浅谈校园网ARP欺骗攻击与防范

admin管理员组

文章数量:1532471

2024年5月20日发(作者：)

浅谈校园网ARP欺骗攻击与防范

[摘 要] 本文介绍了ARP的工作原理，分析了ARP病毒的症状，提出

了在校园网中如何防范ARP病毒攻击以及找到感染ARP病毒的机器的办法，以

便更好地维护校园网的安全。

[关键词] 校园网； 病毒； 防范； ARP

我们知道，在以太网中，一个主机要和另一个主机进行直接通信，必须要知

道目标主机的MAC地址。那么IP地址是如何转换为第二层物理地址（即MAC

地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议用于将网络

中的IP地址解析为硬件地址（MAC地址），以保证通信的顺利进行。ARP协议

对网络安全具有重要的意义。

1 ARP的工作原理

（1） 首先，每台主机都会在自己的ARP缓冲区 （ARP Cache）中建立一

个 ARP列表，以表示IP地址和MAC地址的对应关系。

（2） 当源主机需要将一个数据包发送到目的主机时，会首先检查自己 ARP

列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到

这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询

此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬

件地址以及目的主机的IP地址。

（3） 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP

是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首

先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已

经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告

诉对方自己是它需要查找的MAC地址。

（4） 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和

MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。这样，源

主机就知道了目标主机的MAC地址，它就可以向目标主机发送信息了。同时它

还更新了自己的ARP缓存表，下次再向该主机发送信息时，直接从ARP缓存表

里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一

行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速

度。

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp-a”

就可以查看ARP缓存表中的内容； 用“arp-d”命令可以删除ARP表中某一行的

内容；用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应。

2 ARP病毒的症状

有时候我们会无法正常上网，有时候又好了，包括访问网上邻居也是如此，

拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP查询的时候

会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC

地址对应多个IP的情况也会有出现。这就是我们常说的典型的 ARP攻击网络欺

骗行为。

常见ARP攻击有两种类型：ARP扫描和ARP欺骗。

2.1 ARP扫描（ARP请求风暴）

通讯模式（可能）：请求→请求→请求→请求→请求→请求 →应答→请求→

请求→请求……

出现原因（可能）：病毒程序，侦听程序，扫描程序。如果网络分析软件部

署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自

与非镜像口连接的其他主机发出的。如果部署不正确，这些ARP请求广播包是

来自和交换机相连的其他主机。

2.2 ARP欺骗

ARP协议并不只在发送了ARP请求后才接收ARP应答。当计算机接收到

ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和

MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP

应答，网络可能就会出现问题。

注意：一般情况下，ARP欺骗的某一方应该是网关。

3 基本ARP病毒防制法

3.1 预防措施

（1） 学校管理员检查局域网病毒，安装杀毒软件（金山毒霸/瑞星，必须

要更新病毒代码），对机器进行病毒扫描。

（2） 给系统安装补丁程序，通过Windows Update安装好系统补丁程序（关

键更新、安全更新和Service Pack）。

（3） 给系统管理员账户设置足够复杂的强密码，最好能是12位以上，字

母+数字+符号的组合；也可以禁用/删除一些不使用的账户。

（4） 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更

新。安装并使用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重

要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用

户不能正常安装补丁，不妨通过使用网络防火墙等其他方法来防护。

（5） 关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也

包括C■、D■等管理共享。完全单机的用户也可直接关闭Server服务。

（6） 不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要

随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件、外挂程序等。

（7） 设置静态ARP表能忽略执行欺骗行为的ARP应答，达到防范ARP

欺骗攻击的目的。

（8） 要想彻底避免ARP欺骗的发生，我们需要让各个计算机的MAC地

址与IP地址唯一且相对应。虽然我们可以通过为每台计算机设置IP地址的方法

来管理网络，但是遇到那些通过ARP欺骗非法攻击的用户来说，他可以事先自

己手动更改IP地址，这样检查起来就更加复杂了，所以说保证每台计算机的MAC

地址与IP地址唯一是避免ARP欺骗现象发生的前提。

① 建立DHCP服务器保证MAC地址与IP地址唯一性。首先我们可以在

Windows 2000 Server或其他服务器版操作系统上启用DHCP服务，为学校建立

一个DHCP服务器，一般来说建议在网关上搭建。因为DHCP不占用多少CPU，

而且ARP欺骗攻击一般总是先攻击网关，由于网关这里有监控程序，所以可以

在第一时间发现攻击行为。当然为了减少攻击的发生概率，我们也可以把网关地

址设置为网段的第二个地址。

② 建立MAC地址数据库。把学校内所有网卡的MAC地址记录下来，每个

MAC和IP、地理位置统统装入数据库，以便及时查询备案。可以以Excel表格

的形式，也可以保存为数据库文件。

③ 禁止ARP动态更新。为了防止网关被随意攻击，我们还需要在网关机器

上关闭ARP动态刷新功能，这样即使非法用户使用ARP欺骗攻击网关，对网关

是无效的，从而确保主机安全。

（9） 使用ARP防护软件。目前关于ARP类的防护软件比较多，比较常用

是欣向ARP工具，AntiARP等。其防护的工作原理是以一定频率向网络广播正

确的ARP信息。

3.2 找到感染ARP病毒的机器

（1） 在电脑上ping一下网关的IP地址，然后使用ARP-a命令，看得到的

网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址

对应的电脑。

（2） 使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通

往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种

处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒，往往需

要手工查找感 染病毒的电脑和手工处理病毒，比较困难。

（3） 使用MAC地址扫描工具，NbtScan扫描全网段IP地址和MAC地址

对应表，有助于判断感染ARP病毒对应的MAC地址和IP地址。

总之，最好的方法，就是对病毒源头的机器进行处理，如杀毒或重装系统。

此操作比较重要，解决了ARP攻击的源头PC机的问题，可以保证内网免受攻

击。

本文标签： 地址病毒攻击IP地址请求