網(wǎng)絡安全中的ＡＲＰ協(xié)議和欺騙技術及其對策

一、什么是“ARP協(xié)議” ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。 二、“ARP協(xié)議”的工作原理 在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？首先，每臺主機都會在自己的ARP緩沖區(qū)（ARPCache）中建立一個ARP列表，以表示IP地址和MAC地址的對應關系。當A主機需要將一個數(shù)據(jù)包要發(fā)送到B主機時，會首先檢查自己ARP列表中是否存在該IP地址所對應的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段內(nèi)所有用戶發(fā)出一個ARP請求的廣播包，查詢B主機的MAC地址。網(wǎng)段中所有用戶在收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果相同，則給A主機發(fā)送一個ARP響應數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；A主機收到這個ARP響應數(shù)據(jù)包后，將得到的B主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果不相同就忽略此數(shù)據(jù)包。 由于ARP協(xié)議自身的限制，源主機只要收到目標MAC地址是自己所要連接的地址就會接受并緩存，并不會檢查收到的響應包是否合法。這就為ARP欺騙提供了可能，感染了ARP木馬病毒的用戶就會以欺騙的手法冒充合法的響應包進行網(wǎng)絡通信，造成網(wǎng)內(nèi)其它計算機的通信故障。 三、“ARP欺騙”木馬病毒的解決策略 （一）使用靜態(tài)綁定網(wǎng)關的方式 當網(wǎng)絡環(huán)境是安全的時候，在窗口模式下輸入“ARP-a”命令來查看， Interface:192.168.10.17---0x10003 InternetAddressPhysicalAddressType 192.168.10.100-0c-db-43-ce-00dynamic 192.168.10.19600-e0-4c-5c-7b-acdynamic 其中192.168.10.17是本機的IP地址，網(wǎng)關192.168.10.1的MAC地址是0-0c-db-43-ce-00，類型是動態(tài)的。 輸入“ARP-ｓ192.168.10.100-0c-db-43-ce-00”對網(wǎng)關進行綁定，“ARP-a”后顯示 Interface:192.168.10.17---0x10003 InternetAddressPhysicalAddressType 192.168.10.100-0c-db-43-ce-00static 192.168.10.19600-e0-4c-5c-7b-acdynamic 此時網(wǎng)關的類型就成了靜態(tài)的了。 我們還可以編寫一個含有上面命令語句的批處理文件放在系統(tǒng)的啟動選項中，以保證計算機在每次啟動時都能綁定網(wǎng)關，防止“ARP欺騙”木馬病毒。 （二）使用使用ARP防護軟件 現(xiàn)在有很多的ARP病毒防護軟件，這里我們以奇虎360防火墻為例。安裝ARP防火墻后，它可以在系統(tǒng)內(nèi)核層攔截外部ARP攻擊數(shù)據(jù)包，保障系統(tǒng)不受ARP欺騙、ARP攻擊影響，保持網(wǎng)絡暢通及通訊安全。由于采用內(nèi)核攔截技術，本機運行速度不受任何影響，發(fā)現(xiàn)攻擊行為后，自動定位到攻擊者IP地址和攻擊機器名，還能夠防止惡意攻擊程序篡改本機ARP緩存。 （三）加強日常使用中的預防 由于ＡＲＰ病毒的不斷更新，在日常的使用過程中還是要以防為主，電腦用戶應該及時的更新操作系統(tǒng)補丁，安裝和更新殺毒軟件，盡量使用靜態(tài)ＩＰ設置等方法，對一些不安全的鏈接不要輕易的點擊，不要輕易地打開陌生的郵件，下載文件時一定要經(jīng)過殺毒軟件的掃描確定是安全的時候再打開。保護好自己的帳戶和密碼，防止ARP欺騙”木馬病毒的感染，造成經(jīng)濟損失。 （四）使用物理設備進行防治 在經(jīng)濟條件允許的情況下，還可以采用能夠大量綁定ARP和進行ARP攻擊防御的交換機，它能杜絕任何非法ARP包在主交換機進行傳播，這樣ARP攻擊只能影響到同一個分支交換機上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當攻擊發(fā)生時，不可能造成整個網(wǎng)絡的問題。另外也可以在路由器上進行設置，來防止路由器的ARP表被惡意的ARP數(shù)據(jù)包更改，造成網(wǎng)絡的徹底癱瘓。 四、結(jié)束語 隨著網(wǎng)絡在社會各方面的延伸，進入網(wǎng)絡的手段也越來越多，網(wǎng)絡安全也成為當前一個十分嚴峻的問題。我們在享受網(wǎng)絡所帶給我們的方便與快捷的同時必須高度重視ARP病毒的預防與治理，最大程度的減少受到的危害，提高工作效率。