如何防范在局域網(wǎng)中ARP的攻擊

朱宏平

摘要

ARP在網(wǎng)絡(luò)安全上具有重要的意義。它對網(wǎng)絡(luò)的攻擊從未間斷過，其方式不斷的出新，攻擊的手段也越來越激烈。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，本文結(jié)合校園網(wǎng)的維護管理經(jīng)驗，談一談自已的一些防范措施。

【關(guān)鍵詞】校園網(wǎng) ARP攻擊 防范措施

ARP在網(wǎng)絡(luò)安全上具有重要的意義。它對網(wǎng)絡(luò)的攻擊從未間斷過，其方式不斷的出新，攻擊的手段也越來越激烈。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞;如網(wǎng)絡(luò)經(jīng)常掉線，網(wǎng)速變慢，QQ號密碼、網(wǎng)游密碼被盜，常用的殺毒軟件對它也是束手無策。許多網(wǎng)吧和企事業(yè)單位的網(wǎng)絡(luò)都受到了不同程度的影響，由于我從事校園網(wǎng)維護工作，為保證校園網(wǎng)的正常運行，防范ARP的攻擊已成為重要的任務(wù)。在工作中我也是不斷地思考并嘗試如何才能更好地防范這種不斷變化的ARP攻擊，本文結(jié)合校園網(wǎng)的維護管理經(jīng)驗，談一談自已的一些防范措施。

1 認識ARP的攻擊

局域網(wǎng)內(nèi)的一種攻擊方式。一般可以導(dǎo)致網(wǎng)內(nèi)其他機器出現(xiàn)"IP地址沖突”或不能上網(wǎng)的癥狀。局域網(wǎng)內(nèi)需要通過mac地址（相當(dāng)于機器的唯一識別號）通信，故需要將IP地址和mac地址對應(yīng)起來。就像一個班里的同學(xué)要把電話號碼和真人對應(yīng)起來一樣，完成這個對應(yīng)過程的就是ARP協(xié)議。

至于ARP攻擊，就是在局域網(wǎng)內(nèi)的欺騙，讓其他PC和路由器將IP對應(yīng)到錯誤的mac。ARP攻擊是從數(shù)據(jù)鏈路層發(fā)起的，ARP防火墻、360等都是應(yīng)用層軟件，防不了的。并且ARP等網(wǎng)絡(luò)攻擊一直都存在的，網(wǎng)絡(luò)攻擊有時并不是人為故意搞破壞，因為以太網(wǎng)協(xié)議存在先天漏洞和難管理的缺陷，導(dǎo)致各種內(nèi)網(wǎng)問題層出不窮。要想徹底解決內(nèi)網(wǎng)攻擊，只有從每個終端的網(wǎng)卡上進行防控攔截，使其不能發(fā)出ARP攻擊。

2 如何查找局域網(wǎng)中ARP攻擊源

單純在電腦上安裝一個ARP防火墻是不行的。現(xiàn)在你們的電腦都是在局域網(wǎng)里共享的，并且共享一個出口帶寬。而ARP屬于以太網(wǎng)中正常的協(xié)議行為。ARP欺騙屬于以太網(wǎng)自身的協(xié)議漏洞?，F(xiàn)在網(wǎng)絡(luò)環(huán)境中ARP攻擊現(xiàn)象很多，往往遭到攻擊時網(wǎng)速會很卡很慢甚至全網(wǎng)癱瘓，很麻煩，現(xiàn)在防止ARP的措施也是很有限，無非就是做雙綁、ARP防火墻等。但是這些效果都不是很好，我們學(xué)校也出現(xiàn)過這種問題，后來用了欣向免疫安全網(wǎng)關(guān)，將普通網(wǎng)絡(luò)升級為免疫網(wǎng)絡(luò)，從網(wǎng)絡(luò)底層、每個終端上進行防控監(jiān)測，這樣不僅能防止本機不受攻擊，還能攔截本機對外的網(wǎng)絡(luò)攻擊，加固網(wǎng)絡(luò)基礎(chǔ)安全，能夠徹底有效的解決內(nèi)網(wǎng)攻擊問題。并且還有個監(jiān)控界面，哪臺電腦發(fā)出的攻擊都會有記錄，一目了然，直接找到攻擊源。

3 如何破解ARP的攻擊

從技術(shù)原理上，要徹底解決ARP欺騙和攻擊，要有三個技術(shù)要點。

（1）終端對網(wǎng)關(guān)的綁定要堅實可靠，這個綁定能夠抵制被病毒搗毀。

（2）接入路由器或網(wǎng)關(guān)要對下面終端IP-MAC的識別始終保證唯一準確。

（3）網(wǎng)絡(luò)內(nèi)要有一個最可依賴的機構(gòu)，提供對網(wǎng)關(guān)IP-MAC最強大的保護。它既能夠分發(fā)正確的網(wǎng)關(guān)信息，又能夠?qū)Τ霈F(xiàn)的假網(wǎng)關(guān)信息立即封殺。

局域網(wǎng)中的計算機在受到ARP攻擊時，通常會導(dǎo)致斷網(wǎng)。由于這種現(xiàn)象并不是由病毒所致，因此對其防范處理有一定的難度。不過，我們?nèi)匀豢梢酝ㄟ^以下方法達到制止來自局域網(wǎng)的ARP攻擊，下面就是具體的解決辦法。

（1）將IP和MAC地址進行綁定：通過是在路由器端將局域網(wǎng)中各計算機的IP地址與其對應(yīng)的網(wǎng)卡MAC地址實行綁定。具體操作方法：打開路由器管理界面，點擊“IP與MAC綁定”→“靜態(tài)ARP綁定設(shè)置”項，然后在右側(cè)點擊“添加單個項目”按鈕。

（2）在打開的“ARP靜態(tài)綁定”窗口中，輸入要綁定的IP和MAC，然后點擊“保存”按鈕即可。用同樣的方法添對局域網(wǎng)中其它計算機進行IP與MAC地址綁定。最后點擊“使所有條目生效”按鈕即可。

（3）利用網(wǎng)絡(luò)防護類軟件對網(wǎng)關(guān)IP進行綁定。

（4）在程序列表中點擊“流量防火墻”，然后在打開的窗口中切換至“局域網(wǎng)防護”選項卡。

（5）然后將“網(wǎng)關(guān)綁定手機綁定”，點擊“詳情/設(shè)置”按鈕。

（6）在打開的“添加保護網(wǎng)關(guān)IP和MAC”窗口中，點擊“添加網(wǎng)關(guān)”按鈕來手動綁定網(wǎng)關(guān)IP和MAC地址。

（7）至此，局域網(wǎng)ARP沖突現(xiàn)象就得到有效遏制。此時網(wǎng)速就正常了。

系統(tǒng)的一些漏洞也給ARP病毒、木馬的侵入提供了可乘之機，我們知道現(xiàn)在大部分人使用的都是Windows操作系統(tǒng)，然而這個龐大的系統(tǒng)其安全性卻讓人很不放心，針對該系統(tǒng)的攻擊也非常多，一些ARP木馬和病毒利用系統(tǒng)漏洞感染系統(tǒng)，使該機器成為一個ARP攻擊源，從而影響系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定，為保障系統(tǒng)免受感染，為系統(tǒng)安裝相應(yīng)的安全補丁也是必要的。

操作系統(tǒng)的一些服務(wù)和端口往往也成為ARP攻擊入侵的手段之一，如C$、D$等管理共享、3319端口等，在條件允許的情況下，我們可以將一些不需要的共享、服務(wù)和端口完全關(guān)閉。

殺毒軟件能很好地預(yù)防一些病毒，但由于其局限性，對于一些新出來的病毒，其防殺的能力十分有限，我們只有定期或不定期地更新我們的病毒庫，才能在更大限度上保障對病毒的防范，如在殺毒軟件中我們可設(shè)置每天定時自動更新，從而保證我們的系統(tǒng)免受侵害。

在系統(tǒng)中安裝并使用網(wǎng)絡(luò)防火墻軟件對防范ARP病毒攻擊也能起到至一定的作用，能有效地阻擋自來網(wǎng)絡(luò)的攻擊和病毒的入侵。對于一些安裝盜版Windowst系統(tǒng)的用戶，如不能正常安裝安全補丁，那么通過使用網(wǎng)絡(luò)防火墻等方法也能做到對ARP攻擊相應(yīng)的防護。

4 規(guī)范校園網(wǎng)用戶的操作守則

別看小小的操作守則，從某種程度上對防范ARP的攻擊，也能起到一定的預(yù)防作用，在校園網(wǎng)內(nèi)真正惡意搗亂的是很少的，如安裝網(wǎng)絡(luò)執(zhí)法官等軟件惡意監(jiān)控其他機器，限制流量，安裝一些木馬病毒等，更多的是無意中瀏覽了一些帶惡意代碼的網(wǎng)頁、使用了帶木馬的游戲外掛或使用了帶毒的移動存儲設(shè)備等，使得感染的機器成了攻擊源，我們規(guī)范了用戶操作守則之后，時時提醒用戶，讓用戶遵守守則，從一定程度上可以預(yù)防受感染的機會。

綜上所述，我們可以看到，在校園網(wǎng)中，對于ARP的攻擊，我們是可以有效防范的。