校园网ARP攻击与防御技术

　　0.引言

　　ARP 病毒是具有 ARP 攻击行为的多种病毒程序的总称。 基于局域网的 ARP 攻击，使得网络出现频繁断线，网速变得很慢，甚至局域网瘫痪， 严重影响了用户正常的上网;ARP 攻击可进一步实施 “中间人”攻击，非法窃取用户的帐号和口令。 ARP 攻击行为带有欺骗的性质，也称为 ARP 欺骗攻击。 如何采取有效的技术措施防御 ARP 攻击，一直是网络安全管理的重要工作。 本文结合网络管理工作，分析校园网 ARP 攻击与防御技术。

　　1.相关概念

　　1.1 ARP 协议

　　ARP(Address Resolution Protocol)是 TCP/IP 协议簇中的地址解析协议,工作在互联网层，在本层和硬件接口联系，同时对上层提供服务。ARP 协议主要负责将以太网中目标主机的 32 位 IP 地址解析为其对应的 48 位物理地址，即网络接口的 MAC 地址。

　　1.2 ARP 工作原理

　　局域网中，每台主机安装了 TCP/IP 协议后都会有一个 ARP 缓存表，一一对应地记录着不同网络接口的 IP 地址和 MAC 地址的地址映射条目。 当主机 A(192.168.0.1)向主机 B(192.168.0.2)发送初始数据包时， 主机 A 会在自己的 ARP 缓存表中查找， 是否有与目标主机 IP地址相匹配的条目。如果有，就直接把对应的目标 MAC 地址写入数据帧并发送数据帧;反之，主机 A 就会在网络上广播一个 ARP 请求帧，目标 MAC 地址是“ff:ff:ff:ff:ff:ff”，询问“谁是 192.168.0.2?告诉我”。网络上的所有主机都会接收此广播帧并处理 ARP 请求，经过比较 ARP 请求帧中的目标 IP 地址与本地网络接口 IP 地址，只有主机 B 响应 ARP请求，而其他所有主机都会悄悄地丢弃该 ARP 请求帧。 主机 B 向主机A 发送一个 ARP 回复 “192.168.0.2 的 MAC 地址是 00-1b-b9-50-e9-36”。 这样，主机 A 就知道了主机 B 的 MAC 地址 ，经过协商向主机 B发送数据包。主机 A 和 B 会同时更新自己的 ARP 缓存表，下次再向对方发送信息时，就直接查找 ARP 缓存表。基于 Windows 计算机上的 ARP 缓存表， 在命令提示符下键入arp -a 查看。ARP 缓存条目可以是动态的(基于 ARP 应答)，也可以是静态的。静态 ARP 缓存条目是永久性的，可以手工添加、更新。ARP 缓存表采用了老化机制，在一段时间内，如果表中的某条目没有使用，就会被删除，可以减少 ARP 缓存表的长度，加快查询速度。

　　1.3 二层交换 MAC-PORT 对应表及三层交换 ARP 表在交换式以太网中，二层交换机的转发桥接表记录着学习到的网络设备 MAC 地址和接入端口的对应关系，三层交换机的 ARP 表记录着不同 VLAN 的主机的 IP 地址和 MAC 地址的对应关系。

　　2. ARP攻击的原理

　　不被信任的节点通过伪造数据帧中 IP 地址和 MAC 地址，发布虚假的 ARP 报文，实现 ARP 欺骗，能够在网络中产生大量的 ARP 通信量使网络阻塞。 攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目，造成网络中断。 以太网上ARP 帧格式如图：