校园网中对ARP攻击的防范

2024年3月20日发(作者：)

校园网中对ARP攻击的防范

【摘要】人类社会自从进入信息时代后，对计算机网络的依赖性越来越高，

遭受的网络攻击也越来越多。ARP攻击这种局域网不容防范的攻击技术对校园

网的影响也日趋严重。通过在局域网计算机中安装ARP防火墙软件以及对接入

交换机进行相关设置，可以有效防范ARP攻击，保障校园网络的正常运行。

【关键词】ARP攻击；地址解析；地址绑定

一、引言

随着网络的快速发展，网络的规模越来越大，人们对网络的使用也越来越多，

随之而来的各种网络攻击行为也在急剧增加。2011年1月发布的《第27次中国

互联网络发展状况统计报告》中显示，截至2010年12月，有92.7%的中国中小

企业接入了互联网，规模较大的企业中互联网得接入比例已经接近100%。同时

有2.09亿人遇到过病毒或木马攻击，占到网民总数的45.8%。为了提高企业的安

全防护水平，在接入互联网得中小企业中，有91.7%的中小企业安装了杀毒软件，

有76.5%的中小企业加装了防火墙。虽然这些措施可以防范大部分病毒和木马的

攻击，但是对ARP攻击却有点无可奈何。

中小企业内部基本都拥有规模不等的局域网，ARP攻击对局域网的影响非

常大。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上

网，甚至可能带来整个网络的瘫痪。更严重的是，它还可以窃取用户密码。如盗

取QQ密码、各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非

法交易活动等。校园网作为一种局域网，同样面临ARP攻击的威胁。

ARP攻击对局域网的威胁这么大，那么什么是ARP攻击，它又是如何实现

的？

二、ARP攻击及其原理

1、故障现象

某一日学校机房管理员向笔者反映某机房内的所有计算机突然不能上网了。

进入机房实地检查后发现，计算机可以使用锐捷客户端通过认证，但是却无法连

接到互联网。据在机房上机的学生讲，刚开始是可以上网，但过一会就打不开网

页了。于是笔者将机房内所有计算机关机，然后再单独启动一台计算机，这时可

以通过锐捷认证并上网。但是当所有计算机启动之后，很快整个机房又无法上网

了。于是笔者判断机房内某台计算机感染了ARP病毒，从而造成整个机房网络

遭受了ARP攻击。

2、ARP攻击的概念

ARP攻击是针对以太网地址解析协议（ARP）的一种攻击技术。这种攻击

可让网络上特定计算机或所有计算机无法正常连接，造成网络的拥塞甚至瘫痪。

3、ARP攻击原理

ARP攻击利用ARP协议的不足实现其攻击目的。ARP协议是―Address

Resolution Protocol‖（地址解析协议）的缩写。在局域网中，网络中实际传输的

是―数据帧‖。数据帧里面是有目标主机的MAC地址的（以太网数据帧结构如图

1所示，目的地址和源地址都是使用的MAC地址）。在以太网中，一台计算机要

与另一台计算机进行直接通信，必须要知道目标主机的MAC地址。但是目标主

机的MAC地址却不是一开始就知道的。它是通过地址解析协议（即ARP协议）

获得的。所谓―地址解析‖就是计算机在发送数据帧前将目标IP地址转换成目标

MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目

标设备的MAC地址，以保证通信的顺利进行。计算机会将查询到的MAC地址

及其对应的IP地址用一个ARP高速缓存存放起来。

由于ARP是个早期的网络协议，早期的互联网采取的是信任模式，在科研

机构、大学内部使用，追求的是功能和速度，所以对网络安全考虑的很少。尤其

是以太网的洪泛特点，能够很方便的用来查询。但就为日后的黑客开了方便之门。

默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是

根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即

会更新ARP高速缓存中的IP-MAC条目。正是因为ARP协议有这样的特点，所

以在局域网中，黑客通过监听ARP Request广播包，能够偷听到其它节点的（IP，

MAC）地址，然后黑客就可以利用偷听到的信息伪装为某计算机节点A，告诉

计算机节点B（受害者）一个假地址，使得B在发送给A的数据包都被黑客截

取，而A、B却浑然不知。

如果攻击者持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存

中的IP-MAC条目，造成网络中断或中间人攻击。

后来，有人利用这一原理，制作了一些所谓的―管理软件‖。例如网络剪刀手、

执法官、终结者等。有些人使用这些软件的目的不一定是用于管理，而是以恶意

破坏为目的，这样就导致了ARP恶意攻击的泛滥。再后来病毒木马程序也加入

了ARP攻击的行列。盗号程序就是为了窃取用户帐号密码数据而进行的ARP欺

骗。

ARP攻击主要是存在于局域网中。如果局域网中有一台计算机感染ARP木

马，则计算机将会试图通过―ARP欺骗‖手段截获所在网络内其它计算机的通信信

息，造成网内其它计算机的通信故障。因为这种攻击是利用ARP请求报文进行

―欺骗‖的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防

火墙很难抵挡这种攻击。

三、ARP攻击的防范

防止ARP攻击是比较困难的，修改ARP协议也是不大可能的。但是我们可

以通过其它一些方法来提高校园网络的安全性。

1、在用户层面进行防范

这主要通过在计算机上安装一些安全软件来实现对ARP攻击。通过使用这

些安全软件，我们可以绑定网关的IP地址和MAC地址，同时只接受来自网关

的ARP请求，对其它计算机发来的ARP请求进行丢弃处理，这样就不会将―错

误‖的ARP信息更新到当前计算机的ARP缓存中；我们还可以绑定计算机自身

的IP地址和MAC地址，同时定期向外广播ARP信息，保证自身的ARP信息不

被黑客篡改。从而达到防范ARP攻击的目的。这样就可以保证和网关通信的通

畅，实现自己ARP信息不被篡改。这方面的产品很多，主要是一些ARP防火墙

和一些带ARP防火墙功能的安全软件。如彩影ARP防火墙、360ARP防火墙、

金山贝壳ARP防火墙和服务器安全狗（DDOS/ARP防火墙）等软件产品。

2、在校园网络层面进行防范

由于笔者所在学校使用的都是锐捷的网络设备，所以通过可以结合相关的软

硬件设备对锐捷接入交换机进行设置来实现对ARP攻击的防范。

（1）利用锐捷交换机的地址绑定（address-bind）功能

在锐捷交换机的配置模式下使用addre

-ss-bind 192.168.0.2 0024.216e.12a3命令，可以将计算机的IP地址192.168.0.2

和MAC地址0024.216e.12a3进行绑定。如果机房有100台机器，就需要将每台

计算机的IP地址和MAC地址一个一个地进行100次绑定，而且我们还要事先

收集到这100计算机的IP地址和MAC地址。很明显，如果计算机很多，这种

绑定的工作量是很大的，所以我们可以采取批量导入的方法。由于学校购买了

RG-SAM安全计费管理系统，这个系统可以记录使用锐捷客户端登录计算机的

相关信息，其中就包括联网计算机的IP地址和MAC地址。我们可以使一个机

房的计算机统一登录，将收集到的IP地址和MAC地址导出。同时我们将锐捷

交换机的配置导出，将机房计算机的所有IP地址和对应的MAC地址加入到配

置文件后再重新导入到交换机，从而减少地址绑定的工作量。

（2）使用锐捷交换机端口安全功能，并启用arp-check功能

通过设置接入交换机的端口安全功能也可以有效防范ARP攻击。首先进入

某接口，然后在该接口绑定用户的MAC和IP地址。具体命令为switchport

port-security mac-address 0024.216e.12a3 ip-address 192.168.0.2，然后使用

switchport port-security开启端口安全功能，最后使用switchport port-security

arp-check开启端arp检查功能。

该方法对机房管理员来说工作量同样很大，可以参考第一种方法实施批量导

入。

（3）使用锐捷交换机的ARP动态检测功能（DAI）

如果机房内计算机是通过DHCP服务器来自动获取IP地址的话，那么也可

以通过配置锐捷交换机的ARP动态检测功能（DAI）来防范ARP攻击。具体步

骤为，在全局配置模式下通过ip dhcp snooping开启dhcp snooping，接着进入上

联端口使用ip dhcp snooping trust将其设置为信任端口，这样只有此端口连接的

服务器发出的DHCP响应报文才能够被转发，然后进入其它端口使用ip dhcp

snooping address-bind配置DHCP snooping的地址绑定功能，最后在全局配置模

式下使用命令ip arp inspection来启用全局的DAI，同时使用ip arp inspec-

tion vlan 1启用vlan1的DAI报文检查功能。

四、受到ARP攻击后的应对措施

如果局域网已经被ARP病毒感染，正在遭受ARP攻击，我们可以通过一些

软件找出ARP病毒的源头，并对其进行清除，然后再使用上面提到的ARP防范

方法将ARP攻击从根本上的杜绝。

1、对ARP攻击的定位

定位ARP攻击不是件容易的事，不过借助一些软件我们还是可以将―元凶‖

找出来。

（1）主动定位方式

因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过

ARPKi

-ller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这

台机器有可能就是―元凶‖。定位好机器后，再做病毒信息的收集。

（2）被动定位方式

在局域网发生ARP攻击时，查看交换机动态ARP表中的内容，确定攻击源

的MAC地址。也可以在局域网中部署Sniffer工具，定位ARP攻击源的MAC。

一般ARP攻击都是冒充网关的MAC地址，所以我们可以直接Ping网关IP，完

成Ping后，用ARP–a查看网关IP对应的MAC地址，此MAC地址应该为欺骗

地址，使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址。

2、对ARP病毒的处理

我们可以使用趋势科技提供的ARP病毒清除工具对ARP病毒进行清除，然

后再安装ARP防火墙软件，对网关的IP地址和MAC地址进行绑定。这样就可

以将ARP攻击拒之门外了。

五、小结

ARP攻击会影响校园网络的正常使用，甚至会导致校园网的瘫痪。通过对

校园网中的计算机安装ARP防火墙，在接入交换机上进行防ARP攻击的设置，

就可以有效应对ARP攻击，保证校园网络的正常运行。

参考文献

[1]中国互联网络信息中心.第27次中国互联网络发展状况统计报告

[EB/OL]./dtygg/dtgg/201101/t20110118_,2011-01-

19/2011-11-10.

[2]谢希仁.计算机网络第五版[M].北京:电子工业出版社,2008.

[3]星网锐捷网络有限公司.RG-S2600系列交换机RGOSV10.4(3)版本配置手

册

[EB/OL]./service/?uniid=c90cba58-559

2-457f-a9bc-cbb4e8ffdfb9,2011-08-10/2011-11-10.

谢琴（1982—），女，江苏如皋人，学士，江苏省城市职业学院南通办学点

助教。