网络安全中的ＡＲＰ协议和欺骗技术及其对策

一、什么是“ARP协议” ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 二、“ARP协议”的工作原理 在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？首先，每台主机都会在自己的ARP缓冲区（ARPCache）中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当A主机需要将一个数据包要发送到B主机时，会首先检查自己ARP列表中是否存在该IP地址所对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段内所有用户发出一个ARP请求的广播包，查询B主机的MAC地址。网段中所有用户在收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果相同，则给A主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；A主机收到这个ARP响应数据包后，将得到的B主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果不相同就忽略此数据包。 由于ARP协议自身的限制，源主机只要收到目标MAC地址是自己所要连接的地址就会接受并缓存，并不会检查收到的响应包是否合法。这就为ARP欺骗提供了可能，感染了ARP木马病毒的用户就会以欺骗的手法冒充合法的响应包进行网络通信，造成网内其它计算机的通信故障。 三、“ARP欺骗”木马病毒的解决策略 （一）使用静态绑定网关的方式 当网络环境是安全的时候，在窗口模式下输入“ARP-a”命令来查看， Interface:192.168.10.17---0x10003 InternetAddressPhysicalAddressType 192.168.10.100-0c-db-43-ce-00dynamic 192.168.10.19600-e0-4c-5c-7b-acdynamic 其中192.168.10.17是本机的IP地址，网关192.168.10.1的MAC地址是0-0c-db-43-ce-00，类型是动态的。 输入“ARP-ｓ192.168.10.100-0c-db-43-ce-00”对网关进行绑定，“ARP-a”后显示 Interface:192.168.10.17---0x10003 InternetAddressPhysicalAddressType 192.168.10.100-0c-db-43-ce-00static 192.168.10.19600-e0-4c-5c-7b-acdynamic 此时网关的类型就成了静态的了。 我们还可以编写一个含有上面命令语句的批处理文件放在系统的启动选项中，以保证计算机在每次启动时都能绑定网关，防止“ARP欺骗”木马病毒。 （二）使用使用ARP防护软件 现在有很多的ARP病毒防护软件，这里我们以奇虎360防火墙为例。安装ARP防火墙后，它可以在系统内核层拦截外部ARP攻击数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全。由于采用内核拦截技术，本机运行速度不受任何影响，发现攻击行为后，自动定位到攻击者IP地址和攻击机器名，还能够防止恶意攻击程序篡改本机ARP缓存。 （三）加强日常使用中的预防 由于ＡＲＰ病毒的不断更新，在日常的使用过程中还是要以防为主，电脑用户应该及时的更新操作系统补丁，安装和更新杀毒软件，尽量使用静态ＩＰ设置等方法，对一些不安全的链接不要轻易的点击，不要轻易地打开陌生的邮件，下载文件时一定要经过杀毒软件的扫描确定是安全的时候再打开。保护好自己的帐户和密码，防止ARP欺骗”木马病毒的感染，造成经济损失。 （四）使用物理设备进行防治 在经济条件允许的情况下，还可以采用能够大量绑定ARP和进行ARP攻击防御的交换机，它能杜绝任何非法ARP包在主交换机进行传播，这样ARP攻击只能影响到同一个分支交换机上的电脑，这样可能被攻击到的范围就大大缩小了。当攻击发生时，不可能造成整个网络的问题。另外也可以在路由器上进行设置，来防止路由器的ARP表被恶意的ARP数据包更改，造成网络的彻底瘫痪。 四、结束语 随着网络在社会各方面的延伸，进入网络的手段也越来越多，网络安全也成为当前一个十分严峻的问题。我们在享受网络所带给我们的方便与快捷的同时必须高度重视ARP病毒的预防与治理，最大程度的减少受到的危害，提高工作效率。