浅谈校园网ARP攻击原理与防范

摘　要：当今的信息社会是建立在计算机网络的基础之上的，网络信息安全形势十分严峻。网络协议安全是网络安全的重要环节，对网络协议的分析、利用越来越受到人们的关注。本文分析了 ARP 协议及其存在的漏洞，ARP 病毒的攻击原理和方式方法，并设计实现了一个检测、定位和防范 ARP 病毒的系统。

关键词：校园网；ARP；攻击；防范
　　随着数字校园的发展，校园网在为合法用户提供方便快捷的服务的同时，也为“黑客”提供了可乘之机。如何保护网络，如何保证网络资源的真实性，已经成为关系到人们切身利益的实际问题。目前，解决网络安全问题的主要技术手段有加解密技术、数据鉴别技术、防火墙技术、访问控制技术等，它们在防御网络入侵方面均有一定的作用。这些传统的网络安全技术对于网络攻击，主要采取的是被动防御的手段，面对日益复杂和千变万化的各种入侵事件来讲，这些技术逐渐变得力不从心。如何更好地积极地保护我们的网络，已经成为当今研究的一个热点。
1．ARP 病毒简介
1.1  ARP 病毒
　　ARP 病毒是一类特殊的病毒，该病毒一般以木马病毒的形式出现，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的 ARP 数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。其危害主要表现在：局域网内的部分或所有电脑不能上网；无法打开网页或打开网页慢；在打开的网页顶部和底部插入恶意广告；不断提示 IP地址冲突(非 IP共用产生的 IP地址冲突)；局域网时断时续并且网速较慢等。
1.2  ARP 协议介绍
　　ARP 协议是一个不安全的协议，因为是直接和用户使用的网络设备交互的协议，所以很容易被仿冒、篡改、复制和非法获取。从其衍生出来的问题也越来越严重。ARP 协议是建立在信任局域网内所有结点的基础上的，所以效率很高，但却不太安全。该协议是无状态的协议，不会检查自己是否发过请求包，也不管(其实也不知道)是否是合法的应答，只要收到目标 MAC 是自己的 ARP reply 包或 ARP 广播包(包括 ARP request 和 ARP reply)，都会接受并缓存。这就为 ARP 欺骗提供了可能。恶意节点可以发布的 ARP 报文从而影响网内结点的通信，甚至可以做“中间人”。有的利用该协议造成 ARP 攻击，使网络变慢，客户机不能正常上网。进而严重影响校园网的正常运转。ARP 协议的具体的工作过程如下：假设网络中有四台主机 A、B、C 和 D，他们的 IP 地址和对应的硬件地址如表1-1 所示。
表1-1 IP/MAC地址表
主机IP地址MAC地址A192.168.18.1111-11-11-11-11-11B192.168.18.1222-22-22-22-22-22C192.168.18.1333-33-33-33-33-33D192.168.18.1444-44-44-44-44-442．  ARP病毒攻击的表现形式
　　一般来说，ARP 攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为主机没有问题，交换机不可能是导致掉线的原因，电信服务商也不承认宽带故障。而且如果第一种 ARP 攻击发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。实际上这是错误的。ARP 协议是一种很特殊也很重要的协议。因此 ARP 病毒的发作也给网络的正常传输带来了各种各样破坏。其表现形式基本上分为以下几点：
2.1 网络频繁掉线
　　网络频繁掉线主要表现为用户在使用网络的过程中，网页打开速度慢、时断时续甚至根本打不开以及其它的网络应用处于断线状态。这种现象是因为感染 ARP 病毒的主机一旦收到 ARP 请求包后，它就会向源主机发送伪造的 ARP 包，导致源主机无法与真正的目的主机通讯。当伪造的 ARP 包中包含错误的网关信息时，源主机会误认为中毒主机就是网关，便会通过中毒主机连接外网，如果中毒主机性能很差，无法胜任“网关临时代理”功能就会表现为用户网络连通，但延时太大，所以用户上网才会觉得慢、时断时续，甚至根本无法连接网络。
2.2 弹出恶意广告
　　ARP 病毒在伪装网关的基础上，还会对 HTTP 请求访问进行篡改。HTTP 是应用层的协议，主要用于 WEB 网页访问。当源主机的请求通过访问某个网站的时候，中毒主机仍然会担任“网关临时代理”之职，仍然会给源主机下载所请求的 web 网站内容，但不同的是，在将 web 内容传送给源主机的同时，会在下载的 web 内容中插入恶意网址连接，该恶意网址连接会利用多种系统漏洞，向源主机种植木马病毒，破坏用户的操作系统以及网络环境。
2.3 提示 IP 地址冲突
　　ARP 病毒还会造成用户 IP 地址冲突，并不断的提示，干扰用户正常使用网络。正常情况下，当主机 A 在连接网络(或更改 IP 地址)的时候就会向网络发送 ARP 包广播自己的 IP 地址，也就是 free ARP。如果网络中存在相同 IP 地址的主机 B，那么 B 就会通过 ARP 来 reply 该地址，当 A 接收到这个 reply 后，A 就会跳出 IP 地址冲突的警告，当然 B 也会有警告。但如果网内存在 ARP 攻击病毒，那么中毒主机便可以伪造这个 ARP reply，ARP reply 的内容就是“我的地址和主机 A 一样”，主机A 就误认为自己的 IP 和别人冲突了，就会不断的出现 IP 地址冲突警告，也就无法与网络通信。
3． 校园网ARP病毒防范的实现
3.1 系统配置
　　ARP 攻击者本身有其正常使用的 IP，当攻击某台计算机时，他会假冒成被攻击者的 IP，ARP 攻击会针对网关以及同一个网段的许多台计算机(跨网段的 ARP 欺骗除此之外还要利用 ICMP 重定向欺骗)。因此在网络上，ARP 攻击者表现为同一个 MAC地址，对应许多 IP，且对应的 IP 不断的变化。不论是以广播方式发送的 ARP 欺骗，还是针对网关的非广播欺骗，路由器都能够接收到，并且记录在其 ARP 缓存中。校园网络的发展有个一个实际的好处是，在申请上网的时候保存了相应的用户信息。这就为本文提供了一个非常有效的资源，我们可以根据绑定的 IP 和MAC 地址来检测相应的 IP 地址和 MAC 地址映射的正确性从而判定 ARP 攻击的发生。
3.2病毒检测模块
　　主程序接受到返回的字符串后，调用 ARP_Cache 的 execute（）方法执行后，获取数据流中的 IP 和 MAC 映射对。返回一个 ARP_Cache 类型的数组。execute（）方法的具体实现如下：
public ARP_Cache;
int i = 0;
String ip = """";
String mac = """";
int begin = 0;
while (data. indexOf(""Internet"") >= 0) {
data = ing(f(""Internet""));
while (() < 7) {
begin = f("" "");
data = ing(begin + 1);
ip = ing(0, f("" ""));
}
ac. Macmillan Technical Publishing. 2005. 本文链接：http://www.qk112.com/lwfw/jsjlw/jsjwl/238580.html