图书馆局域网ARP病毒的攻击原理与安全防范

摘要：图书馆网络现状：随着图书馆数字化的发展，图书馆的管理也从原始的纸介的资料保存转向资料的网络版、电子版转化，原始的书籍、期刊等资料借阅模式也逐渐被电子版的原文请求、网络借阅方式替代，信息的瞬息万变、图书资料管理的数据化，导致图书馆的数字化、网络化发展，同时就要保证图书网络管理的安全及图书馆局域网稳定运行。ARP病毒是近年来局域网各种外部攻击比较频繁，对网络性能影响也比较大的一种病毒，针对目前该病毒在局域网内的频繁发作，本文对ARP协议及ARP欺骗攻击原理进行了分析，讨论了ARP欺骗行为的判定，并提出了对ARP欺骗攻击的解决方案。

关键词：局域网 病毒 ARP 欺骗 防范

1 ARP原理及攻击原理

1.1 ARP原理

ARP协议也叫地址解析协议，它的作用是获得在同一物理网络中的主机硬件地址。

只要一台主机试图与另一台主机通信，ARP请求就被初始化。当IP确定该IP是本地网络中的地址，源主机检查自己的ARP缓存以寻找目标主机的硬件地址。

如果ARP缓存表中没有发现映射，ARP发出带有问题“谁是这个IP地址？你的硬件地址是什么？”的请求。源主机的IP地址和硬件地址附在其中。ARP请求作为广播发出，所有的本地主机都可以接收和处理它。

在本地网络中的每台主机，并和自己的IP地址作匹配检查。如果主机没有发现匹配，它将忽略这一请求。

目标主机确定请求中的IP地址与自己的相匹配，并直接向源主机发送ARP返回自己的硬件地址。它将更新源主机中ARP缓存的IP地址、硬件地址映射。当源主机接收到答复后，通信就建立了。

过程如下图：

1.2 ARP攻击原理

ARP攻击就是通过伪造IP地址和MA C地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络堵塞，攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP_MAC条目，造成网络中断。

ARP欺骗可以分为两种，一种是对网关(路由器或三层交换机)的欺骗；另一种是对局域网PC的欺骗。

1.2.1 对网关的欺骗

这种欺骗方式目的是截获网关(路由器或三层交换机)发送给客户端PC的数据。它通知网关一系列错误的局域网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器ARP缓存表中，结果网关的所有数据只能发送给错误的MAC地址，造成正常PC无法收到数据。

1.2.2 对PC的欺骗

它的原理就是病毒主机伪装成网关，使局域网PC本应发往网关的数据全部流向假网关(病毒主机)。此时原先经过交换机上网的主机变成了经过病毒主机上网，而这个切换过程就会导致用户断一次线。同时，ARP病毒发作的时候会发出大量的数据包导致局域网通讯拥塞，而病毒主机处理能力有限，此时用户会感觉上网速度越来越慢。最后，当ARP木马程序停止运行时，用户会恢复经过交换机上网，此时，用户还会断线一次。而这也正是有时用户局域网访问正常，但不能上Internet网，或者能上网络却时断时续的原因。

2 如何防范和治理ARP攻击

2.1 通过划分VLAN阻断ARP的传播

VLAN技术可以在局域网中创建多个子网，广播包一般是无法跨越子网传播的，隔离了广播，缩小了广播范围，也就减小了广播风暴的产生几率。局域网的网络管理员可根据网络的拓扑结构，具体规划出若干个VLAN，当管理员发现有非法用户在恶意利用ARP攻击网络，或因合法用户受ARP病毒感染而影响网络时，网络管理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离，以避免对其它用户产生影响。

2.2 交换机上上绑定端口和MAC地址

交换机的每一个端口都对应着一台主机，而每一台主机的MAC都是唯一的。设置交换机的每一个端口与MAC地址相对应，如果来自该端口的MAC地址与之前的MAC地址不相符，就自动封锁该端口，使其不能连接到局域网。这样，进攻主机就无法发送伪造的ARP数据帧，从而有效的防止了ARP欺骗的发生。在交换机中，绑定端口和MAC地址通常用到ACL配置。

2.3 对客户机及网关服务器上进行静态ARP绑定

采用双向绑定的方法解决并且防止ARP欺骗。在PC 上绑定路由器的IP和MAC地址：

①对客户机及网关服务器上进行静态ARP绑定首先在网关服务器(代理主机)的电脑上查看本机MAC地址然后在客户机器的DOS命令下做ARP的静态绑定。

如：

C：\WINNT\system32>arp—s192.168.100.1 00—34一89—D5—c2—1f

②在网关服务器的电脑上做客户机器的ARP静态绑定如：

C：\WINNT\system32>arp—s192.168.100.30 00—0d一ba—35—c3—54

C：\WINNT\system32>arp—s192.168.100.31 00—a1一23—89—e3—1f

C：\WINNT\system32>arp—s192.168.100.32 00—08一4d—c5—76—r4

C：\WINNT\system32>arp—s192.168.100.33 00—10一5c—54—f3—6d

……

ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。

2.4在接入层或者汇集层交换机上配置ACL对ARP报文进行过滤。

以二层交换机S3026C等支持用户自定义ACL的交换机为例，配置ACL进行ARP报文的过滤。全局配置ACL禁止所有源IP是网关的ARP报文。

配置如下：

acl number 5000

rule 0 deny 0806 ffff 24 C0A86401 ffffffff 40

rule 1 permit 0806 ffff 24 003489D5c21f ffffffffffff 34

其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中C0A86401是网关IP地址192.168.100.1的16进制表示形式。Rule1允许通过网关发送的ARP报文，003489D5c21f为网关的mac地址。

下发acl规则：

packet-filter user-group 5000

这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的ARP响应报文。

3 结束语

防范ARP病毒攻击的方法很多，但是最重要的还是要断绝它的源头。除了前面介绍的几种方法，客户端PC的防范也不容忽视。安装必要的杀毒软件，加上ARP防火墙，定期更新打补丁，保证PC上安全的网络环境，就能抵挡网络中的病毒攻击，保证图书馆局域网络的安全。

参考文献：

[1][美]微软公司.Microsoft Window NT 4.0环境下的TCP/IP网络互联.[M]希望图书创作室.

[2]黄凯华.ARP病毒的处理与防范.[J].计算机安全.2009(5).

[3]交换机配置（三）ACL基本配置.华为交换机各种配置实例.2009.10(23)..

作者简介：

邸克锦：（1969年-），女，现为北京交通大学在读工程硕士。

于 淼：（1980年-），男，现为北京交通大学在读工程硕士。