教你如何掌握ARP协议防范ARP攻击

      现在，互联网时代，我们已经离不开互联网了，计算机的存在，给人们带来了极大的方便，但是在之前，由于当时计算机的出现只是为了解决人们生活的中的人与人之间的联系，为了解决我们可以更大范围的接收浏览全世界的资讯新闻，分享资源，但是安全性的问题却是一直都没有得到解决，后来，在ARP协议的基础上，IPV4正常工作了，今天和大家一起学习ARP协议。

　　什么是ARP协议？

　　局域网是为了方便一个小的局域内，人们能够更加便捷的进行工作，但是因为在局域网中会有两个地址的处在，一个是IP地址，一个是MAC地址，IP地址就相当于电脑的入口证书一样，可以改变的，MAC地址是网关地址，相当于你的驾照一样的，是不可以改变的，局域网中的每一台计算机都具有这两种地址。

　　按照OSI封装、解封装的工作过程，必须实现这两种地址之间的转换，这中间需要用到ARP以及RARP协议，当然我今天的重点是ARP。

　　ARP协议，又称为地址解析协议，英文全称是(AddressResolutionProtocol)是属于TCP/IP协议族的。它的主要作用是网络地址转换。

     局域网中，一台计算机想要把以太网数据帧发送到另一台主机中时，时需要根据48bit的以太网地址进行确定接口的，也就是确定自己要把数据发送给那一台计算机。网络中实际传输的每一帧里包含有目标主机的介质访问控制子层(MediaAccessControl，MAC)地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。而MAC地址可以通过地址解析协议获得。所谓“地址解析”就是在IP地址和采用不同网络技术的硬件地址之间提供的动态映射。ARP协议就是用来获取目的主机的MAC地址的。需要获取的主机MAC地址，是存储在网络传输数据帧中的。

　　当然，还有另外一个协议是RARP，叫做反向地址解析协议(ReverseAddressResolutionProtocol,RARP)，其作用是将MAC地址转换为IP地址。

　　什么是ARP缓存表？

　　为了提高通信的效率，网络上每台主机都有一个ARP缓存表，这也是ARP高效运行的关键所在。缓存表中存放了最近的Internet地址到硬件地址之间的映射记录。用户可以使用arp–a命令查看本机ARP缓存内容。以主机A向主机B发送数据为例，当发送数据时，主机A会在本机的ARP缓存表中寻找是否有目标IP地址。如寻找到，将目标主机MAC地址写入以太网帧首部加入到输出队列等候发送;否则，主机A就会在网络上发送一个ARP请求广播，询问同一网段内主机B的MAC地址。网络上其他主机并不响应该ARP询问，只有主机B的ARP层收到这份报文后，才会向主机A发送一个ARP应答，告知其MAC地址为“00-E0-4C-87-DD-D2”

　　此时，主机A将获得主机B的MAC地址，就可以向主机B发送信息。在发送信息的同时更新本机的ARP缓存表，以便下次再向主机B发送信息时，直接从ARP缓存表里查找。每台在第一次登录网络建立网络连接时，都要发送ARP广播包;如果要访问的主机的IP地址和MAC地址在本机ARP缓存表中不存在，也将向网络发送ARP请求。由此可以根据每个用户的既定访问权限信息对主机的ARP缓存表作相应改变，从而达到访问控制的目的。

　　但考虑到网络的实时变化，ARP高速缓存中的记录不是一承不变的，而是是动态变化的，每当发送一个指定地点的数据报且高速缓存中不存在当前项目时，ARP便会自动添加当前项目。ARP缓存采用老化机制，在一段时间内如果表中的某一行没有被使用，该行就会被删除，如此可以大大缩小ARP缓存表的长度，加快查询速度。因此，访问控制要求所进行的ARP缓存改变必须进行定时刷新，从而适应ARP缓存老化机制。

　　什么是ARP攻击(网络侦听)？

　　在网络中，当信息进行传播的时候，通过某种方式将其截获或者捕获，从而进行分析处理，称之为网络监听。网络监听在网络中的任何一个位置模式下都可实施。用户只需要一个协议分析软件即可实现。

　　1)信息接收。Ethernet中填写了物理地址的帧经网卡发送到物理线路上。当使用集线器的时候，发送出去的信号到达集线器，由集线器再转发到相连接的每一条线路。当数字信号到达一台主机的网络接口时，正常状态下，网络接口对读入数据帧进行检查，决定是否将数据帧交给IP层软件。但是，当主机工作在监听模式下时，所有的数据帧都将被交给上层协议软件处理。以太网卡典型地具有一个“混合模式(Promiscuous)”选项，能够关掉过滤功能而查看经过它的所有数据报。这个混合模式选项恰好被数据报监测程序利用来实现它们的监听功能。

　　2)信息发送。Ethernet网协议的工作方式是将要发送的数据报发往连接在一起的所有主机。包头中包括有应该接收数据报的主机的正确地址。要发送的数据报必须从TCP/IP协议的IP层交给数据链路层，在这个过程中，采用ARP将网络地址翻译成48bit的MAC地址。

　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

　　通过数据报截获分析，系统探测到非法主机登录网络或者试图访问，系统将根据合法主机IP信息，构造虚假MAC地址，使用特定线程对非法主机进行持续欺骗。根据实际运行情况，考虑到网络负担以及系统性能，欺骗信息连续发送时间可为2～5min，每轮间隔为10～20s。系统运行所得结果如下图所示：

                                                                     ▲被攻击后的ARP缓存表
　　什么是ARP攻击防范？

　　1、ARP个人防火墙：

　　在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，但也会有问题，如，它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。

　　2、ARP双向绑定：

　　一般来说，在小规模网络中，大家比较推荐使用双向绑定，也就是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。

　　3、VLAN和交换机端口绑定：

　　通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。

　　学习了什么是ARP协议，什么是ARP缓存表之后，掌握了ARP攻击的基本定义后，在了解到如何进行ARP攻击防范后，相信大家多多少说也掌握了一定防范的小技巧了，大家可以在空闲的时间，多多设置下自己的局域网，争取将ARP威胁降低到最小。