严 蕾，何 覃

（西安财经学院行知学院，陕西 西安 710038）

基于ARP原理攻击的校园网络安全策略分析

严 蕾，何 覃

（西安财经学院行知学院，陕西 西安 710038）

在众多威胁校园网络安全因素当中，ARP自身工作的缺陷漏洞常常被利用，攻击者从而施以各类型的网络欺骗。文章从ARP的工作原理角度出发，总结出的3种网络欺骗攻击行为，并针对性的从ARP自身优化以及网络通信环境各个层面分析，提出应对策略，为校园网络安全提供服务。

网络安全；校园网；ARP攻击；应对策略

当今，网络安全已上升为国家战略问题，受到来自各种形式的安全威胁，其中以网络协议之一地址解析协议ARP为目标进行校园网络攻击时常可见，由于ARP协议本身的工作原理没有一定的通信信用核实机制，导致在同一个虚拟局域网中的主机容易遭受来自其他主机ARP的广播请求错误或者信息源无法验证，形成广播被响应错误或数据被截获的攻击。致使校园网络用户网络间断、掉线形式，妨碍校内正常网络教学、办公等，学校相关部门对此应当作出相应分析与对策，保障校园网络安全与信息安全。下面将从ARP工作机制、漏洞攻击的方式以及各种相对应的优化策略进行分析。

1 ARP简介与工作原理机制

1.1 简介

地址解析协议（Add ress Resolution Protocol，ARP）是Internet中TCP/ΙP协议簇的子协议之一。工作在TCP/ΙP模型的第三层网络层，目标作用是将主机的IP地址即网络地址映射到M AC地址即物理地址的协议，M AC地址对应TCP/ΙP模型的第四层网络接口层，对应OSI开放式系统互联七层参考模型的数据链路层和物理层[1]。在网络中，网络层通信主机之间以IP地址定位，而在物理层是通过M AC地址识别的。ARP是完成主机间在物理层到数据链路层间的通信协议。

1.2 工作原理机制

在网络通信中，每个主机里都有IP与MAC动态缓存机制表。若主机a和主机b进行通信，主机a向目标主机b发送数据信息，由于数据帧头部需要显示目标主机的MAC地址，所以主机a在自身ARP缓存表中查找是否暂存有主机b的IP地址，如果有则直接将缓存的主机b的MAC加到帧上，正常通信；如果没有，则主机a在所处的LAN中进行广播，发送ARP请求报文，寻找主机b的MAC地址，主机b收到广播的数据帧，响应并反馈给a，主机a将以最新的主机b对应的MAC地址进行缓存，方便再次通信的直接调取[2]。

2 利用ARP漏洞的攻击方式

在某LAN中，攻击者利用局域网中主机、网关相互信任的通信特点，伪装成ARP应答包以及局域网中存在的某台主要网络IP地址，进行欺骗目标主机、网关，从而造成网络的非法数据信息获取。

2.1 攻击主机

在LAN中，主机a向主机b通信，但在a当中没有缓存b的MAC地址，于是进行广播。主机a被作为目标主机，攻击者向主机a发送假ARP应答包，目标主机a收到攻击者的假MAC地址，主机a更新的b是错误的IP地址[3]。

2.2 攻击网关

在LAN中，网关路由器中也存在ARP缓存表，当攻击主机伪装一个假的ARP应答包时，利用LAN其中的一主机的IP地址冒充成自己的，而MAC地址则是自己真实的，故当此假ARP应答包通过网关时，网关收到真主机的IP和攻击者的MAC而更新缓存表，则当网关发送到真IP地址的时候，直接转发到攻击者主机上，导致网关的发送错觉，对网关的安全造成攻击。

2.3 攻击主机+网关

在LAN中，攻击主机会同时发送给目标主机和网关假的ARP应答包，一方面给目标主机的应答包中包含自己的伪M AC地址，攻击主机的网关缓存表中的M AC地址则是假的；另一方面攻击主机发送到网关的应答包中，包含有其中冒充某主机的真IP地址，MAC地址还是攻击主机的，于是网关发送数据信息时，被转发到了攻击主机处，则造成的现象是目标主机的短暂掉线情况，在此期间攻击主机截获了信息，威胁安全。

3 安全防范策略的研究

由于ARP的通信必要性，无法去除此协议，所以必须采取必要的防范策略进行安全防御，以下提出几种策略方案，从协议工作原理、网络通信环境、网络设备等来研究。

3.1 增加ARP通信安全验证功能

通过ARP工作原理，发现ARP在主机通信间缺乏安全认证机制，故从安全认证方面来增强安全性[4]。若主机a向主机b发送数据，a在自己中查找是否有b对应的IP，有则直接发送，无则开始在网内广播；b接收到ARP应答包，同时向a发送一个只有b自己知道的验证包，b先判断此验证包是否真假，若真则给出验证的方法，即完成验证机制，进而方可更新a的ARP缓存，加强了通信安全性。

3.2 设置静态缓存表IP

无论在网络中的主机或是相应的网关，都存在ARP缓存表，利用不断地缓存更新导致漏洞的存在，被随意更改IP与M AC的映射。通过对主机系统下和网关的设置，添加每台设备对应的IP与MAC地址，在主机中的操作，通过命令：ARP将IP绑定设置，主机和网络均可通过此方法查询目标主机地址，如图1所示。

图1 静态绑定IP与MAC地址

3.3 设置杀毒软件、防火墙等主动隔离

此方法对LAN中的个人用户比较有效，ARP防火墙通过拦截假应答包，告知目标主机正确的物理地址，而起到排除网络IP地址冲突、防御恶意攻击等作用[5]。管理人员需在校园网站上放置相应杀毒软件、ARP防火墙等抵御工具，供校园网用户下载使用，注重正确使用和及时更新版本开启对应功能，并提醒校园网用户对于比较重要的个人文件和部门共享文件等，注意信息安全保护，因为ARP防火墙只是防御功能，减小被攻击的可能性，并不能完全根除隐患。

3.4 采用技术隔离—VLAN交换机端口隔离

由于校园网的物理区域比较大，可以将其划分为多个逻辑上相关的相对小范围容易管理的区域即VLAN虚拟局域网逻辑隔离技术，因此该方法的工作量比较大。

若有ARP攻击出现，则可以在划分出的该虚拟局域网VLAN进行及时处理，处理方法首先确定后台检测控制的某主机的IP地址和所处VLAN，每个VLAN都有一个交换机端口，进行端口的设置[6]，如用某品牌交换机H3C系列在VLAN的3个分层全面进行部署并设置开启隔离，在该局域网接入层设置启动DHCP snooping，DHCP snooping通常维护一张绑定表，里面有多种信息，其中包括DHCP Client的IP地址的对应关系，确保合法Client对网络的访问，类似于在Dhcp Client和DHCP Server之间建立一道防火墙，保证了直接隔离非法ARP攻击包的入侵。

3.5 IP协议版本的更新

在校园网中，目前应用的IP，可以应用IP来增强攻击的防御功能。由于ARP协议只有在IP中被定义应用，在IP中的此功能被邻居发现协议NDP替代并升级了，NDP还增加了如：前缀发现、邻居不可达检测NUD、无状态地址配置等功能，NDP一部分通过在节点间交互邻居请求NS和邻居公告NA报文完成IP地址到MAC地址的解析，另一部分就是邻居不可达检测NUD的维护过程，进行全校园网的协议更新也是一种安全方式。

4 结语

通过对校园网ARP攻击原理的分析，实质是在网络层与数据链路层上协议的本身漏洞特点造成的，以协议自身、通信环境、网络设备部署、防火墙设置、网络协议版本升级等方式多维度分析增强防御策略，稳定校园网的安全运行。在实际中对校园网管理部门以及网络安全建设提供了理论依据与方法，有助于校园网络安全工作。

[1]谢希仁.计算机网络[M].6版.北京：电子工业出版社，2013.

[2]朱泽波.ARP防攻击技术的研究与实现[D].南京：南京理工大学，2013.

[3]边浩江.ARP欺骗的侦测及防御方法的研究与实现[D].昆明：昆明理工大学，2015.

[4]郑森森.基于ARP欺骗的数据截获与高速转发技术研究[D].四川：四川师范大学，2015.

[5]李红.如何防御校园网内的ARP攻击[J].赤峰学院学报（科学教育版），2011（5）：106-107.

[6]邢金阁，刘扬.ARP欺骗攻击的检测及防御技术研究[J].东北农业大学报，2012（8）：74-77.

Analysis on the strategy of campus network security based on ARP principle attack

Yan Lei, He Tan
（Xingzhi College of Xi’an University of Finance and Econom ics, Xi’an 710038, China）

Among many security factors threatening the campus network security, the defects and flaws of ARP itself work loophole has often been used so that attackers further implement various types of network cheating. From the perspective of the working principle of ARP, the article summarizes three kinds of network cheating attack behaviors, and puts forward coping strategies to provide services for campus network security by analyzing the ARP self-optim ization and various aspects of network communication environment.

Ιnternet security; campus network; ARP attack; coping strategy

严蕾（1988— ），女，陕西渭南，硕士，助教；研究方向：信息管理与信息系统。