校园网中的ARP欺骗攻击及其防护-最新年文档

admin管理员组

文章数量:1532493

2024年5月20日发(作者：)

校园网中的ARP欺骗攻击及其防护

一、随着互联网、局域网的日益普及，校园网的建设对一个

学校的教学资源分享，信息化建设也越来越重要。随着校园网的

应用功能日益发展，其在教学、管理工作中的作用越来越重要，

同时，校园网的安全问题也越来越受到人们的重视。现在较为流

行的木马病毒主要通过恶意网站、ARP欺骗、个人操作系统的自

动运行功能等方法在互联网、局域网和移动设备上传播。在校园

网中，威胁性较大的是ARP病毒。当校园网内的某台主机感染

ARP病毒后，就会启动ARP欺骗程序，导致局域网网络连接时断

时续，众多网内主机感染此木马，最终使网络瘫痪。本文在充分

分析该类病毒的运行机制的基础上，提出了有效的防护此类病毒

攻击的方法。1、ARP协议及其工作原理ARP(Address

Resolution

Protocol，地址解析协议)是一个位于TCP/IP协议栈中的低

层协议，负责将某个IP地址解析成对应的MAC地址。在TCP/IP

网络环境下，每个主机都分配了一个32位的IP地址，这种互联

网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物

理网路上传送，还必须知道对方目_的主机的物理地址，即MAC

地址。这样就存在把IP地址变换成MAC地址的地址转换问题。

以以太网环境为例，为了正确地向目的主机传送报文，必须把目

的主机的32位IP地址转换成为48位以太网地址。这就需要在

互连层有一组服务将IP地址转换为相应MAC地址，这组协议就

是ARP协议。例如，某主机A要向主机B发送报文，就会查询主

机A本地的ARP缓存表，找到B的IP地址对应的MAC地址后，

进行数据传输。如果未找到，则A广播一个ARP请求报文(携带

主机A的IP地址Ia，及其物理地址Pa)，请求IP地址为Ib的

主机B回答其MAc地址Pb。网上所有主机(包括B)都收到ARP请

求，但只有主机B识别出自己的IP地址Ib，于是B向A主机发

回一个ARP响应报文。其中就包含有B的MAC地址Pb，A接收到

B的应答后，就会更新本地的ARP缓存。

然后A就会用这个MAC地址向B传送数据。所以，本地网络

数据传递的基础就是本地缓存的这个AXP表，而且这个缓存是动

态的。

二、ARP欺骗做为黑客惯用攻击手段，分为两种：一种是对

路由器ARP表进行欺骗：一种是对内肉PC的网关进行欺骗。而

第二种欺骗手段

是该类木马病毒常用的伎俩，其原理是――伪造网关，此时，

发起攻击的主机会建立假网关，数据已经是被它欺骗的PC发送

的了，并不是通过路由器正常途径上网。

例如，当局域网中某用户C已经被感染木马，再向A发送假

的ARP应答时，IP地址已经是C冒充B伪造的了，而MAC地址

却是C伪造的了。

一旦C假造的ARP应答传送到A时，本地的ARP缓存就会得

到更新，然而从A的角度看来B的IP地址并没有发生改变，而

它的MAC地址早已经变了。由于IP地址并不控制局域网的网络

数据，而是根据MAC地址进行传送，因此，A向B发送的数据就

会发往那个伪造出来的MAC地址，这样就会造成数据被C截获。

如果B是路由器的话，则A就必须通过C来连接外网。这就是一

个简单的ARP欺骗。

三、ARP病毒校园网中常见的ARP病毒主要是利用ARP欺骗

进行攻击的木马、病毒，主要目的是通过ARP欺骗，充当中间人，

截取其他主机与网关之间的通信，进而获取其他用户的信息，例

如用户名、密码等。同时己受感染的主机会试图感染局域网内更

多的主机，从而截取更多的用户信息，反馈给木马发布者。在不

断感染的恶性循环下，可能导致更多的信息泄露及局域网崩溃。

常规来说，大面积掉线主要是因为APP欺骗攻击的后果。当局域

网内有某台电脑运行了此类ARP欺骗的本马的时候，

原本是通过路由器上网，现在就会通过病毒主机上网，切换

的时候该用户会出现断线现象。

当切换到病毒主机上网之后，一旦用户登陆了服务器，病毒

主机就会出现断线的假像，迫使用户重新登录服务器，以致病毒

主机可以通过截取数据来盗取用户名和密码了。

用户会发现网速越来越慢，是因为ARP欺骗的木马运行时会

发出大量的数据包而堵塞局域网通讯，

当木马程序停止运行时，用户就又恢复到之前的路由器上网

了，在此过程中用户会再一次断线。

校园网中，某一子网只要有一台或一台以上这样感染病毒的

主机，就会使其他人上网断断续续，严重时将使整个网络瘫痪。

这种病毒以窃取已感染病毒机器和同一子网内其它主机上的用

户帐号和密码为目的，而且它发的是ARP报文，具有一定的隐秘

性，如果占系统资源不是很大，又无防病毒软件监控，一般用户

不易察觉。4、ARP欺骗的防护在局域网内，要找出已感染病毒

的主机，并查杀病毒。

全网会不断的接收到ARP病毒主机发送的欺骗广播，致使局

域网中的其它主机自动更新自身的ARP缓存表，更换成ARP病毒

主机的MAC地址，这时，只要在其它受影响的主机中搜索一下当

前网关的MAC地址，就会查到中毒主机的MAC地址了。

对于局域网内已经中毒的主机要进行彻底杀毒。然后，建议

采用双向绑定的方法来解决和防止ARP欺骗，即在电脑上绑定路

由器的IP和MAC地址。首先，打开命令提示符。输入“ar-a”

命令，获得路由器的内网的地址。例如：网关的IP地址为

192.168.0.1，其MAC地址为0123ab4567cd。然后，编写一个批

处理文件，内容如下：Oecho off ar-d ar-s

192.168.0.101-23-ab-45-67-cd将其保存为，则该文件

将ARP表中网关的IP和MAC地址更改为指定的静态网关IP和

MAC。由于静态绑定网关地址会在关机后失效，所以，需要让这

个文件开机运行，例如，将其拖到“开始－程序－启动”。这样

就可以保证每次开机时就会重新绑定一次网关IP和MAC地址。

最后。给网内所有主机装上ARP防火墙。市面上有众多的ARP防

火墙，笔者推荐使用360安全卫士附带的ARP防火墙。5、结束

语校园网中常见的ARP病毒主要是利用ARP欺骗进行攻击，其主

要目的是通过ARP欺骗，截取其他主机与网关之间的通信，进而

获取其他用户的信息，例如用户名、密码等。通过了解ARP欺骗

的原理，ARP病毒的攻击方式，采取适当的应对措施就可以对此

类病毒加以针对性的防护，净化校园网络环境。

本文标签： 地址欺骗病毒IP地址