基于计算机网络安全防arp攻击的研究

　　摘 要：本文介绍了ARP原理，ARP欺骗过程，ARP的常见几种攻击分类，通过终端用户防护和DHCP监控的方法，对ARP攻击的防范策略。

　　关键词：ARP原理；ARP欺骗过程；ARP攻击

　　1 ARP原理

　　ARP（AddressResolutionProtocol）是地址解析协议，简单来说是将osi参考模型中的第三层网络层的ip地址和第二层数据链路层的MAC地址的一种对应。ARP提供了一种基于此的动态映射。在数据通信的过程当中，搜索到目标计算机的MAC地址，封装成帧。实现了计算机在一个局域网中的互相通信。为了更快捷的找到ip地址和MAC地址的映射，在用户和路由器以及服务器上都有相应的ARP缓存表。在缓存表中存放了最新学习到的地址映射记录。ARP机制会自动删除规定时间之外记录，因此确保了ARP缓存表准确性，缩短了ARP缓存表的长度，加快了查询的速度。

　　1.1 ARP欺骗过程

　　用一个例子，说明arp的欺骗过程，我们假设在一个局域网中用3台计算机连接到一台交换机下面，其中一个取名为A，是arp的攻击者；一个取名为B，是发送数据的主机；另一个取名为C，是接收数据的主机。三台电脑的ip分别为192.168.1.10；192.168.1.20；192.168.1.30。MAC地址分别为MAC-A，MAC-B，MAC-C。现在，B要向C发送数据了，B首先查询自己的ARP缓存表，查看是否有192.168.0.4对应的MAC地址，若有，直接将MAC地址封装。若B不知道C的MAC地址。B发送广播包，告诉全网我的ip地址和MAC地址，谁的ip地址为192.168.1.30。这时全网的电脑都收到了B发送的广播包，只有C回应，告诉B电脑，我就是你要找的ip，我的MAC地址是MAC-C。C单独给B的回应。那么B知道C的MAC地址，可以向C发送数据了。它会动态更新自己的ARP缓存表。同时C也会更新自己的ARP缓存表。如果在B发送广播包的时候，A也给B电脑一个回应，告诉B我的ip地址为192.168.1.30，我的MAC地址为MAC-A。A假称自己的ip地址为C的ip地址。A不停的应答，造成了B重新更新了自己的ARP缓存表。写入错误记录。也就是ARP缓存表中毒。致使了凡是发送给C的数据都被A主机劫持。这就是所谓的ARP欺骗。

　　2 ARP攻击分类

　　⑴伪装网关。ARP攻击者发送错误网关IP地址和MAC地址对应给被攻击者。造成终端用户学习到错误的网关地址。用户不能访问网关，流量被攻击者截取，最终造成用户不能访问外网。⑵欺骗网关。ARP攻击者发送虚假ARP报文给网关，造成网关更新了非法用户的MAC地址和ip地址对应。网关要传送的全部数据都发送到ARP攻击方。最终造成用户无法正常访问外网。⑶欺骗用户。ARP攻击者伪造虚假的ARP报文发送给用户或者服务器，如果是用户，造成用户更新了错误的MAC和IP地址对应，导致用户之间无法正常访问。如果是服务器，造成了用户在访问服务器时，流量都转到了ARP攻击方。导致无法访问服务器。⑷泛洪攻击。ARP攻击者发送海量的伪造ARP报文在局域网中广播，从而ARP表被耗尽。用户再也无法学习新的ARP报文。这是将资源占满耗尽的泛洪攻击手段，导致合法用户无法访问外网。

　　3 ARP攻击常见应对方法

　　对ARP攻击原理的分析，我们发现ARP攻击防范的方法：如何获取合法用户和网关的IP地址和MAC地址的对应关系，利用这个合法的对应关系，对ARP报文进行检查，并且过滤掉不合法的ARP报文。

　　3.1 认证方式

　　3.1.1 总体思路

　　通过使用用户认证机制来获取在线用户的IP地址和MAC地址对应关系，并且使用认证的方法确认谁是合法的用户。通过这样的机制解决难以获取的合法用户IP地址和MAC地址对应关系。同时我们事先在认证服务器上配置网关的合法IP地址和MAC地址对应关系。由此，可对局域网中进行着的虚假ARP报文过滤掉。能够防范ARP的攻击行为。

　　3.1.2 终端用户防护

　　用户的802.1X认证过程中，使用CAMS服务器（认证服务器）将IP地址和MAC地址映射到iNode客户端，客户端在用户终端匹配出网关的正确IP地址和MAC地址映射关系，并且在用户终端形成了静态的ARP绑定，这样能够有效防范伪装网关的ARP攻击。

　　3.2 使用DHCP监控