防范ARP病毒攻击的策略
virus attacks, ARP strategy. Key words: prevention, ARP, spoofing attacks, strategies 近年来一种“ARP欺骗” (Address Resolution Protocol 地址解析协议)病毒袭击了很
多单位的局域网, 导致了网内计算机用户不能正常访问互联网。 本校校园网也多次受到 ARP
病毒的攻击。就此,谈谈防范 ARP 病毒的措施。
1 ARP 的工作原理
ARP 协议是 Address Reso Lution Protocol 地址解析协议的缩写, 是用来解释地址的协
议。具体来说,就是将网络层 IP 地址解析为数据链路层地址。TCP/IP 协议中规定,每一台
接入局域网的主机都要配置一个 32 位的 IP 地址,而局域网内主机之间的通信是靠一个 48
位的 MAC 地址来确定目标,以太网设备并不识别 IP 地址,因此 IP 驱动器必须把 IP 地址
转换成以太网 MAC地址。在这两种地址之间存在着某种静态或动态算法的映射,ARP 协议
就是用来确定这些映射的协议。
在每台安装有 TCP/IP 协议的主机里都有一个 ARP 缓存表,表里的 IP 地址与 MAC 地
址是一一对应的。我们以毕业论文http://www.youerw.com 主机 A 向主机 B 发送数据为例,当发送数据时,主机 A 会在自己
的 ARP 缓存表中查询是否有目标 IP 地址,如果查询到目标 IP 地址,也就知道目标 MAC
地址,直接把目标 MAC 地址写入帧里面发送;如果没查询到目标 IP 地址,主机 A 就会在
网络上发送一个广播“主机 B 的 MAC 地址是什么” ,网络上其他主机并不响应 ARP 询问,
只有主机 B 接收到这个帧时,才向主机 A 做出这样的回应“我是主机 B,MAC 地
间人”攻击。 “中间人”攻击又称为 ARP 双向欺骗,网络中某台 PC上网
突然掉线,一会又恢复,但是恢复后一直上网很慢,查看该 PC 机的 ARP 表,网关 MAC
地址已被修改,而且网关上该 PC 机的 MAC 地址也是伪造的,该 PC 机和网关之间的所有
流量都转到另外一台机子上。
第四类是泛洪攻击。泛洪攻击导致网络经常中断,或者网速很慢,查看 ARP表项也都
正确,但是在网络中抓包分析,发现大量的 ARP 报文发往交换机、路由器或某台 PC 机,
导致 CPU忙于处理 ARP 协议,负担过重,造成设备没有资源转发正常的数据流量。
3 防范 ARP 欺骗攻击的策略
可以通过网络升级改造防范 ARP 欺骗攻击。针对 ARP 欺骗攻击,一些网络设备或软
件开发商已研发生产了相关软硬件,可以通过引进这类软硬件设备和网络升级改造, 以防范
ARP 欺骗攻击,但这需要一定的经费投入,在此经费没有到位的情况下,我们还可以采取
以下一些方法。
3.1 预防措施
防范 ARP 欺骗攻击最主要是做好预防,具体可以采用以下措施:
1)及时更新计算机的病毒库以及升级操作系统。对于在办公室上网的用户,建议启
动操作系统和杀毒软件的自动更新。