利用路由器防护局域网ARP攻击的研究

摘 要：本文针对局域网接入互联网环境下所面临的ARP攻击的威胁，探讨了通过局域网路由器进行ARP攻击防护的方法和效果。

关键词：接入互联网 ARP攻击 路由器

1.概述

近年来，由于网络游戏、电子商务等互联网应用越来越普及，接入互联网的局域网面临的威胁越来越多。这其中最让人头疼的就是ARP攻击，常常导致内网的用户无法正常上网，发生这种现象的时候处理起来相当麻烦。而路由器作为内网所有用户上网的网关，能够在ARP攻击防护上，通过IP+MAC绑定的方法，起到一定的防护作用。

2.ARP攻击机制分析

2.1 ARP攻击起源

说起来，ARP攻击的兴起与网络游戏的发展有着密切关系。痴迷的网络游戏爱好者为了盗取他人的游戏账号，利用技术制造了网游盗号木马，基本手段就是使用ARP欺骗。其产生的后果就是因此被欺骗者上网掉线，而施骗者可以轻松盗取他人的游戏账号。

2.2 ARP攻击原理

基于ARP协议，网络中通信的主机中都有着一个动态更新的对应表，表中存储着同一网段中主机IP地址和MAC地址的对应关系。比如说，主机甲需要与主机乙通信，首先在ARP缓存表里查找是否有主机乙的MAC地址信息。如果有，直接向主机乙的物理地址发送数据包。如果没有，主机甲会向网络中发送一个广播报文，询问同一网络中所有主机，主机乙的MAC地址是什么？正常情况下，只有主机乙收到这个广播报文后，回复给主机甲，告诉自己的MAC地址是什么。主机甲收到回复报文后，会相应的在ARP缓存表里建立主机乙的IP地址和MAC地址对应信息，方便与主机乙进行通信。实际上这个ARP缓存表里的信息如果一段时间不用的话，就会自动删除，下次用时在进行更新，这样做是为了避免这个表过大。

以上所述的正常通信过程有个前提，那就是网络中每台主机都不“说谎”。在最初设计ARP协议的时候，也没有考虑到过多的安全问题，信任网络中所有主机发出的ARP报文，因而产生了可以被网游盗号者利用的漏洞。

这样，攻击者在自己的主机中安装一个可以制造并發出虚假ARP信息的软件，就可以对其他主机实施欺骗攻击。如果攻击源冒充局域网内上网的网关，则其他主机就会受骗将上网数据包发送给攻击源主机，导致这些主机不能与真实的网关通信而掉线。

3.ARP攻击的常规处理手段

3.1 查找攻击源头

当发生ARP攻击的时候，由于ARP缓存表的老化时间不同，可能引起局域网内所有主机无法上网，也可能部分主机掉线，或者一会掉线一会正常。常规的处理方法，首先要找到攻击源头，思路即是找到正确的主机信息，屏蔽错误的主机信息。

在一般的windows主机中都可以查看ARP缓存表。方法是开始—运行---输入cmd确定，进入DOS命令行，输入arp –a,即可查看。

这时如果看到有一台主机的信息中，它的MAC地址同时对应很多MAC地址，那么这个主机就很可疑。我们可以现记录掉线主机的真实MAC地址，然后与ARP表中的MAC地址进行对照。如果ARP表中主机IP地址对应的不是真实的MAC地址，那么这个冒充别人IP的MAC地址对应的主机就是攻击源头。

3.2 处理攻击源

找到攻击源之后，处理的方法即是断开主机的网线，使其不能对其他主机造成攻击。然后集中对此台主机进行处理，包括杀毒、查木马、重新安装操作系统等。

4.配置路由器防护ARP攻击

4.1绑定网关防护ARP欺骗

一般说来，有效防护ARP欺骗的方法是在上网主机与路由器上配置双向的IP与MAC地址的绑定。在主机上绑定路由器网关的MAC地址，可以使本地不受攻击主机的欺骗，一般的软件ARP防火墙也是这个原理。具体做法是，首先记录网关真实的MAC地址。然后进入DOS命令行模式下，输入arp –s 网关的ip地址 网关的mac地址。执行后，这条ARP记录就变为静态了。如下图示：

4.2 查看路由器中的ARP映射表

现今，越来越多的路由器增强了ARP防护方面的功能。从路由器上可以很方便地查看到多有通过路由器上网的主机的IP地址和MAC地址的映射表。如下图示：

从这里，我们可以查找攻击主机。比如有某个IP地址对应多个MAC地址，则其冒充了很多其他主机，就是攻击的源头。

4.3 设置静态ARP绑定

以上在客户机上绑定网关MAC地址的方法，只能防护客户机不受ARP欺骗。但是如果路由器本身被欺骗，但从客户机上绑定网关MAC地址是无法解决问题的。因此我们可以在路由器上绑定多有允许上网的主机IP地址和MAC地址。为方便操作，许多路由器提供了ARP信息导入功能，可以在正常的映射表中导入绑定信息。本文实验的路由器静态ARP绑定方式分为普通绑定和强制绑定二种，如下图示：

普通绑定只约束绑定的IP和MAC信息，对于没有绑定的信息不做约束，即没有绑定MAC地址的主机可以任意更换为不在绑定列表里的IP地址，上网正常不受影响。但是如果开启了强制绑定，则只有符合绑定表中规则的主机才能够通过路由器上网。两种方式适用于不同的场合，对于内网主机的上网控制起到一定的作用。

5.路由器防护ARP攻击的效果分析

在路由器上做了静态的ARP绑定操作后，如果局域网中有主机冒充别人的IP地址来欺骗网关，网关将会阻止其攻击信息的传播，并让其无法上网。有的路由器还提供了攻击日志功能，将IP冒充的信息记录下来方便管理员进行查阅处理。路由器是局域网上网的出口，在局域网中可以扮演ARP信息裁判官的角色。充分利用路由器自身的ARP防护功能，采取灵活的策略，就能有效杜绝ARP欺骗，及时对异常情况进行处理。◆

参考文献：

[1]思科系统（中国）网络技术有公司:《下一代网络安全》北京邮电大学出版社2006-12-1

[2]蔡立军：《计算机网络安全技术》（中国水利水电出版社，2002

[3]卢开澄：《计算机密码学—计算机网络中的数据预安全》（清华大学出版社，1998）

[4]邓文渊、陈惠贞、陈俊荣：《ASP与网络数据库技术》（中国铁道出版社，2003.4

作者简介：

黄延国（1979-），男，2001年毕业于吉林大学，并获得学士学位。现就职于四平市联通分公司，通信工程师，主要负责新业务应用与开发技术。