浅谈局域网ARP的危害及防范方法

　　自去年5月份开始出现的校内局域网频繁掉线等问题，对正常的教育教学带来了极大的不便，可以说是谈“掉”色变，造成这种现象的情况有很多，但目前最常见的是ARP了。本文介绍了ARP的原理以及由此引发的网络安全问题，并且结合实际情况，提出在校园网中实施多层次的防范方法，以解决因ARP而引发的网络安全问题，最后介绍了一些实用性较强且操作简单的检测和抵御的有效方法。

　　您是否遇到局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常?您的网速是否时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常?您是否时常听到教职工的网上银行、游戏及QQ账号频繁丢失的消息?……

　　这些问题的出现有很大一部分要归功于ARP，我校局域网自去年5月份开始ARP频频出现，目前校园网内已发现的“ARP”系列病毒已经有了几十个变种。据检测数据显示，APR从未停止过，为此有效的防范ARP形式的网络已成为确保网络畅通必要条件。

　　一、ARP的基本知识

　　ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。

　　所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以通信的顺利进行。

　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的，ARP协议对网络安全具有重要的意义。

　　2、ARP协议的工作原理

　　正常情况下，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有o就直接将数据包发送到这个MAC地址;

　　如果没有，就向本地网段发起一个ARP请求的包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。

　　如果不相同就忽略此数据包;如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。

　　如图：

　　从可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP。更何况ARP协议是工作在更低于IP协议的协议层，因此它的危害就更加隐蔽。

　　二、ARP的原理

　　ARP类型的最早用于盗取密码之用，网内中毒电脑可以伪装成由器，盗取用户的密码，后来发展成内藏于软件，其他局域网用户正常的网络通信，下面我们简要阐述ARP的原理：假设这样一个网络，一个交换机连接了3台机器，依次是计算机A，B，C

　　第二步：正常情况下在A计算机上运行ARP-A查询ARP缓存表应该出现如下信息。

　　第三步：在计算机B上运行ARP程序，来发送ARP包。

　　第四步：完毕我们在A计算机上运行ARP-A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

　　例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

　　域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。

　　这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。下图更直观的展示了ARP的情况：

　　三、ARP的危害

　　ARP类型的在校园网中最早出现在去年5月份，目前校园网内的计算机所感染的“ARP”系列病毒已经有了几十个变种。根据这些变种的工作特点和外部特性大概可以分为三大类，其中“ARP”和“恶意”两类对学校局域网的正常运行和网络用户的信息安全的最大。

　　ARP只要一开始就造成局域网内计算机无法和其他计算机进行通讯，而且网络对此种病毒没有任何耐受度，只要局域网中存在一台感染“ARP”病毒的计算机将会造成整个局域网通讯中断。

　　“恶意”病毒是“ARP”系列病毒中影响和危害最为恶劣的。它不会造成局域网的中断，仅仅会使网络产生较大的延时，但是中毒主机会截取局域网内所有的通讯数据，并向特定的外网用户发送所截获的数据，对局域网用户的网络使用造成非常非常严重的影响，直接着局域网用户自身的信息安全。

　　四、出现ARP的原因及特征

　　一个正常运行的局域网是不应该出现ARP的，经过长时间的观测，发现ARP的出现主要是由以下几个原因造成的：

　　1、人为

　　主要是内网有人安装了P2P软件，如P2P终结者，网络执，聚生网管，QQ第六感等，恶意其他机器，流量，或者进行内网DDOS。

　　2、木马病毒

　　传奇、跑跑卡丁车、劲舞团等游戏外挂，如：及时雨PK版，跑跑牛车，劲舞小生等，他内含一些木马程序，也会引起ARP。

　　其实真正有人恶意捣乱的是很少的，一次两次捣乱，次数多了自己也就腻了，更何况事后网管肯定会找到捣乱的主机，所以说人为是比较好解决的。最麻烦的就是使用带木马的游戏外挂和浏览带有恶意代码的网页。

　　当出现ARP后最明显的特征是网络频繁掉线，速度变慢，查看进程你会发现增加了down.exe1.execmd.exe9sy.exe中的任意一个或多个，严重的还能自动还下载威金病毒，logo_1.exe.rundl132.exe，感染可执行文件，图标变花还。

　　五、常用的防范方法

　　目前ARP系列的方式和手段多种多样，因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。

　　对于Windows补丁不仅仅打到SP2(XP)或SP4(2000)，其后出现的所有安全更新也都必须及时打全才能最大限度的防范病毒和木马的袭击。此外，正确使用U盘等移动存储设备，防止通过校外计算机病毒和木马。

　　下面介绍防范ARP的几种常用方法：

　　1、静态绑定

　　将IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。

　　是通过ARP的动态实时的规则内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。缺点是每台电脑需绑定，且重启后任需绑定，工作量较大，虽说绑定可以通过批处理文件来实现，但也比较麻烦。

　　192.168.1.1设置2、使用防护软件

　　目前关于ARP类的防护软件出的比较多了，我校常用的一款软件是彩影软件的ARP防火墙.

　　ARP防火墙采用系统内核层拦截技术和主动防御技术，包含六大功能模块可解决大部分、ARP带来的问题，从而通讯安全(保障通讯数据不被网管软件/恶意软件和控制)、网络畅通。

　　3、具有ARP防护功能的网络设备

　　由于ARP形式的而引发的网络问题是目前网络管理，特别是局域网管理中最让人头疼的，他的技术含量低，随便一个人都可以通过软件来完成ARP，同时防范ARP形式的也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了，本文介绍的方法希望对大家有所帮助。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。