，防止通【fáng zhǐ tōng】🧠过校外计算机【jì suàn jī】传播病毒和木马🏻。

　　下面介🚊绍防范📝ARP攻击的【gōng jī de】几种常【jǐ zhǒng cháng】用方法：

1、静态绑定

将【jiāng】IP和【hé】🤜MAC静态绑🌦定，在网内把主机💧和【hé】🤜网关都【wǎng guān dōu】做IP和【hé】🤜MAC绑定【bǎng dìng】。

欺骗是【qī piàn shì】通过【tōng guò】🎷ARP的动态实时的【shí shí de】规则欺骗内网【piàn nèi wǎng】🥝机器【jī qì】，所以我们把ARP全部设💥置为静态可以解决对内网【nèi wǎng】PC的欺骗，同时在网关也【wǎng guān yě】要进行IP和【hé】MAC的静态绑定【dìng】💰，这样双🌑向绑定【xiàng bǎng dìng】💰才比较保险🧛。缺点是【quē diǎn shì】每台电脑需绑😢定【dìng】💰，且重启【qiě chóng qǐ】🍏后任需👑绑定【dìng】💰，工作量较大🕴，虽说绑定【dìng】💰可以通过【tōng guò】🎷批处理【pī chù lǐ】文🤒件来实现，但也比💄较麻烦【jiào má fán】🧟。

2、使用防护软件

目前关🤕于ARP类的防护软件出的比【chū de bǐ】较多了🙅，我校常【wǒ xiào cháng】用的一🥒款软件【kuǎn ruǎn jiàn】是彩影【shì cǎi yǐng】软件的ARP防火墙🚖.

ARP防火墙🛹采用系🎁统内核⏺层拦截【céng lán jié】技术和主动防【zhǔ dòng fáng】御技术【yù jì shù】，包含六【bāo hán liù】大功能【dà gōng néng】模块可【mó kuài kě】🛫解决大部分欺🗂骗【piàn】、ARP攻击带〰来的问题【tí】🚁，从而保证通讯安全(保障通讯数据不被网管软件【guǎn ruǎn jiàn】/恶意软件监听和控制🤧)、保证网🖕络畅通。

3、具有ARP防护功能的网络设备

由于【yóu yú】🛶ARP形式的⏹攻击【gōng jī】🔌而引发【ér yǐn fā】的网络问题是【wèn tí shì】目前网络🐪管理，特别是😃局域网管理中【guǎn lǐ zhōng】🗯最让人【zuì ràng rén】头疼的【tóu téng de】攻击【gōng jī】🔌，他的攻击【gōng jī】🔌技术含量低【liàng dī】，随便一✍个人都可以通过攻击【gōng jī】🔌软件来完成ARP欺骗攻【qī piàn gōng】击🔌，同时防范【fàn】ARP形式的⏹攻击【gōng jī】🔌也没有什🕰么特别有效的⛰方法🚉