ARP攻擊的原理分析及防范對策研究

潘家富

摘? 要：計算機網(wǎng)絡(luò)的迅猛發(fā)展和普及，改變了人們的工作與生活，但同時也給人們帶來了新的隱患，網(wǎng)絡(luò)安全事件層出不窮。在目前計算機網(wǎng)絡(luò)運行與使用中，ARP攻擊成為最為常見的問題。本文結(jié)合自身實際工作經(jīng)驗，提出了一種新的ARP防御方案，在介紹IP地址和MAC地址的基礎(chǔ)上，闡述了ARP協(xié)議的工作過程，剖析了ARP協(xié)議存在的弊端，分析了ARP攻擊的原理。從網(wǎng)管中心端和用戶端兩個角度討論防范ARP攻擊的策略，并在網(wǎng)絡(luò)環(huán)境中演示了這些策略防范ARP攻擊的效果。

關(guān)鍵詞：地址解析協(xié)議;安全防范;網(wǎng)絡(luò)攻擊

中圖分類號：TP393? ? ?文獻標識碼：A

Abstract：The rapid development and popularization of computer network have changed people's work and life，but also brought people new hidden troubles-endless network security events.In the current computer network operation and application，ARP attack constitutes the most common problem.The paper proposes a new ARP defense scheme based on practical experience.On the basis of introducing IP address and MAC address，this paper elaborates on the working process of ARP protocol，expounds the disadvantages of ARP，and analyzes the principle of ARP attack.This paper discusses the strategies of preventing ARP attack from both the network tube center and the user，and demonstrates these strategies in the network environment to prevent the effects of ARP attack.

Keywords：address resolution protocol;security;cyber attacks

1? ?引言（Introduction）

自2005年首例ARP（Address Resolution Protoco）病毒被發(fā)現(xiàn)起，到目前ARP病毒已經(jīng)排在危害病毒的前五位，ARP病毒極大地威脅著計算機網(wǎng)絡(luò)中用戶的安全。ARP攻擊的危害很大，較簡單的ARP攻擊會使計算機網(wǎng)絡(luò)掉線，重要數(shù)據(jù)的丟失或密碼被盜竊，具體的表現(xiàn)狀況如下：主機網(wǎng)絡(luò)的網(wǎng)速時快時慢，非常不穩(wěn)定，會導致網(wǎng)絡(luò)的通訊質(zhì)量不穩(wěn)定;主機死機，主機容易出現(xiàn)IP沖突;會導致被攻擊的主機通訊困難。較復雜的ARP攻擊會使核心資料被盜或出現(xiàn)嚴重的死機情況，ARP攻擊使得局域網(wǎng)中整個計算機網(wǎng)絡(luò)上網(wǎng)的用戶賬戶信息被盜，可能會被用于進行一些其他的非法活動，給計算機網(wǎng)絡(luò)用戶造成巨大的損失;破壞計算機的屏保。ARP攻擊會造成IP地址沖突，危害級別高于屏保可保護的級別，所以ARP攻擊導致很多不安全問題[1]。

本論文從ARP協(xié)議和IP協(xié)議本身出發(fā)，在分析IP地址和MAC地址，以及ARP攻擊原理的基礎(chǔ)上，指出ARP協(xié)議的不安全因素，并基于網(wǎng)管中心端和用戶端的防范策略，針對存在的安全問題給出簡單可行的防御方法，達到在一定范圍內(nèi)解決局域網(wǎng)內(nèi)ARP攻擊的目的。

2? 研究的背景和意義（Background and significanceof the study）

當前，計算機網(wǎng)絡(luò)已成為人們?nèi)粘９ぷ魃畹闹匾A(chǔ)。計算機網(wǎng)絡(luò)通過互連和資源整合，給我們的日常工作生活帶來了便利的同時，也給我們提供了豐富多彩的娛樂方式，從而極大地滿足了人們相互交換信息和相互尋求幫助的需要，不斷地提高人們的日常工作效率的同時，也改變?nèi)藗兊娜粘Ｉ罘绞?。雖然計算機網(wǎng)絡(luò)已慢慢地成了人們?nèi)粘９ぷ魃钪斜夭豢缮俚摹叭粘Ｓ闷贰保怯嬎銠C網(wǎng)絡(luò)同時也給人們帶來了許多麻煩。因為使用計算機網(wǎng)絡(luò)應用而造成的各種安全問題數(shù)量逐年上升。

如今，在我們越來越忽視局域網(wǎng)內(nèi)的安全問題的情況下，我們卻越來越依賴于互聯(lián)網(wǎng)通訊，特別是局域網(wǎng)內(nèi)安全的通訊。許多公司或者校園會十分重視防范局域網(wǎng)外的攻擊，但是似乎都認為局域網(wǎng)內(nèi)的ARP攻擊扮演著一個不怎么重要的角色，因此一般對ARP攻擊關(guān)注的程度都不夠?？傊?，如何更好地防御ARP攻擊顯得迫在眉睫。

3? ? 國內(nèi)外研究現(xiàn)狀（Studies at home and abroad）

目前，國內(nèi)外學者采取積極的態(tài)度來對待ARP攻擊，而不是被動地等待問題的出現(xiàn)。許多國內(nèi)外學者對ARP攻擊的原理進行深入研究，并提出了相應的防御措施。

在基于用戶端的防范策略方面。鄭文兵和李成忠提出了一種改進的ARP協(xié)議算法，對 ARP協(xié)議報文進行控制 ，使其更加安全[2]。陳曙（山東大學信息科學與工程學院副教授）提出，通過修改TCP IP內(nèi)核源代碼，主要是修改廣播ARP請求函數(shù)arprequest和處理接收到的ARP報文的函數(shù)in_arpinput得以實現(xiàn)防范ARP攻擊[3]。

在基于網(wǎng)管中心端的防范策略方面。劉亞麗和鄧高峰提出，借助ARP服務器處理技術(shù)，限制局域網(wǎng)內(nèi)部的其他主機只能接收來自ARP服務器發(fā)出的ARP響應[4]。Seung Yeob Nam、Dongwon Kim、Jeongeun Kim提出了一種增強版的ARP協(xié)議來防止基于ARP病毒的中間人攻擊[5]。

在網(wǎng)管中心端和用戶端結(jié)合的防范策略方面，Han-Wei Hsiao、Cathy S.Lin、Ssu-Yang Chang提出了一種對SNMP流數(shù)據(jù)進行挖掘的ARP攻擊檢測系統(tǒng)[6]。吳小平，周建中和方曉惠提出，基于SNMP協(xié)議主動防御ARP欺騙的基本原理[7]。

這些防范對策都在一定程度上有效緩解了ARP攻擊的危害。

4? ?研究內(nèi)容（Research contents）

本文主要研究以下內(nèi)容：

（1）ARP攻擊的原理分析。先講解ARP協(xié)議的工作過程，指出該過程中可能存在的漏洞，再詳細分析ARP攻擊的原理。

（2）闡述基于網(wǎng)管中心端的防范策略。先講解VLAN

（Virtual Local Area Network）劃分工作過程，再在局域網(wǎng)的網(wǎng)管中心端實施VLAN劃分以實現(xiàn)ARP的防御。

（3）闡述基于用戶端的防范策略。先講解360局域網(wǎng)防火墻，ARP緩存內(nèi)容和靜態(tài)ARP記錄的工作過程，再在局域網(wǎng)內(nèi)用戶端安裝360局域網(wǎng)防火墻，實現(xiàn)實時刪除ARP緩存內(nèi)容和添加靜態(tài)ARP記錄。

（4）演示ARP攻擊及防范實例。使用攻擊軟件“WinArpAttacker3.72”偽裝成其他主機的MAC地址進行ARP攻擊。利用在局域網(wǎng)內(nèi)網(wǎng)管中心端實現(xiàn)VLAN劃分，或在局域網(wǎng)內(nèi)用戶端開啟360局域網(wǎng)防火墻，實現(xiàn)實時刪除ARP緩存內(nèi)容，以及添加靜態(tài)ARP記錄的防范方法進行防范ARP攻擊。

5? ?ARP攻擊原理分析（ARP attack principle analysis）

5.1? ?IP地址和MAC地址簡介

（1）IP地址。為了確保網(wǎng)絡(luò)上每臺計算機間能夠方便地進行相互間通信，TCP/IP協(xié)議（Transmission Control Protocol/Internet Protocol）規(guī)定用一串32位的二進制地址來標識相互通信的每臺主機[8]，這串32位的數(shù)字就是我們俗稱每臺計算機的IP地址。如圖1所示，IP數(shù)據(jù)包由32位源IP地址和32位目的IP地址等構(gòu)成，通過分析IP數(shù)據(jù)包可知發(fā)出該數(shù)據(jù)包的源主機和接收該數(shù)據(jù)包的目的主機。

（2）MAC地址。所有可以聯(lián)接到網(wǎng)絡(luò)的計算機都必須要配置一塊網(wǎng)卡，網(wǎng)卡上有一串地址，這串地址叫作物理地址（MAC地址）。如圖2所示，TCP/IP四層模型的第二層（數(shù)據(jù)鏈路層）中需要使用到MAC地址。網(wǎng)絡(luò)層需要通過使用ARP協(xié)議，把IP地址轉(zhuǎn)換成MAC地址，如此才能將數(shù)據(jù)包傳遞到數(shù)據(jù)鏈路層。如圖3所示，MAC地址采用一串48位的二進制地址來標識相互通信的每臺主機，有時為方便書寫，會用六個字節(jié)的十六進制表示MAC地址，每兩個字節(jié)間用冒號隔開。由生產(chǎn)商編號和設(shè)備編號這兩部分構(gòu)成MAC地址，生產(chǎn)商編號由前三個字節(jié)來表示， 設(shè)備編號由后三個字節(jié)來表示。

5.2? ?ARP工作過程簡介

在局域網(wǎng)中，一臺主機要和另外一臺主機進行直接通信前就需要先判斷與目的主機是否是同一個網(wǎng)段。例如圖4所示，源主機先把目標主機的IP地址與自己的子網(wǎng)掩碼進行“與”操作，以此判斷目標主機與自己是否在同一網(wǎng)段（目標主機的IP地址為172.16.2.160，源主機的IP地址為172.16.34.10，源主機的子網(wǎng)掩碼為255.255.0.0）。

如果是同一網(wǎng)段，那么要請求的是目的主機的MAC地址。并且在源主機的ARP緩沖區(qū)沒有與目標IP地址相對應的物理地址（MAC地址）信息，則啟用ARP協(xié)議工作。ARP基本功能就是通過目標計算機的IP地址，查詢目標計算機的MAC地址[9]。假設(shè)局域網(wǎng)內(nèi)有兩臺主機A和B，當主機A需要與主機B進行通信時， 主機A首先利用ARP協(xié)議獲得主機B的MAC地址，為后續(xù)進行通信做準備。現(xiàn)主機A已經(jīng)知道主機B的IP地址且主機A需要與主機B進行通信，此時需要查詢目標主機的MAC地址。如圖5所示，主機請求的是同一網(wǎng)段的目的主機的MAC地址。

如果不同網(wǎng)段，那么要請求的是默認網(wǎng)關(guān)的MAC地址，在源主機的ARP緩沖區(qū)沒有與默認網(wǎng)關(guān)的IP地址相對應的物理地址（MAC地址）信息，則啟用ARP協(xié)議工作。與源主機在同一網(wǎng)段中的其他所有主機都能收到ARP請求報文并能夠?qū)@個ARP請求報文進行分析， 默認網(wǎng)關(guān)發(fā)現(xiàn)報文中的目標IP地址與自己的IP地址相同，則它向源主機發(fā)送ARP響應報文[10]。如圖6所示，主機請求的是網(wǎng)關(guān)的MAC地址。

通過以上ARP協(xié)議的工作原理的分析可以發(fā)現(xiàn)，ARP協(xié)議是建立在局域網(wǎng)中主機可以相互通信的基礎(chǔ)之上，因而，ARP具有廣播性、無連接性、無序性、無認證字段、無關(guān)性和動態(tài)性等一系列的安全漏洞[11]。因為這些安全問題的存在，所以利用ARP協(xié)議漏洞進行網(wǎng)絡(luò)攻擊是相對有效網(wǎng)絡(luò)攻擊方法，并且是比較難以預防的網(wǎng)絡(luò)攻擊方式。

5.3? ?ARP攻擊原理分析

由于ARP協(xié)議并不會對報文信息的真實性進行校驗，而且某主機沒有發(fā)出ARP請求報文給其他任何主機的情況下，該主機同樣可以接受任意主機發(fā)出的請求ARP報文的響應報文，并且該主機會更新自己的ARP緩存，把新的地址映射信息加入ARP高速緩存中。這種缺陷使得偽造別人的物理地址可以實現(xiàn)ARP攻擊，進而使得破壞局域網(wǎng)安全通信成為一種可能。如圖7所示，下面通過具體的例子來觀察ARP攻擊實現(xiàn)的具體過程：三臺計算機連接到一臺交換機。二層交換機的工作機制：交換機經(jīng)過自動學習，將把它的端口號和主機的MAC地址建立對應關(guān)系。在此假設(shè)主機PC1的IP地址為IP1，MAC地址為MAC1;主機PC2的IP地址為IP2，MAC地址為MAC2;主機PC3的IP地址為IP3，MAC地址為MAC3。

在該網(wǎng)絡(luò)中，假定主機PC1和主機PC2可以合法的進行通信，此時不合法的主機PC3就可以利用ARP攻擊，竊聽主機PC1和主機PC2的通信。過程如下：主機PC3偽裝成主機PC2，主動給主機PC1發(fā)送ARP請求的響應包;數(shù)據(jù)包源IP地址為主機PC2的IP，源MAC地址為主機PC3的物理地址。目標MAC地址為主機PC1的物理地址。主機PC1接受主機PC3發(fā)出的請求ARP報文的響應報文，并且主機PC1刷新ARP高速緩存，最終主機PC1的ARP表存在主機PC3的MAC地址與主機PC2的IP地址存在映射。同理，主機PC3偽裝成主機PC1，主動給主機PC2發(fā)送ARP請求的響應包;最終主機PC2的ARP表存在主機PC3的MAC地址與主機PC1的IP地址存在映射。此時不合法的主機PC3就可以利用ARP攻擊。竊聽主機PC1和主機PC3的通信。

經(jīng)過對ARP攻擊原理的分析，我們能夠發(fā)現(xiàn)ARP攻擊比較容易實現(xiàn)。在這個例子中因為ARP攻擊發(fā)生在局域網(wǎng)內(nèi)，所以只有內(nèi)部的機器才能夠互相監(jiān)聽。對于本來就存在嚴重的安全漏洞的網(wǎng)絡(luò)來說，ARP攻擊是一個較為嚴重的安全隱患。如果攻擊方入侵到局域網(wǎng)內(nèi)的某臺主機上，并行進行ARP攻擊，如果ARP攻擊成功。那么所有數(shù)據(jù)都將流經(jīng)原本不應該流經(jīng)的主機，將給網(wǎng)絡(luò)造成更大的破壞。

6? ARP攻擊的防范對策（Countermeasures for ARPattack）

6.1? ?網(wǎng)管中心端的防范策略

局域網(wǎng)內(nèi)主機被惡意修改ARP表后就不會把數(shù)據(jù)包發(fā)送給正確的主機，而是發(fā)送給一個錯誤的MAC地址的主機，造成網(wǎng)絡(luò)非正常通訊及網(wǎng)絡(luò)竊聽。所以需要對網(wǎng)管中心端進行ARP攻擊防范，因為大部分的網(wǎng)管中心端由交換機構(gòu)成，所以我們可以在交換機上創(chuàng)建虛擬局域網(wǎng)進行ARP攻擊防范。

虛擬局域網(wǎng)（Virtual Local Area Network，VLAN），建立在物理局域網(wǎng)基礎(chǔ)之上，通過支持VLAN功能的網(wǎng)絡(luò)設(shè)備及其管理軟件構(gòu)成的，可以跨越不同網(wǎng)段，不同網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)。因為廣播信息只在本VLAN中傳播并且劃分VLAN技術(shù)可以增加廣播域的數(shù)量，減少廣播域的范圍，使得廣播信息只有在本VLAN內(nèi)傳播，所以增加了網(wǎng)絡(luò)的有效帶寬，提高了網(wǎng)絡(luò)性能。可以將局域網(wǎng)劃分成為多個不同的較小范圍的VLAN，一個VLAN內(nèi)發(fā)生的ARP攻擊不會影響到其他VLAN內(nèi)的主機通信，這個方法可以縮小ARP欺騙攻擊受影響的范圍。即使在局域網(wǎng)中出現(xiàn)了ARP欺騙攻擊事件，判別攻擊源的范圍會比較容易。與此同時，網(wǎng)絡(luò)管理員可以采用劃分VLAN技術(shù)，簡化管理的網(wǎng)絡(luò)，在局域網(wǎng)中通過劃分多個VLAN，可以增加廣播域的數(shù)量，減少廣播域的范圍，這樣可以有效地抑制廣播風暴的出現(xiàn)，提高了網(wǎng)絡(luò)的安全性。

6.2? ?用戶端的防范策略

（1）實時刪除ARP緩存內(nèi)容

在局域網(wǎng)中，一臺主機要和另外一臺主機進行直接通信時就必須要知道目標主機的MAC地址，這個目標主機的MAC地址需要通過ARP獲得的。由于ARP協(xié)議并不會對報文信息的真實性進行校驗，可以接受ARP報文的響應報文，并且更新自己的ARP緩存，把新的地址映射信息加入ARP高速緩存中，這種缺陷使得偽造別人的物理地址可以實現(xiàn)ARP攻擊。所以可以通過不斷的清除主機ARP緩存中的信息，這樣錯誤的ARP緩存信息就被刪除了，以此達到防范ARP攻擊的目的。

（2）啟用360局域網(wǎng)防火墻

目前大多數(shù)網(wǎng)絡(luò)公司在防火墻這類安全產(chǎn)品中加入對ARP攻擊的防范，通常是從底層驅(qū)動對所有ARP攻擊數(shù)據(jù)包進行識別和屏蔽，可以防御ARP攻擊。啟動360局域網(wǎng)防火墻主要功能有攔截外部ARP攻擊，攔截IP沖突和主動防御[12]。

（3）添加靜態(tài)ARP記錄

由于ARP協(xié)議并不會對報文信息的真實性進行校驗。主機可以接受其他任意主機發(fā)出的請求ARP報文的響應報文，并且該主機會更新自己的ARP緩存，把新的地址映射信息加入ARP高速緩存中。這種缺陷使得偽造別人的物理地址可以實現(xiàn)ARP攻擊。如果在ARP表中添加靜態(tài)ARP記錄則可以避免ARP攻擊。添加靜態(tài)ARP記錄又被稱為ARP綁定。它的主要特點是ARP紀錄永遠不過期。ARP攻擊的漏洞是數(shù)據(jù)在傳輸過程中對應的IP地址和MAC地址的關(guān)系被更改，只需要手工將局域網(wǎng)中其他主機的IP地址和與其對應的物理地址進行綁定，這種方法可以防止主機再受到ARP欺騙攻擊，但是采用添加靜態(tài)地址的方法防止ARP欺騙攻擊的前提條件，是網(wǎng)絡(luò)中所有主機的IP地址和物理地址是固定不變的。如果在網(wǎng)絡(luò)環(huán)境中增加新的主機或新的主機網(wǎng)卡的時候，需要相應的改變IP地址和物理地址。ARP綁定是對局域網(wǎng)內(nèi)的主機IP地址和對應的MAC地址進行綁定，是防止ARP攻擊的有效方式之一。依據(jù)ARP攻擊的原理，若需要解決ARP攻擊事件，對用戶端主機都進行ARP綁定是可以解決問題的。

7? ARP攻擊及防范實例（Examples of ARP attack?and prevention）

7.1? ?網(wǎng)絡(luò)環(huán)境搭建

如圖8所示，是用來演示ARP攻擊及防范的網(wǎng)絡(luò)環(huán)境，其包括一臺交換機和三臺主機。交換機模擬網(wǎng)管中心端，三臺主機分別為用于模擬用戶端的主機A，模擬攻擊者的主機B和模擬用戶端的主機C。主機A的IP地址為192.168.1.102，MAC地址為a4-17-31-c0-75-2f;主機B的IP地址為192.168.1.108，MAC地址為24-0a-64-cd-f2-2f;主機C的IP地址為192.168.1.105，MAC地址為80-a5-89-51-49-6。

7.2? ?ARP攻擊過程演示

以下演示攻擊者主機B偽裝成用戶端主機C，并且告訴用戶端主機A自己是主機C，以此對用戶端主機A進行ARP攻擊。

（1）主機B偽裝成主機C：主機B主動給主機A發(fā)送ARP請求的響應包。數(shù)據(jù)包源IP地址為主機C的IP，源MAC地址為主機B的MAC地址。目標MAC地址為主機A的MAC地址。如圖9所示，在Dst Hardware Mac中寫入主機A的MAC地址，Arp op中選擇Reverse reply，Src Protocol Mac中寫入主機B的MAC地址，Src IP中寫入主機C的IP地址。

（2）驗證主機B成功發(fā)送出偽裝成主機C的ARP請求響應數(shù)據(jù)包：在主機A上使用抓包工具，抓取ARP數(shù)據(jù)包。如圖10所示，有一個ARP請求響應數(shù)據(jù)包發(fā)到主機A上，告訴主機A，IP地址為192.168.1.105的主機的MAC地址為24-0a-64-cd-f2-2f。

（3）主機B攻擊成功：如圖11所示，用命令arp-a顯示主機A的ARP表，主機B的MAC地址與主機C的IP地址存在映射。

（4）驗證攻擊者主機B偽裝成用戶端主機C，如圖12所示，在主機A上訪問主機C（ping主機C的IP地址）。如圖13所示，在主機A上使用抓包工具，抓取ICMP數(shù)據(jù)包，發(fā)現(xiàn)目的IP為主機B的IP地址，說明此時主機A是與主機B通訊。

7.3? ?網(wǎng)管中心端防范結(jié)果

（1）在網(wǎng)管中心端交換機上劃分兩個VLAN，端口0/1與端口0/2劃分為VLAN 1，端口0/5劃分為VLAN 2，如圖14所示，因為VLAN 1是所有端口默認的VLAN模式，所以只需要用命令switchport access vlan 2把端口0/5劃分為VLAN 2。

（2）在網(wǎng)管中心端交換機上給VLAN 1和VLAN 2分配IP地址和網(wǎng)段，如圖15所示，VLAN 1的IP地址為172.16.1.1，所在網(wǎng)段為172.16.1.0;VLAN 2的IP地址為172.16.2.1，所在網(wǎng)段為172.16.2.0。

（3）驗證主機B對主機C的ARP攻擊失效：在主機C上使用抓包工具，抓取ICMP數(shù)據(jù)包，并且在主機C上訪問主機A（ping主機A的IP地址）。如圖16所示，發(fā)現(xiàn)目的IP為主機A的IP地址，說明此時主機A是與主機C通訊。

7.4? ?用戶端防范結(jié)果

7.4.1? ?實時刪除ARP緩存內(nèi)容的防范結(jié)果

（1）刪除緩存在ARP表的動態(tài)表項：在主機A上使用命令 netsh i i show in查找連接網(wǎng)絡(luò)的端口;使用命令netsh-c“i i”

（2）驗證主機B對主機A的ARP攻擊失效：在主機A上使用抓包工具，抓取ICMP數(shù)據(jù)包，并且在主機A上訪問主機C（ping主機C的IP地址）。如圖18所示，發(fā)現(xiàn)目的IP為主機C的IP地址，說明此時主機A是與主機C通訊。

（1）在主機A上啟用360局域網(wǎng)防火墻，如圖19所示。

（2）驗證主機B對主機A的ARP攻擊失效：在主機A上使用抓包工具，抓取ICMP數(shù)據(jù)包，并且在主機A上訪問主機C（ping主機C的IP地址）。如圖20所示，發(fā)現(xiàn)目的IP為主機C的IP地址，說明此時主機A是與主機C通訊。

7.4.3? ?添加靜態(tài)ARP記錄防范結(jié)果

（1）在主機A上使用命令netsh-c i i add neighbors 11 192.168.1.105 80-a5-89-51-49-61添加靜態(tài)ARP記錄（主機C的IP地址與主機C的MAC地址進行綁定）。如圖21所示，添加靜態(tài)ARP記錄，IP地址為192.168.1.105與MAC地址為80-a5-89-51-49-61。

（2）在主機C上使用命令netsh-c i i add neighbors 11 192.168.1.105 80-a5-89-51-49-61添加靜態(tài)ARP記錄（IP地址為192.168.1.105與物理地址為80-a5-89-51-49-61進行綁定），如圖22所示。

（3）驗證主機B對主機A的ARP攻擊失效：在主機A上使用抓包工具，抓取ICMP數(shù)據(jù)包，并且在主機A上訪問主機C（ping主機C的IP地址）。如圖23所示，發(fā)現(xiàn)目的IP為主機C的IP地址，說明此時主機A是與主機C通訊。

（4）驗證主機B對主機C的ARP攻擊失效：在主機C上使用抓包工具，抓取ICMP數(shù)據(jù)包，并且在主機C上訪問主機A（ping主機A的IP地址）。如圖24所示，發(fā)現(xiàn)目的IP為主機A的IP地址，說明此時主機A是與主機C通訊。

8? ?結(jié)論（Conclusion）

當前，計算機網(wǎng)絡(luò)已成為人們?nèi)粘９ぷ魃畹闹匾A(chǔ)。由于ARP協(xié)議并不會對報文信息的真實性進行校驗，使得ARP協(xié)議存在嚴重的安全問題。本論文基于網(wǎng)管中心端、用戶端的綜合防范策略，針對存在的安全問題給出簡單可行的防御方法，達到在一定范圍內(nèi)解決局域網(wǎng)內(nèi)ARP攻擊的目的。但是仍然存在許多的不足，例如本文中提供的防御方法實施過程較為煩瑣，對用戶的要求較高;其次本文中提供的防御方法很難防范復雜的ARP攻擊。在以后的學習生活中，我將繼續(xù)探索ARP攻擊的原理及防范對策，讓自己掌握更多關(guān)于ARP攻擊防范的技能。

參考文獻（References）

[1] 溫卓然.ARP防御系統(tǒng)的設(shè)計和實現(xiàn)[D].北京郵電大學，2009，35.

[2] 曹洪武.ARP欺騙入侵的檢測與防范策略[J].塔里木大學學報，2007（02）：88-91.

[3] 徐功文，陳曙，時研會.ARP協(xié)議攻擊原理及其防范措施[J].信息技術(shù)與信息化，2005（01）：4-6.

[4] 孟曉明.基于ARP的網(wǎng)絡(luò)欺騙的檢測與防范[J].信息技術(shù)，2005（05）：41-44;75.

[5] Curriculum vitae Alissa Jan Arp[J].Romberg Tiburon Center for Environmental Studies San Francisco State University，2005（4）：40-42.

[6] 王小玲，周剛.一種擴展的ARP協(xié)議設(shè)計[J].四川理工學院學報（自然科學版），2011（02）：178-181.

[7] 吳小平，周建中，方曉惠.基于SNMP的ARP欺騙主動防御機制[J].華中師范大學學報（自然科學版），2007（04）：512-514.

[8] 何顯文.基于ARP協(xié)議的網(wǎng)絡(luò)欺騙與防范[J].通化師范學院學報，2011（06）：22-24.

[9] 潘曉君.基于緩存超時的ARP欺騙攻擊協(xié)議的研究[J].計算機技術(shù)與發(fā)展，2009（10）：167-169.

[10] 姚小兵.ARP協(xié)議簡析及ARP病毒攻擊的防御[J].信息網(wǎng)絡(luò)安全，2009（09）：49-50;55.

[11] 沈濤.基于入侵檢測的網(wǎng)絡(luò)安全研究[D].重慶大學，2012：240-228.

[12] 樊景博，劉愛軍.ARP病毒的原理及防御方法[J].商洛學院學報，2007（02）：37-41.