【摘要】由于局域網的網絡流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網絡不通，導致A不能Ping通C!這就是一個簡單的ARP欺騙。本文將對近期校園局域網種頻繁發生的ARP欺騙基本原理進行介紹，并且通過網關 等實際生活中的例子加以解釋，同時介紹幾種常見的ARP欺騙和攻擊方式，并且從客戶端、 網關等多個方面提出關于如何防御ARP攻擊的多種方法，以達到全面防御維護局域網絡安全的目的。文章發表在《計算機工程與科學》上，是信息系統監理師論文發表范文，供同行參考。

　　關鍵詞：地址解析協議，介質訪問控制，網絡安全

　　1. 引言

　　ARP(Address Resolution Protocol)是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層(也就是相當于OSI的第三層)地址解析為數據鏈路層(也就是相當于OSI的第二層)的物理地址(注:此處物理地址并不一定指MAC地址)。

　　ARP欺騙是一種利用計算機病毒是計算機網絡無法正常運行的計算機攻擊手段。 近期，一種叫“ARP 欺騙”的木馬病毒在校園網中擴散，嚴重影響了校園網的正常運行。

　　感染此木馬的計算機試圖通過“ARP 欺騙”手段截獲所在網絡內其它計算機的通信信息，并 因此造成網內其它計算機的通信故障。ARP欺騙木馬的中毒現象表現為：使用校園網時會突 然掉線，過一段時間后又會恢復正常。比如出現用戶頻繁斷網，IE瀏覽器頻繁出錯等現象。 如果校園網需要通過身份認證的，會突然出現認證信息(無法ping通網關)。重啟機器或在

　　MS-DOS窗口下運行命令arp -d后，又可恢復上網。這種木馬危害也很大。各大學校園網、 公司網和網吧等局域網都出現了不同程度的災情。ARP欺騙木馬只需成功感染一臺電腦，就 可能導致整個局域網無法上網，嚴重的可能帶來整個網絡的癱瘓。此外，此木馬還會竊取用 戶密碼，如盜取QQ密碼、網絡游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法 交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

　　某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則A廣播一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa)，請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。

　　2. ARP與MAC

　　ARP(Address Resolution Protocol)[1]是地址解析協議的簡稱，是一種將 IP 地址轉化為 物理地址的協議。在 OSI 網絡參考模型的第二層(數據鏈路層)中，存在著兩個子層：介 質訪問控制(MAC)和邏輯鏈路控制(LLC)。由 MAC 子層提供的最廣為認知的服務或許 就是它的地址了，就像以太網的地址一樣。在以太網中，數據傳輸的目的地址和源地址的正 式名稱是 MAC 地址。此地址大多數情況下是獨一無二的固化到硬件設備上的，而 IP 地址 所要轉化的物理地址就是 MAC 地址。[2]

　　在網絡數據傳輸中實際傳輸的是“幀”(Frame)，它以比特流的方式通過傳輸介質傳輸出 去，其中幀里面就包含有所要傳送的主機的 MAC 地址。在以太網中一臺主機要同另一臺主 機進行通信就必須要知道對方的 MAC 地址(就如同我們要給對方郵信一定要知道對方的地 址一樣)。但是我們如何知道這個 MAC 地址呢?這時就用到了地址解析協議，所謂“地址 解析”就是主機在發送幀前將目標 IP 地址轉換成目標 MAC 地址的過程。ARP 協議的基本功 能就是通過目標設備的 IP 地址，查詢目標設備的 MAC 地址，以保證通信的順利進行。

　　3. ARP 欺騙和攻擊方式

　　3.1 簡單的欺騙攻擊

　　這種欺騙方式是指：欺騙主機通過發送偽造的 ARP 包來欺騙網關和目標主機，讓目標 主機認為這是一個合法的主機。其中包括兩種情況：

　　① 局域網主機冒充網關進行欺騙

　　欺騙過程如圖 1 所示：當 PC_A 要與網關 GW_C 通訊時，首先要知道 GW_C 的 MAC 地址，如果局域網中另有一臺主機 PC_B 冒充 GW_C 告訴 PC_A：GW_C 的 MAC 地址是 MAC B，那么 PC_A 就受騙了;或者直接告訴 PC_A：GW_C 的 MAC 地址是 PC_X，那么

　　ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網中的某臺機器B向A發送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。

　　就會如同我們郵寄信件時寫錯了地址，信件或者是發錯了地方，或者是根本就發送不出去。

　　這樣一來就會造成斷線。

　　網絡中通訊有一個前提條件，也就是必須滿足通訊雙方都能向對方傳送數據才會確保正

　　常通訊，即：確保 PC_A? GW_C 和 GW_C? PC_A 的通訊都沒有問題時，才能確保通訊 正常。假如 PC_B 冒充 PC_A，告訴 GW_C，PC_A 的 MAC 是 MAC B，那么就會出現：當 PC_A? GW_C 時沒有問題，可是當 GW_C? PC_A 時就回出錯，造成網絡斷線的現象。

　　3.2 基于 ARP 的“中間人攻擊”

　　MITM (Man-In-The-Middle)稱為“中間人攻擊”，是一種“間接”的入侵攻擊方式。這種攻 擊是利用一定手段在兩臺或多臺主機之間人為的加入一臺透明主機，(這對其他用戶是透明 的)這臺主機就稱為“中間人”。“中間人”能夠與原始主機建立連接、截獲并篡改它們的通信 數據。由于“中間人”對于原通信雙方是透明的，使得“中間人”很難被發現，也就使得這種攻 擊更加具有隱蔽性。而其中“中間人”常用的一種手段就是通過 ARP 欺騙的方式來實現的。

　　ARP欺騙：在局域網中，黑客經過收到ARP Request廣播包，能夠偷聽到其它節點的 (IP, MAC) 地址, 黑客就偽裝為A，告訴B (受害者) 一個假地址，使得B在發送給A 的數據包都被黑客截取，而A, B 渾然不知。

　　信息系統監理師論文發表須知：《計算機工程與科學》是由國防科技大學計算機學院主辦、國防科技大學主管的中國計算機學會會刊，是國內外公開發行的計算機類綜合性學術刊物，刊登文章涉及計算機科學理論、計算機組織與系統結構、計算機軟件、計算機應用、計算機器件設備與工藝等學科領域。