【摘要】由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C!這就是一個簡單的ARP欺騙。本文將對近期校園局域網(wǎng)種頻繁發(fā)生的ARP欺騙基本原理進行介紹，并且通過網(wǎng)關(guān) 等實際生活中的例子加以解釋，同時介紹幾種常見的ARP欺騙和攻擊方式，并且從客戶端、 網(wǎng)關(guān)等多個方面提出關(guān)于如何防御ARP攻擊的多種方法，以達到全面防御維護局域網(wǎng)絡(luò)安全的目的。文章發(fā)表在《計算機工程與科學(xué)》上，是信息系統(tǒng)監(jiān)理師論文發(fā)表范文，供同行參考。

　　關(guān)鍵詞：地址解析協(xié)議，介質(zhì)訪問控制，網(wǎng)絡(luò)安全

　　1. 引言

　　ARP(Address Resolution Protocol)是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層(也就是相當于OSI的第三層)地址解析為數(shù)據(jù)鏈路層(也就是相當于OSI的第二層)的物理地址(注:此處物理地址并不一定指MAC地址)。

　　ARP欺騙是一種利用計算機病毒是計算機網(wǎng)絡(luò)無法正常運行的計算機攻擊手段。 近期，一種叫“ARP 欺騙”的木馬病毒在校園網(wǎng)中擴散，嚴重影響了校園網(wǎng)的正常運行。

　　感染此木馬的計算機試圖通過“ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并 因此造成網(wǎng)內(nèi)其它計算機的通信故障。ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時會突 然掉線，過一段時間后又會恢復(fù)正常。比如出現(xiàn)用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯等現(xiàn)象。 如果校園網(wǎng)需要通過身份認證的，會突然出現(xiàn)認證信息(無法ping通網(wǎng)關(guān))。重啟機器或在

　　MS-DOS窗口下運行命令arp -d后，又可恢復(fù)上網(wǎng)。這種木馬危害也很大。各大學(xué)校園網(wǎng)、 公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情。ARP欺騙木馬只需成功感染一臺電腦，就 可能導(dǎo)致整個局域網(wǎng)無法上網(wǎng)，嚴重的可能帶來整個網(wǎng)絡(luò)的癱瘓。此外，此木馬還會竊取用 戶密碼，如盜取QQ密碼、網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法 交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟損失。

　　某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則A廣播一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa)，請求IP地址為Ib的主機B回答物理地址Pb。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應(yīng)報文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)(由網(wǎng)卡附加MAC地址)。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。

　　2. ARP與MAC

　　ARP(Address Resolution Protocol)[1]是地址解析協(xié)議的簡稱，是一種將 IP 地址轉(zhuǎn)化為 物理地址的協(xié)議。在 OSI 網(wǎng)絡(luò)參考模型的第二層(數(shù)據(jù)鏈路層)中，存在著兩個子層：介 質(zhì)訪問控制(MAC)和邏輯鏈路控制(LLC)。由 MAC 子層提供的最廣為認知的服務(wù)或許 就是它的地址了，就像以太網(wǎng)的地址一樣。在以太網(wǎng)中，數(shù)據(jù)傳輸?shù)哪康牡刂泛驮吹刂返恼?式名稱是 MAC 地址。此地址大多數(shù)情況下是獨一無二的固化到硬件設(shè)備上的，而 IP 地址 所要轉(zhuǎn)化的物理地址就是 MAC 地址。[2]

　　在網(wǎng)絡(luò)數(shù)據(jù)傳輸中實際傳輸?shù)氖?ldquo;幀”(Frame)，它以比特流的方式通過傳輸介質(zhì)傳輸出 去，其中幀里面就包含有所要傳送的主機的 MAC 地址。在以太網(wǎng)中一臺主機要同另一臺主 機進行通信就必須要知道對方的 MAC 地址(就如同我們要給對方郵信一定要知道對方的地 址一樣)。但是我們?nèi)绾沃肋@個 MAC 地址呢?這時就用到了地址解析協(xié)議，所謂“地址 解析”就是主機在發(fā)送幀前將目標 IP 地址轉(zhuǎn)換成目標 MAC 地址的過程。ARP 協(xié)議的基本功 能就是通過目標設(shè)備的 IP 地址，查詢目標設(shè)備的 MAC 地址，以保證通信的順利進行。

　　3. ARP 欺騙和攻擊方式

　　3.1 簡單的欺騙攻擊

　　這種欺騙方式是指：欺騙主機通過發(fā)送偽造的 ARP 包來欺騙網(wǎng)關(guān)和目標主機，讓目標 主機認為這是一個合法的主機。其中包括兩種情況：

　　① 局域網(wǎng)主機冒充網(wǎng)關(guān)進行欺騙

　　欺騙過程如圖 1 所示：當 PC_A 要與網(wǎng)關(guān) GW_C 通訊時，首先要知道 GW_C 的 MAC 地址，如果局域網(wǎng)中另有一臺主機 PC_B 冒充 GW_C 告訴 PC_A：GW_C 的 MAC 地址是 MAC B，那么 PC_A 就受騙了;或者直接告訴 PC_A：GW_C 的 MAC 地址是 PC_X，那么

　　ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應(yīng)答，而如果這個應(yīng)答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應(yīng)答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。

　　就會如同我們郵寄信件時寫錯了地址，信件或者是發(fā)錯了地方，或者是根本就發(fā)送不出去。

　　這樣一來就會造成斷線。

　　網(wǎng)絡(luò)中通訊有一個前提條件，也就是必須滿足通訊雙方都能向?qū)Ψ絺魉蛿?shù)據(jù)才會確保正

　　常通訊，即：確保 PC_A? GW_C 和 GW_C? PC_A 的通訊都沒有問題時，才能確保通訊 正常。假如 PC_B 冒充 PC_A，告訴 GW_C，PC_A 的 MAC 是 MAC B，那么就會出現(xiàn)：當 PC_A? GW_C 時沒有問題，可是當 GW_C? PC_A 時就回出錯，造成網(wǎng)絡(luò)斷線的現(xiàn)象。

　　3.2 基于 ARP 的“中間人攻擊”

　　MITM (Man-In-The-Middle)稱為“中間人攻擊”，是一種“間接”的入侵攻擊方式。這種攻 擊是利用一定手段在兩臺或多臺主機之間人為的加入一臺透明主機，(這對其他用戶是透明 的)這臺主機就稱為“中間人”。“中間人”能夠與原始主機建立連接、截獲并篡改它們的通信 數(shù)據(jù)。由于“中間人”對于原通信雙方是透明的，使得“中間人”很難被發(fā)現(xiàn)，也就使得這種攻 擊更加具有隱蔽性。而其中“中間人”常用的一種手段就是通過 ARP 欺騙的方式來實現(xiàn)的。

　　ARP欺騙：在局域網(wǎng)中，黑客經(jīng)過收到ARP Request廣播包，能夠偷聽到其它節(jié)點的 (IP, MAC) 地址, 黑客就偽裝為A，告訴B (受害者) 一個假地址，使得B在發(fā)送給A 的數(shù)據(jù)包都被黑客截取，而A, B 渾然不知。

　　信息系統(tǒng)監(jiān)理師論文發(fā)表須知：《計算機工程與科學(xué)》是由國防科技大學(xué)計算機學(xué)院主辦、國防科技大學(xué)主管的中國計算機學(xué)會會刊，是國內(nèi)外公開發(fā)行的計算機類綜合性學(xué)術(shù)刊物，刊登文章涉及計算機科學(xué)理論、計算機組織與系統(tǒng)結(jié)構(gòu)、計算機軟件、計算機應(yīng)用、計算機器件設(shè)備與工藝等學(xué)科領(lǐng)域。