網(wǎng)絡(luò)安全中的ＡＲＰ協(xié)議和欺騙技術(shù)及其對策

一、什么是“ARP協(xié)議” ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。 二、“ARP協(xié)議”的工作原理 在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？首先，每臺主機(jī)都會在自己的ARP緩沖區(qū)（ARPCache）中建立一個(gè)ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)A主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到B主機(jī)時(shí)，會首先檢查自己ARP列表中是否存在該IP地址所對應(yīng)的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，就向本地網(wǎng)段內(nèi)所有用戶發(fā)出一個(gè)ARP請求的廣播包，查詢B主機(jī)的MAC地址。網(wǎng)段中所有用戶在收到這個(gè)ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果相同，則給A主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；A主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的B主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果不相同就忽略此數(shù)據(jù)包。 由于ARP協(xié)議自身的限制，源主機(jī)只要收到目標(biāo)MAC地址是自己所要連接的地址就會接受并緩存，并不會檢查收到的響應(yīng)包是否合法。這就為ARP欺騙提供了可能，感染了ARP木馬病毒的用戶就會以欺騙的手法冒充合法的響應(yīng)包進(jìn)行網(wǎng)絡(luò)通信，造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。 三、“ARP欺騙”木馬病毒的解決策略 （一）使用靜態(tài)綁定網(wǎng)關(guān)的方式 當(dāng)網(wǎng)絡(luò)環(huán)境是安全的時(shí)候，在窗口模式下輸入“ARP-a”命令來查看， Interface:192.168.10.17---0x10003 InternetAddressPhysicalAddressType 192.168.10.100-0c-db-43-ce-00dynamic 192.168.10.19600-e0-4c-5c-7b-acdynamic 其中192.168.10.17是本機(jī)的IP地址，網(wǎng)關(guān)192.168.10.1的MAC地址是0-0c-db-43-ce-00，類型是動(dòng)態(tài)的。 輸入“ARP-ｓ192.168.10.100-0c-db-43-ce-00”對網(wǎng)關(guān)進(jìn)行綁定，“ARP-a”后顯示 Interface:192.168.10.17---0x10003 InternetAddressPhysicalAddressType 192.168.10.100-0c-db-43-ce-00static 192.168.10.19600-e0-4c-5c-7b-acdynamic 此時(shí)網(wǎng)關(guān)的類型就成了靜態(tài)的了。 我們還可以編寫一個(gè)含有上面命令語句的批處理文件放在系統(tǒng)的啟動(dòng)選項(xiàng)中，以保證計(jì)算機(jī)在每次啟動(dòng)時(shí)都能綁定網(wǎng)關(guān)，防止“ARP欺騙”木馬病毒。 （二）使用使用ARP防護(hù)軟件 現(xiàn)在有很多的ARP病毒防護(hù)軟件，這里我們以奇虎360防火墻為例。安裝ARP防火墻后，它可以在系統(tǒng)內(nèi)核層攔截外部ARP攻擊數(shù)據(jù)包，保障系統(tǒng)不受ARP欺騙、ARP攻擊影響，保持網(wǎng)絡(luò)暢通及通訊安全。由于采用內(nèi)核攔截技術(shù)，本機(jī)運(yùn)行速度不受任何影響，發(fā)現(xiàn)攻擊行為后，自動(dòng)定位到攻擊者IP地址和攻擊機(jī)器名，還能夠防止惡意攻擊程序篡改本機(jī)ARP緩存。 （三）加強(qiáng)日常使用中的預(yù)防 由于ＡＲＰ病毒的不斷更新，在日常的使用過程中還是要以防為主，電腦用戶應(yīng)該及時(shí)的更新操作系統(tǒng)補(bǔ)丁，安裝和更新殺毒軟件，盡量使用靜態(tài)ＩＰ設(shè)置等方法，對一些不安全的鏈接不要輕易的點(diǎn)擊，不要輕易地打開陌生的郵件，下載文件時(shí)一定要經(jīng)過殺毒軟件的掃描確定是安全的時(shí)候再打開。保護(hù)好自己的帳戶和密碼，防止ARP欺騙”木馬病毒的感染，造成經(jīng)濟(jì)損失。 （四）使用物理設(shè)備進(jìn)行防治 在經(jīng)濟(jì)條件允許的情況下，還可以采用能夠大量綁定ARP和進(jìn)行ARP攻擊防御的交換機(jī)，它能杜絕任何非法ARP包在主交換機(jī)進(jìn)行傳播，這樣ARP攻擊只能影響到同一個(gè)分支交換機(jī)上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當(dāng)攻擊發(fā)生時(shí)，不可能造成整個(gè)網(wǎng)絡(luò)的問題。另外也可以在路由器上進(jìn)行設(shè)置，來防止路由器的ARP表被惡意的ARP數(shù)據(jù)包更改，造成網(wǎng)絡(luò)的徹底癱瘓。 四、結(jié)束語 隨著網(wǎng)絡(luò)在社會各方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，網(wǎng)絡(luò)安全也成為當(dāng)前一個(gè)十分嚴(yán)峻的問題。我們在享受網(wǎng)絡(luò)所帶給我們的方便與快捷的同時(shí)必須高度重視ARP病毒的預(yù)防與治理，最大程度的減少受到的危害，提高工作效率。