ARP攻击原理

ARP攻击原理（共10篇）

ARP攻击原理 篇1

1 ARP定义

ARP (Address Resolution Protocol, 地址解析协议) 是一个位于OSI参考模型中的数据链路层 (DL) 协议, 负责将网络层 (OSI的第三层) IP地址解析为数据链路层 (OSI的第二层) 的MAC地址。

ARP原理:主机A向主机B发送报文, 首先查询本机的ARP缓存表, 如果找到主机B的IP地址所对应的MAC地址, 就进行数据传输。如果没有找到, 则主机A广播一个ARP请求报文, 请求主机B回答自身IP地址所对应的MAC地址。该局域网内所有主机都能收到该ARP请求, 但只有与该IP地址对应的主机B向主机A发回一个包含有B的MAC地址的ARP响应报文。主机A接收到主机B的应答后, 就会更新本地的ARP缓存。然后向该MAC地址目标机发送数据。

2 ARP攻击原理

ARP攻击主要存在于局域网中。感染ARP病毒的计算机开机后一般会自动连续发出伪造的ARP响应包, 通过伪造IP地址和MAC地址从而更改目标主机ARP缓存表中的IP - MAC记录, 意图截获所在网络内其他计算机的通信信息, 同时因存在大量的ARP响应包而导致网络堵塞。

在正常情况下, 局域网内计算机通信数据流向是网关< - >本机。而当局域网内存在ARP欺骗攻击之后, 数据流向将变成网关< - >ARP攻击者< - >本机, 本机与网关之间的所有通信数据都将流经ARP攻击者 (即感染ARP病毒的计算机) 。

局域网内计算机用户频繁断网, 重新开机或者修复本地连接 (先禁用然后再启用) 后网络恢复正常通信, 但隔很短时间网络再次中断。或者以前可正常上网, 突然出现ping网关超时不通, 不能上网的现象, 重启计算机或在MSDOS窗口下运行命令arp - d后, 又可恢复上网一段时间。浏览器在上网使用过程中频繁出错或者自动关闭网页。当局域网内用户计算机出现以上症状时, 很有可能已经受到网内其他中“ARP木马”病毒计算机的攻击。

3 局域网ARP防范方法

3.1 VLAN划分

规模稍大一点的网络一定要划分VLAN, 通常ARP 攻击在同一个VLAN 内进行, 一个VLAN 中发生ARP 攻击一般不会影响其它的VLAN, 同时VLAN 的划分对抵御网络风暴也有很大好处。

3.2 ARP双绑定

根据ARP 缓存的特点, 解决ARP 攻击的最好办法就是不让ARP 缓存更新。计算机和可管理的网络设备中就提供了绑定MAC地址和IP 的命令。

如: 在计算机上绑定网关IP 和MAC 地址可以在命令提示符下敲入如下命令:

Arp–s 网关IP 地址网关MAC 地址。

不过这种方法需要每次开启计算机都要通过手动输入命令进行绑定, 为避免麻烦, 可以做一个批处理文件, 并使其随机器启动, 这样每次开机即可自动绑定。如, 要绑定网关IP为192.168.0.254, MAC 地址为00- 09- 71- 0A- EB- 8F, 批处理文件命令如下:

@echo off Arp- d Arp- s 192.168.0.254 00- 09- 71- 0A- EB- 8F。

将其保存为sarp.bat即可, 然后将sarp.bat 的快捷方式拖到开始菜单的启动中。

网关绑定MAC地址的方法, 以H3CMSR5040路由器绑定192.168.0.100 为例:

Router (Config) #ARP static 192.168.0.100 0009.7158.4AEF,

实现双向绑定以后, 就可确保计算机于网关发送的数据能顺利到达目标机器而不会被其他计算机截获, 这样你的网络就不会再受ARP病毒了。

3.3 ARP防范软件

防范ARP 攻击的软件很多, 如, 用于检测的NBTSCAN、用于防范的各种类型的ARP 防火墙、360ARP 防火墙、AntiARP 等。

3.4 预防措施

(1) 对病毒源头的机器进行处理, 杀毒或重新装系统。此操作比较重要, 解决了ARP 攻击的源头PC 机的问题, 可以保证内网免受攻击;

(2) 网吧管理员检查局域网病毒, 安装杀毒软件 (江民P瑞星等, 必须及时更新病毒代码) , 对机器进行病毒扫描;

(3) 给系统安装补丁程序, 通过Windows Update安装好系统补丁程序 (关键更新、安全更新和Ser2vice Pack) ;

(4) 给系统管理员账户设置足够复杂的强密码, 最好能是12 位以上, 字母+数字+符号的组合;也可以禁用或删除一些不使用的账户;

(5) 经常更新杀毒软件 (病毒库) , 设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件, 网络防火墙在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡来自网络的攻击和病毒的入侵。部分盗版Windows 用户不能正常安装补丁, 不妨通过使用网络防火墙等其它方法来做到一定的防护;

(6) 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享。完全单机的用户也可直接关闭Server 服务;

(7) 不要随便点击打开QQ、MSN 等聊天工具上发来的链接信息, 不要随便打开或运行陌生、可疑文件和程序, 如, 邮件中的陌生附件, 外挂程序等。

4 结语

ARP攻击对于拒绝某个同网段内IP地址上网非常有效, 基本没有防御办法, 而且安全性很高, 很难发现。通过以上综合的方法来解决ARP病毒攻击是行之有效的。虽然ARP病毒版本不断更新、不断升级, 给用户不断带来新的冲击与危害, 但是如果能够提前做好防制工作, 相信ARP的危害会减少到最小的程度。

摘要：ARP攻击是一种阻碍用户正常使用网络服务的攻击, 就此对ARP协议的工作原理、ARP攻击的原理进行了深入的分析和探讨, 并指出了相应的防御解决方法。

关键词：ARP原理,ARP攻击,ARP防范

参考文献

[1]AndrewSTanenbaum, 王宏秦.计算机网络[M].北京:人民邮电出版社, 2002.

[2]罗永昌, 王基一.ARP攻击原理及局域网防范[J].商丘职业技术学院学报, 2008.

[3]赵崇, 王红艳.ARP攻击原理及有效防止方法[J].网络通讯及安全.

[4]陈卫军, 刘跃军.针对ARP攻击的网络防范机制研究[J].安阳师范学院学报, 2008.

[5]马庆湖, 高元海.ARP攻击的防范[J].济南职业学院学报, 2008.

[6]刘青.ARP攻击的防范与解决方案[J].湖南人文科技学院学报, 2008.

ARP攻击原理 篇2

关键词：ARP攻击；ARP协议；ARP防御

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 (2012) 10-0131-01

一、ARP协议概述

ARP，也叫做地址解析协议，其功能是实现用IP地址经过一系列的转换形成物理地址。在常用的以太网环境下，为了能够向目标主机传送正确的报文，我们要把目的主机的32位IP地址通过一定的方式转换成为48位以太网的地址。要实现这一功能，需要有一组服务能够实现将IP地址转换为物理地址，这组协议称为ARP协议。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

二、ARP攻击原理

ARP欺骗分为二种，第一种ARP欺骗是截获网关数据。它通过向路由器发送一系列错误的内网MAC地址，并按照一定的频率不断进行发送，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常终端无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是通过建立伪造的网关，让被它欺骗的PC机向伪造的网关发数据，而不是通过正常的路由器途径上网。

三、ARP攻击防御算法

主机在接收到ARP请求报文，和接收到相对滞后的ARP应答报文，都有可能发生ARP欺骗。因此，我们基于以下三点来设计防御算法：

1.当主机接收到一个ARP 请求情况的时候，向发送方回复一个应答报文，但是不更新ARP缓冲区，并再向源主机发送一个ARP请求，发送请求报文后的过程按第3点来处理。2.对于所有的未发送过ARP请求，而主机接收到的ARP 应答报文采取丢弃操作。3.主机在先发送了ARP 请求的情况下，接受到目标IP 回复的ARP 应答，判断是否是目标主机发送的第一个应答报文，如果是，则更新缓冲区，如果不是，与之前接收的应答包对比，判断是否要丢弃该包。

为了实现这一算法，我们在程序中建立两个链表：一个是request，用来存储的是发送过请求报文的目标主机的IP地址；另一个是response，用来存放那些收到了ARP应答的IP地址与MAC地址的映射对。我们将两个线性表设置为动态更新模式，在算法中编写一个固定时间段的代码，超过编写的时间段的记录会被自动删除。这样我们便可以很方便的实现线性表的动态更新模式。算法的具体模块如下：

void rec_ARP_req() //接收ARP请求处理模块

{

接收ARP请求报文;

if(目标IP=本机IP)

{

回复ARP请求;

sen_ARP_req(); //调用发送ARP请求函数发送请求

}

else

丢弃该请求包;

}

void sen_ARP_req() //发送ARP请求函数

{

if(目标IP不在request表中)

添加目标IP到request表中;

发送ARP请求;

}

void rec_ARP_rep() //接收ARP应答处理模块

{

接收ARP应答;

添加IP-MAC映射信息到response表中;

删除request表中对应项;

更新ARP缓冲区;

if(源IP不在request中)

丢弃该ARP应答包;

else

{

if(源MAC地址=对应项MAC地址)

更新ARP缓冲区;

else

丢弃该ARP应答包;

}

}

在程序中，通过引入链表等数据结构，执行速度也许会比原来的执行速度慢。特别是在接受ARP应答处理模块当中，每收到一次ARP应答，就要更新一次ARP缓冲区，更改后的协议要对该应答进行复杂的处理，判断是否发生过ARP欺骗攻击。但是，本文的算法在安全性能上改善了以往的算法中对于ARP报文不进行检验操作的不足，增强了主机对ARP攻击的防御，同时，程序也具有较强的灵活性，这也是传统的算法所不能比的。

四、结论

本文提出的算法，充分考虑了ARP协议自身的不足，从网络安全性的角度出发，对收到的ARP请求或应答先进行检验，虽然可能会降低程序运行速度，但是却可以使ARP协议的安全性能得到大大提升，能够有效防止ARP欺骗与攻击的发生，具有广泛的可应用性。

参考文献：

[1]RICHARD STEVENS W1 TCP/ IP 详解(卷1：协议)[M].北京:机械工业出版社,20001

[2]唐涛.ARP欺骗攻击分析及一种新防御算法[J].科技风,2008:33-34

ARP攻击原理及防范措施 篇3

随着信息化进程的深入和互联网的迅速发展, 人们的工作、学习和生活带来巨大变化。在享受计算机网络的同时, 它的安全问题也给我们带来了难以想象的影响, 甚至是严重的经济损失。因此网络安全问题已成为信息时代人类共同面临的挑战, 在局域网内部, 利用TCP/IP协议的漏洞进行攻击是主要的手段之一。ARP地址解析协议是局域网中解决IP地址到硬件地址映射的协议, 攻击者利用ARP协议的无连接, 无认证的特性进行ARP欺骗攻击。遭到ARP欺骗攻击的网络主要表现是, 局域网出现突然掉线, 出现IP地址冲突, IE浏览器频繁出错, 以及一些系统内常用软件出现故障等现象。本文将会详细介绍ARP工作原理, ARP攻击手段以及对应的解决方案。

1 ARP的工作原理

ARP主要目的是用于进行IP和MAC地址 (硬件地址) 解析的。在实际网络的链路上传送数据帧时, 采用MAC地址来寻址, 地址解析协议解决了从IP地址到MAC地址的映射问题。比如, 局域网中两个节点要进行通信, 源主机必须要知道目的主机的MAC地址, 那么源主机将会首先检查自己的ARP表中是否存在目的主机的MAC地址, 如果存在, 就直接将目的主机MAC地址写入数据帧中发送, 如果没有, 则发送一个ARP广播, 询问目的主机IP对应的MAC地址是什么?当拥有这个IP地址的主机收到ARP请求的时候, 会创建一个ARP回复包, 并发送给ARP请求的源主机, ARP回复包中包含了目的主机的MAC地址, 在源主机接受到这个回复后, 会将目的主机的MAC地址保存在自己的ARP缓存表中, 下一次再次请求同一IP地址的时, 将会从ARP表中直接获取目的主机MAC地址, 而不需要再次发送ARP广播询问。

2 编程模拟ARP工作流程

(1) 简单局域网环境

在由一台网关路由器和两台PC主机组成简单局域网环境下, 编写一个ARP工作流程模拟程序, 模拟ARP请求数据包的广播和监听ARP回复, 并打印发送ARP模拟数据包和监听到的ARP回复包, 从而更直观了解ARP的工作原理 (图1) 。

(2) ARP数据包的结构

(3) ARP数据包中每个字段对应的长度和类型

3 程序代码及其运行结果

C Sharp调用Sharp Pcap函数库编写程序对局域网中的ARP数据包进行监听, 截获及模拟请求操作。

(1) ARP请求模拟并获得回复的代码

模拟一个查询网关192.168.1.1的Mac地址的ARP请求包, 发送并监听网关的回复。

(2) 程序运行结果

程序运行后, 获得的截图。192.168.1.100发送了一个关于网关192.168.1.1的Mac地址是多少请求包, 并得到192.168.1.1的回复, 告知192.168.1.100它的Mac地址。

记录说明, 包的类型是ARP请求包, 发送方的IP是192.168.1.100 mac地址是00:1b:b9:dc:56:57, 接收方是192.168.1.1, mac地址是00:00:00:00:00:00说明是广播请求 (询问192.168.1.1的mac地址是多少) 。

4 ARP欺骗攻击方法

通过上面的编程实验, 充分验证了ARP协议的无连接和无认证性。局域网中的任何主机都可以随意的发送ARP请求包ARP回复包, 而且是无条件地根据接收到请求包或回复包的内容刷新本机的ARP缓存。ARP欺骗就是利用ARP协议的这些不安全性质, 模拟ARP的请求包或回复包对目标主机进行攻击。因此根据模拟数据包的类型不同, 把攻击分为两类。

4.1 模拟ARP请求包在局域网内部进行广播

源主机模拟一个ARP请求包, 修改ARP请求包中源主机的IP或MAC地址, 然后在局域网中进行广播。局域网中的每一个主机都将接收到该请求包, 并会自动刷新自己的ARP缓存表内容, 对这一对IP和MAC地址进行错误的映射。攻击者通常用这种方法, 篡改局域网中主机的ARP缓存表中的网关IP和MAC地址的映射, 使得网中机器出现断网的现象。

4.2 模拟ARP回复包对指定的目标主机进行攻击

源主机通过模拟对目标主机的回复包, 修改回复包中源主机的IP地址或MAC地址, 然后在局域网中发送, 由于包中目标主机的MAC地址是明确的MAC地址, 所以该回复包只会被发送到指定的目标主机。接收到该回复包的目标主机将会自动修改自己ARP缓存表。该攻击方法主要被用来篡改目标主机的ARP缓存表中某一指定的IP和MAC地址的映射, 中断目标主机与指定IP主机之间的通讯。具体实施欺骗后的效果主要有三种:

(1) 只欺骗受害主机

由图2可得知, 在PC02的ARP缓存表中, 网关的GW的MAC地址是:03-03-03-03-03-03。, 所以这时PC02将会把数据包发向PC03。PC03截获数据包后, 为了不让PC02察觉, 会把数据包转发给GW, GW获得请求后对PC02进行正常的回复。在这个过程中PC02毫无察觉, 但数据包却已被截获监听。

(2) 只欺骗路由器、网关 (图3) 。

(3) 双向欺骗, 即前面两种欺骗方法的组合使用 (图4) 。

ARP欺骗带来的危害包括:网络异常, 具体表现为:掉线、IP冲突等;数据窃取, 具体表现为:个人隐私泄露、账号被盗用;数据篡改, 具体表现为:访问的网页被添加了恶意内容;非法控制, 具体表现为:网络速度、网络访问行为受第三者非法控制。

5 ARP欺骗的防范措施

由于ARP欺骗攻击的主要手段是通过模拟ARP请求包或回复包对目标主机ARP缓存表中某一指定的IP和MAC地址的映射信息进行篡改, 以实现对目标主机的各种形式的攻击。应对上述两种攻击手法, 用户可以从本地防护和远程防护两个方面对ARP欺骗进行防范。

5.1 本地主机防护方法

(1) 使用ARP命令对自己需要通讯的主机的IP和MAC地址进行静态的映射。ARP欺骗是通过ARP的动态实时的规则欺骗内网机器, 所以我们把ARP设置为静态, 可以有效的防止病毒主机通过发送模拟数据包对ARP缓存表进行篡改。

ARP命令如下:arp-d//清除ARP缓存表信息

arp-s//绑定IP和MAC地址

(2) 安装ARP防护软件, 比较常用的有360安全卫士和Anti ARP等。

5.2 远程交换机、路由器和DHCP服务器防护方法

(1) 维护二层交换机中的ARP数据库表, 对交换机每个端口的MAC地址进行绑定, 当有数据包发送到交换机上时, 交换机会将数据包的目的MAC地址与自己维护的ARP数据库中的端口进行对照, 然后将数据包发送到相应的端口上。可以有效的防止ARP欺骗攻击。

(2) 通过路由器的地址绑定功能, 对局域网主机的IP和MAC地址进行绑定, 有效的防止ARP病毒主机仿冒他人IP进行ARP攻击。

(3) DHCP服务器为客户端获得的IP租约设置一个较长的时间, 固定主机MAC和IP的映射关系, 从而保证MAC地址与IP地址的一致性, 以便在ARP攻击发生时, 可以尽快的定位病毒主机。

摘要：本文主要论述了ARP (Address Resolution Protocol) 既地址解释协议的工作原理, 并以编程实验方式模拟ARP的工作流程。通过对ARP工作原理的了解, 发现ARP的协议安全缺陷, 总结ARP欺骗利用协议缺陷实施ARP攻击的方法, 并根据不同的攻击方法提出相应的防范措施及解决方案, 从而便于我们能够提早防范和及时应对ARP攻击, 减少ARP攻击对局域网的影响。重点通过编程实验的方式详细介绍ARP的工作原理。

关键词：ARP,ARP欺骗,C#,SharpPcap,IP,Mac

参考文献

[1] (美) W.Richard Stevens 著, 范建华, 胥光辉, 张涛等译.TCP/IP详解卷一:协议.北京:机械工业出版社.2000.

[2] (美) 特南鲍姆 (Tanenbaum, A.S.) 著, 潘爱民译.计算机网络 (第4版) .北京:清华大学出版社.2004.

[3]王坚.梁海军.ARP欺骗原理及其防范策略的探讨[J].计算机与现代化.2008.

[4]Tamir Gal:SharpPcap网站:http://www.tamirgal.com/blog/page/SharpPcap.aspx.

[5]ARP协议工作原理.http://www.lcemb.cn/TCPIP/Increase/200812/3152.html.

ARP攻击原理 篇4

参评软件

360ARP防火墙：通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAc地址不被篡改，解决局域网内ARP攻击问题。

彩影ARP防火墙：可查杀正在对外攻击的ARP病毒，无需升级病毒库特征，有效率非常高。

软件易用性

许多普通用户对ARP病毒到底是什么并没弄清楚，因此ARP防火墙的操作难易程度，决定着用户的选择。

360ARP防火墙：安装“360ARP防火墙beta2版”后需要重启才能运行。打开软件后，选择“开启”选项页，点击界面中的“开启”按钮，即可开启360ARP防火墙防御功能，主动防御各种ARP病毒攻击。

彩影ARP防火墙：运行“彩影ARP防火墙V5.0 beta1”，点击“开始”按钮，软件即可自动检测拦截到由病毒引起的本机对外的ARP攻击。

金山ARP防火墙：“金山ARP防火墙beta”在安装过程中，会暂时断开网络连接。安装完毕后，运行“金山ARP防火墙beta”，在“监控状态”选项页中点击“开启”按钮，即可自动检测拦截ARP病毒攻击。

瑞星ARP防火墙：安装并运行瑞星防火墙2008，点击菜单“设置／详细设置”，打开设置对话框。在左侧边栏中选择“ARP欺骗防御”功能项，勾选“启用ARP欺骗防御”项，软件提供了不少选项，在 “ARP静态规则”中，需要逐一增加所有内网用户的固定(静态)IP到规则表里。

点评

360ARP防火墙、彩影ARP防火墙和金山ARP防火墙的安装与使用都很简单，无需用户进行过多的设置。而瑞星ARP防火墙必须手工开启，特别是设置ARP静态规则肘，需要用户手工一个个地输入内网IP地址，操作起来非常麻烦。

ARP病毒拦截与清除功能

在本次测试中，我们以一款比较常见的ARP攻击软件

金山ARP防火墙：可阻止正在对外攻击的ARP病毒，并通过在系统内核层拦截ARP攻击数据包，可从拦截网络行为人手，防御ARP病毒攻击。

瑞星ARP防火墙：集成在瑞星防火墙中，可通过不断的发送ARP请求，确认网关与主机正确的MAC地址，避免遭爱攻击。“P2P终结者”，模拟本机的病毒攻击测试。

360ARP防火墙：当ARP病毒发起攻击，软件界面中会显示拦截记录(如图1)，并自动弹出拦截对话框。在界面中点击“立即结束本进程”按钮，或者在拦截窗口中点击“结束发送攻击源”按钮，即可将病毒进程结束。ARP病毒进程被结束后，我们可以运行“360安全卫士v3.7”程序进行木马扫描井查杀。

彩影ARP防火墙：彩影ARP防火墙可自动检测拦截到由病毒引起的本机外对的ARP攻击，拦截到攻击后，选择“安全事件”选项页，在其中可查看到病毒攻击的时间与病毒进程名(如图2)。右键点击该信息，在弹出菜单中选择“查杀恶意程序”命令，在对话框中可查看到病毒进程的详细信息，勾选右侧的“终止进程”和“删除文件”项，点击确定按钮，即可清除掉ARP病毒。如果病毒在注册表或系统服务中添加了启动项目，还可勾选“清除注册表启动项”和“清除系统服务启动项”，将病毒启动项目删除掉。

金山ARP防火墙：如果本机上有ARP病毒发起攻击，软件会在系统托盘区弹出拦截提示框。选择“监控日志”选项页，即可查看详细的拦截记录攻击数据信息。但是其中没有病毒的详细进程信息，因此查杀起来比较麻烦。

瑞星ARP防火墙：让人吃惊的是，我们在使用瑞星ARP防火墙保护系统时，进行病毒攻击模拟测试，只是弹出了一个程序访问网络的对话框，而没有任何ARP攻击的提示!对于普通用户来说，没有显示ARP攻击的提示，用户很难判断此程序是否有害!

点评

在ARP病毒的拦截功能方面，360ARP防火墙、彩影ARP防火墙和金山ARP防火墙都及时弹出了ARP攻击提示；而瑞星防火墙表现则难以让人满意。在清除ARP病毒时，彩影ARP防火墙最为方便直观； 360ARP防火墙可以终止ARP病毒进程，但需借助360安全卫士进行查杀；金山ARP防火墙没有显示病毒进程及相关信息，不太方便。

ARP攻击防御能力

针对ARP协议的病毒攻击方式比较多，2007年出现了很多新型ARP欺骗攻击，可劫持网络数据，导致整个局域网中的用户欺骗访问病毒网页，因此ARP防火墙的主动防御功能是否强大，决定着用户的安全。

360ARP防火墙：选择“设置／自动获取并保护网关”项，软件会自动扫描获取网关的IP地址和MAC地址井进行保护；也可以选择“手工设置网关地址”项，输人网关的IP地址及MAC地址(MAC地址可自动获取)。对网关的IP地址与MAc地址全面保护后，结合软件ARP攻击拦截检测功能，整体防护功能比较全面。

彩影ARP防火墙：它的保护功能比较强，在设置对话框中选择“路由”选项，勾选其中的“当检测到来自非可信路由的IP包时启动主动防御”项，以保证IP包均来自网关，防范ARP欺骗攻击。再选择“防御”选项页，将主动防御功能设置为“警戒”，并勾选“智能防御模式，检测到异常时自动启动”项，即可在安全防御ARP病毒攻击的同时，减少防御功能对系统资源的占用。此外，在“攻击拦截”选项页中，还可以拦截本机对外的DDOS攻击、抑制ARP包发送，还可设置为安全模式，阻止一切来源于局域网内其它主机的不安全网络数据交换。

金山ARP防火墙：可手工设置对网关进行保护。在“ARP安全设置”对话框中勾选“实时通知网关”项，可以发送ARP请求，保证网关的可靠性。勾选“启用安全模式”，即可阻止一切来源于局域网内其它主机的不安全网络数据交换，防止其它类型的ARP攻击。

ARP攻击原理分析及防御方法 篇5

1 ARP协议简介

计算机通信中,网络层使用的是IP地址,而数据链路层则使用的是硬件地址也成为MAC(Medium Access Control)地址,ARP就是用于将IP地址转化为硬件地址的协议。图1为ARP协议首部格式。

其中,硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。剩余的四个字段分别为6字节的发送方硬件地址、4字节的发送方IP地址、6字节的目标硬件地址和4字节的目标IP地址。ARP协议的工作过程如下:

首先,每台主机都有一个ARP列表,用于存储IP地址和MAC地址的对应关系。当发送方需要将一个数据包发送到目的主机时,首先检查自己的ARP列表是否存在该目的主机IP地址所对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向网内发送一个ARP请求的广播包,查询此目的主机的MAC地址。

ARP请求数据包包含发送方的MAC地址、IP地址和目的主机的IP地址。网络中的所有主机收到这个ARP请求以后,检查该数据包的目的IP地址是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送方的IP地址和MAC地址填入自己的ARP列表,如果已经存在,则将其覆盖,然后给发送方法送一个ARP响应数据包,告知自己的MAC地址。

发送方收到ARP响应数据包以后,将得到的目的主机IP地址和MAC地址添加到自己的ARP列表中,并利用得到的目的主机的MAC地址开始数据的传送。

2 ARP攻击原理分析

ARP协议虽然是一个高效的数据链路层协议,但作为一个局域网协议,它是建立在各主机之间相互信任的基础上的,因此存在一些安全问题。

1)主机ARP列表是基于高速缓存,动态更新的。由于正常的主机间的MAC地址刷新都是有时限的,这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。

2)可以随意发送ARP应答分组。由于ARP协议是无状态的,任何主机即使在没有请求的时候也可以做出应答,因此任何时候都可以发送ARP应答。只要应答分组是有效的,接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。

3)ARP应答无须认证。由于局域网内的主机间通信基本上是相互信任的,因此,只要是收到来自局域网内的ARP应答分组,就会将其中的MAC/IP地址对刷新到本机的高速缓存中,而不进行任何认证。

`通过上面对协议的分析可以发现,利用ARP协议的漏洞就能够很容易的构造出ARP攻击,常见的ARP攻击主要有两种形式:中间人攻击和拒绝服务攻击。

2.1 中间人攻击

所谓中间人(man-in-the-middle)攻击是指攻击者插入到通信双方的连接中,截获并且转发双方数据包的行为。通过截获数据包,可以探测有价值的信息,破坏信息的机密性,或者对信息进行篡改,破坏信息的完整性。中间人攻击可以采用主动形式也可以采用被动形式。假设局域网中有三台主机,如图2所示,其中A、B为正常通信的双方,C为攻击者,三台主机的IP地址和MAC地址对应关系如表1所示。

1)在主动攻击中,攻击者C主动向A发送ARP应答数据包,告诉A,B的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得A修改自己的ARP列表,把B的IP地址对应的MAC地址修改为攻击者C的MAC地址。

2)同时,攻击者C也主动向B发送ARP应答数据包,告诉B,A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得B修改自己的ARP列表,把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。

3)从而使得A←→B之间的通信形式变成A←→B←→C实现了中间人攻击。

在被动攻击中,攻击者C只在A或者B发送ARP请求数据包时,延时一段时间发送应答数据包,使得自己的应答包在正确的应答包之后到达,防止自己修改的相应主机的ARP列表被正确的应答包再次修改。

分析中间人攻击的过程,可以看出中间人攻击主要是利用了ARP协议的无状态和无认证的缺陷,即不管主机是否发送了请求数据包,来了应答包全部进行接收并利用它更新ARP列表(无状态);不管应答包是否是来自它所声称的那台主机,不进行鉴别全部相信并利用它更新ARP列表(无认证)。

2.2 拒绝服务攻击

所谓拒绝服务(deny-of-service)攻击是指攻击者通过耗费目标主机的资源或者提供错误的信息使得目标主机不能够为合法用户或者自己本身的上层应用程序提供服务。在ARP攻击中,攻击者通过主动的或者被动地向目标主机发送带有错误MAC地址的ARP应答包,将目标主机ARP缓存中的MAC地址全部更改为不存在的MAC地址。这样目标主机向外发送的所有以太网数据会丢失,使得上层应用忙于处理这些数据丢失所产生的异常而无法响应外来请求,导致目标主机产生拒绝服务。

拒绝服务攻击的一种延伸方式就是克隆攻击。攻击者首先利用拒绝服务攻击使得目标主机无法提供服务,然后利用自己的另外一台计算机,将它的IP地址和MAC地址修改为目标主机的IP地址和MAC地址,成为目标主机的“克隆”,从而将所有与目标主机的通信都截获下来,达到窃取信息的目的。当然,克隆攻击的能够实现的一个前提条件是使对目标主机实施持续的拒绝服务攻击。

3 ARP攻击的防御方法

网络遭受ARP攻击后经常会导致严重的后果,轻者网络不畅,重者会导致整个局域网的瘫痪。因此针对ARP攻击的特性,对ARP攻击的防范应该从以下几个方面加以考虑:

1)单个主机的防范策略。单个主机要安装杀毒软件并定期升级病毒库、及时下载安装操作系统补丁程序、关闭一些不使用的服务、使用个人防火墙等,除了这些防范一般性病毒和攻击的措施之外,针对ARP攻击,还需要考虑以下措施:

(1)设置静态ARP缓存,即利用arp-s命令在各主机上绑定网关的IP和MAC地址。采用静态缓存,主机在与其他计算机通信时,只要在自己的静态缓存中根据对方IP地址找到相应的MAC地址,然后直接发送给对方。攻击者若向主机发送ARP应答,目标主机也不会刷新ARP缓存,从而避免了ARP欺骗的发生。

(2)关闭ARP动态更新功能。除非很有必要,否则停止使用ARP,将ARP作为永久条目保存在对应表中。

(3)安装Anti Arp Sniffer、Arp Kill等软件,用来防止ARP攻击。

2)网络管理的防范策略。

(1)在网络中的交换机或者路由器中,绑定网络中各主机的IP地址和MAC地址。

(2)使用ARP服务器。即在局域网内部的设置一台机器作为ARP服务器,专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录。当有ARP请求时,该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求,从而防止了ARP欺骗攻击的发生。当然,采用这种方式的非常重要的环节是必须采取可靠的措施首先确保该ARP服务器的安全。

(3)采用VLAN技术隔离端口。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN,这样既能够在发生ARP攻击时减少所影响的网络范围,又能够在发生ARP攻击时便于定位出现的网段和具体的主机。

(4)在网络中使用监测软件,对于网内频繁向网关或者其他机器发送ARP数据包疑似染毒的主机,为了保证网络的整体安全,应立即封掉该主机端口并通知机主,直到其确已杀毒再行开通。

(5)若发现局域网中发生了ARP攻击,应首先定位ARP攻击的源头,比如利用ARPKiller扫描网内有哪些机器的网卡是处于混杂模式,这些机器就有可能就是源头。定位好主机后,将这些机器断开网络,进行反病毒处理,清除病毒后再连入网络。

4 结束语

通过上面的分析,可以看到ARP攻击产生的根源在于ARP协议自身的缺陷。通过采用上述的各种防御措施,能够在一定程度上对ARP攻击起到抑制作用,保障局域网络的正常通信。但是要想从根本上解决这一问题,使用考虑更为全面的下一代IPv6协议无疑是最佳方式之一。随着网络技术的发展,IPv6必将取代IPv4,消除由于IPv4标准的协议的体系结构考虑不够全面的问题,从根本上消除ARP欺骗的根源。目前,防范ARP攻击的措施重点在于预防,这样才能确保局域网的稳定运行。

摘要：该文首先对ARP协议进行了简单的介绍,然后分析了ARP协议所存在的安全问题及由此产生的两种攻击形式,最后提出了防范ARP攻击的一些具体方法。

关键词：ARP,中间人攻击,拒绝服务攻击,VLAN

参考文献

[1]谢希仁.计算机网络[M].4版.北京:电子工业出版社,2003.

[2]陈英,马洪涛.局域网内ARP协议攻击及解决办法[J].中国安全科学学报,2007,17(7):126-131.

[3]陆余良,张永,刘克胜,等.ARP协议在局域网类型探测中的应用[J].计算机工程,2004,30(1):199-201.

[4]王坚,梁海军.ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008(2):99-101.

ARP攻击原理 篇6

1 ARP协议

ARP协议即地址解析协议,英文全称Address Resolution Protocol,是TCP/IP协议中用来解析网络节点地址的底层协议。它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。地址解析是限于在一个网络内进行的本地行为,只有在两台计算机都连在同一物理网络中的情况下,一台计算机才能解析另一台计算机的地址。为了解释ARP协议的作用,就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。

假设我们的计算机IP地址是10.10.10.1,要执行一个命令:ping10.10.10.2.该命令会通过ICMP协议发送数据包,这个过程要经过下面几个步骤:

1)应用程序构造数据包,该例子是产生ICMP包,被提交给内核(网络驱动程序);

2)内核检查是否能够转化该IP地址为MAC地址,也就是在本地的ARP缓存表中查看IP-MAC对应表;

3)如果在该表中存在对应关系,则将IP地址转化为MAC地址,然后封装在以太网头结构中,再把数据发送出去;

4)如果在该表中不存在对应关系,内核会进行ARP广播,目的地的MAC地址是FF-FF-FF-FF-FF-FF,ARP命令类型为RE-QUEST,其中包含有自己的MAC地址;当10.10.10.2的主机接收到该ARP请求后,就发送一个ARP的REPLY命令,其中包含自己的MAC地址;本地获得10.10.10.2主机的IP-MAC地址对应关系,并保存到ARP缓存中。

使用arp–a命令可以查看本地的ARP缓存内容。所以,执行一个PING命令后,ARP缓存中就存在一个目的IP的记录了。当然我所说的前提是数据包在同一网段内的传输,如果你的数据包是发送到不同网段的目的地,那么就一定存在一条网关的IP-MAC地址对应记录。

由此可见,数据包的传送是很依赖ARP协议的,准确的说是ARP缓存表。

2 ARP欺骗攻击原理分析

基于以上的ARP协议工作流程,我们不难发现ARP欺骗攻击的关键就是对ARP缓存表的欺骗。

我们先来看看在同一网段下的ARP欺骗:如图1所示,三台主机。

一个位于主机B的入侵者想非法进入主机A,可是主机A上装有防火墙,当得知主机A的防火墙对主机C有信任关系,开放了23端口(telnet),那么主机B就会想办法通过telnet进入主机A。首先,入侵者必须让主机A相信主机B就是主机C,在主机C当掉的同时,主机B以10.10.10.3的IP地址通过23端口telnet到主机A上。成功绕过防火墙的限制。可是网络内部,两台主机之间的信任关系往往是建立在硬件地址基础上的,这个时候就要用到ARP欺骗的手段让主机A把自己的缓存表中关于10.10.10.3映射的硬件地址改为主机B的硬件地址。我们可以人为的制造一个arp_repla响应包,发送给想要欺骗的主机A,当主机A收到这个响应后就会对自己的缓存表进行修改来添加这个“新”的映射关系,这样你就成功伪装成了主机C,接下来你就可以和主机A之间通过telnet进行正常的通信了。在这个过程中你所需要做的工作就是等待时机,当主机C在网络中停止工作后,入侵者将自己的IP改为10.10.10.3,然后通过工具伪造一个源IP地址为10.10.10.3源MAC地址为bb-bb-bb-bb-bb-bb的响应包给主机A,要求主机A更新自己的ARP表,当新的映射对应关系建立后,防火墙就失效了,把你当做它所信任的主机C来对待了。

如图2,不同网段的ARP欺骗:同样的环境下,三台主机。

主机B的网段是10.10.20的话如何对主机A进行欺骗呢?如果还是用上面的方法的话,显然是行不通的,这里涉及到路由的问题,路由器不会把主机A发给主机B的包发出去,而是停留在了10.10.10的网段,直到被丢弃。因此,当这样一种情况下时,我们就要用到ICMP重定向。把ARP欺骗和ICMP重定向结合起来就可以实现跨网段欺骗了。

ICMP重定向是ICMP控制报文中的一种,它的作用是在特定的情况下,当路由器检测到网络中有一台机器使用的路由并非最优路由时,它会向该机器发送一个ICMP重定向报文,告诉这台机器改变路由。路由器也会把初使数据报向它的目的地转发。

在实施欺骗前,为了让伪造的IP包能够在网络上多存活久一点,我们要对IP包的生存时间TTL进行一下修改,TTL=255。(TTL定义了一个数据包在网络上存活的时间,在规定的时间内,如果数据包还未找到目的地则将被丢弃。)还是同样的等待时机,当主机C停止工作后,该网络中的主机A找不到原来的10.10.10.3了,将更新自己的ARP对应表,这个时候我们发送这个源IP地址为10.10.10.3MAC地址为bb-bb-bb-bb-bb-bb的ARP响应包,这下主机A就知道了新的MAC地址对应10.10.10.3了,ARP欺骗完成。但是,主机A只会在10.10.10的网段寻找这个地址,而不会把这个数据包交给路由。于是我们还要伪造一个ICMP的重定向广播,告知主机A,到10.10.10.3的最优路径不是在10.10.10的网段,而是交给路由,请主机A重定向你的路由路径。主机A接到这个重定向报文后,于是修改自己的路由路径,把所有去往10.10.10.3的包都交给路由器。这样主机B就能在10.10.20的网段收到来自主机A的数据包了。

其实上面这种情况只是一种理想化的方法,真正实现起来是非常困难的,因为在TCP/IP协议中关于ICMP重定向报文有许多的限制,要实现ICMP的欺骗需要做其他大量的排除限制工作,这又涉及到其他的网络攻击手段,在这就不做叙述了,但是我们已经知道了对于不同网段之间的ARP欺骗原理。基于这些原理,我们可以做到很好的防范措施来阻止ARP欺骗在你的网络里蔓延。

3 ARP欺骗防范措施

通过上面的讲述,我们可以看到ARP协议的的缺陷所在:ARP协议是建立在信任局域网内所有节点的基础之上,本身不会对请求包和响应包进行验证核实,只要收到目的MAC是自己的ARP响应包或请求包,都会接收并存入自己的缓存表。ARP欺骗攻击主要就是利用了ARP协议自身的漏洞,在日常的维护中我们可以通过一些措施来提高网络的安全性。通常可以从网络设备端和用户端两个方面对ARP攻击进行防范。

网络设备端的防范措施有:

1)在三层交换机上实时监控用户的IP-MAC对应表,当用户的MAC地址发生了变化,就在交换机上禁止这个MAC地址的通讯数据。也可以在二层交换机上实现MAC控制功能。限制用户端接口上最大可以上传的MAC数量,限制单个端口所连接MAC地址的数目,可以控制整个二层交换机CAM表长度,可以防止ARP病毒攻击。对超过额定数量的MAC地址进行禁止和报警处理。

2)在交换机上做IP+MAC+端口的绑定,端口的绑定大大降低了ARP欺骗的可行性,伪造包就是伪装得再逼真也无法通过被欺骗机器所接入的端口。

3)将交换机上的VLAN进一步划小。由于ARP报文是一种广播报文,它只能在一个广播域内传输通过VLAN技术可以隔离广播域。将交换机上每一个用户的端口对应一个单独的VLAN,隔离被欺骗的用户,减小ARP攻击对其它用户的影响。

用户端计算机的防范措施有:

1)为计算机安装杀毒软件如并设置为每天定时自动更新,及时更新病毒库;安装ARP防火墙,对计算机进行实时监控;通过WindowsUpdate为系统下载安装最新的补丁程序。

2)静态ARP缓存表,每台主机都有一个IP-MAC对应表,使用静态的ARP绑定正确的MAC是一个有效的方法;

3)关闭一些不需要的服务,关闭一些没有必要的共享,包括C$、D$等管理共享,关闭一些用不上的通讯端口;

4)编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,内容如下:

arp-d

arp-s网关IP网关MAC

将此批处理文件拖到“开始—程序—启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件。

(5)ARP高速缓存超时设置。在ARP高速缓存中的表项一般都要设置超时值,缩短这个超时值可以有效的防止ARP表的溢出。

4 结束语

ARP本身并不能造成多大的危害,一旦被结合利用,其危险性就不可估量。由于ARP的漏洞所在,对ARP攻击的防范也很被动,我们只有提高防范意识,密切监控网络运行情况,及时对病毒进行查杀,才能保障网络的安全畅通。

参考文献

[1]赵晓峰.园区网ARP欺骗攻击防御模式设计与实现[J].计算机技术与发展,2007.

[2]邓岳.ARP病毒防范初探[J].电脑知识与技术,2007.

[3]李英.浅析ARP协议及欺骗原理.中国科技信息,2007.

[4]Douglas E.Comer.计算机网络与因特网[M].林生,译.北京:清华大学出版社,2005.

ARP攻击原理 篇7

关键词：ARP协议,ARP攻击

1、ARP协议简介

ARP, 全称Address Resolution Protocol, 中文名为地址解析协议, 它工作在数据链路层, 在本层和硬件接口联系, 同时对上层提供服务。

2、ARP和RARP报头结构

A R P和R A R P使用相同的报头结构, 如图1所示。

硬件类型字段:指明了发送方想知道的硬件接口类型, 以太网的值为1;

协议类型字段:指明了发送方提供的高层协议类型, IP为0800 (16进制) ;

硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度, 这样ARP报文就可以在任意硬件和任意协议的网络中使用;

操作字段:用来表示这个报文的类型, ARP请求为1, ARP响应为2, RARP请求为3, R A R P响应为4;

发送方的硬件地址 (0-3字节) :源主机硬件地址的前3个字节;

发送方的硬件地址 (4-5字节) :源主机硬件地址的后3个字节;

发送方IP (0-1字节) :源主机硬件地址的前2个字节;

发送方IP (2-3字节) :源主机硬件地址的后2个字节;

目的硬件地址 (0-1字节) :目的主机硬件地址的前2个字节;

目的硬件地址 (2-5字节) :目的主机硬件地址的后4个字节;

目的IP (0-3字节) :目的主机的IP地址。

3、ARP的工作原理

3.1. 首先, 每台主机都会在自己的

ARP缓冲区 (ARP Cache) 中建立一个ARP列表, 以表示IP地址和MAC地址的对应关系。

3.2. 当源主机需要将一个数据包要发

送到目的主机时, 会首先检查自己A R P列表中是否存在该IP地址对应的MAC地址, 如果有﹐就直接将数据包发送到这个M A C地址;如果没有, 就向本地网段发起一个ARP请求的广播包, 查询此目的主机对应的M A C地址。此A R P请求数据包里包括源主机的IP地址、硬件地址以及目的主机的IP地址。

3.3. 网络中所有的主机收到这个ARP

请求后, 会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同, 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中, 如果ARP表中已经存在该IP的信息, 则将其覆盖, 然后给源主机发送一个ARP响应数据包, 告诉对方自己是它需要查找的M A C地址;

3.4. 源主机收到这个ARP响应数据

包后, 将得到的目的主机的I P地址和M A C地址添加到自己的A R P列表中, 并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包, 表示ARP查询失败。

4、ARP通讯模式

通讯模式 (Pattern Analysis) :在网络分析中, 通讯模式的分析是很重要的, 不同的协议和不同的应用都会有不同的通讯模式。更有些时候, 相同的协议在不同的企业应用中也会出现不同的通讯模式。A R P在正常情况下的通讯模式应该是:请求->应答->请求->应答, 也就是一问一答。

5、ARP常见攻击类型

常见的A R P攻击为两种类型:A R P扫描和A R P欺骗。

5.1 ARP扫描 (ARP请求风暴)

通讯模式 (可能) :

请求->请求->请求->请求->请求->请求->应答->请求->请求->请求...

描述:

网络中出现大量A R P请求广播包, 几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;A R P扫描一般为A R P攻击的前奏。

5.2 ARP欺骗

A R P协议并不只在发送了A R P请求才接收A R P应答。当计算机接收到A R P应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在A R P缓存中。所以在网络中, 有人发送一个自己伪造的ARP应答, 网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!

6、解决的办法

6.1 采用双向绑定的方法解决并且防止A R P欺骗

在PC上绑定安全网关的IP和MAC地址:

首先, 获得安全网关的M A C地址 (例如:网关地址192.168.16.254的MAC地址为0022aa0022aa)

编写一个批处理文件arp.bat内容如下:

将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

将这个批处理软件拖到系统的启动项中。Windows XP的默认启动目录为“C:Documents and SettingsAll Users「开始」菜单程序启动”

在安全网关上绑定用户主机的I P和M A C地址:

由于防火墙或路由器的品牌不一致, 设置方法也不尽相同, 可以根据说明书或在网上查找来实现M A C的绑定。注意:家用或小型防火墙 (路由器) 的M A C和IP绑定基本是受限制的, 一些企业级的防火墙路由器实现起来会好一些。

6.2 通过安装ARP防火墙防范ARP攻击

ARP防火墙在操作系统内核层拦截虚假的ARP数据包, 保证本主机获取的网关M A C是正确的, 不受虚假A R P数据包影响。同时, ARP防火墙的主动防御功能, 可向网关通告本主机的正确M A C地址, 保证网关获取到的本主机M A C是正确的。

6.3 通过可防御ARP攻击的三层交换机防止ARP攻击解决方案

使用可防御ARP攻击的三层交换机, 绑定端口-MAC-IP, 限制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分V L A N, 可彻底阻止盗用I P、M A C地址, 杜绝A R P的攻击。限于篇幅并结合实际工作, 笔者以H3C公司推出了全面有效的ARP攻击防御解决方案为样板, 介绍如何利用交换机防御ARP攻击。

结束语

网络欺骗攻击作为一种非常专业化的攻击手段, 给网络安全管理者带来了严峻的考验。ARP欺骗是一种典型的欺骗攻击类型, 它利用了ARP协议存在的安全隐患, 并使用一些专门的攻击工具, 使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理, 探讨了ARP协议从IP地址到MAC地址解析过程中的安全性, 给出了网段内和跨网段ARP欺骗的实现过程, 提出了几种常规可行的解决方案, 如在用户计算机上绑定交换机网关的IP地址和MAC地址、在交换机上绑定用户主机的IP地址和网卡的MAC地址或绑定用户计算机网卡的M A C地址和交换机端口、VLAN隔离等技术。如果多种方案配合使用, 就可以最大限度的杜绝ARP欺骗攻击的出现。总之, 对于ARP欺骗的网络攻击, 不仅需要用户自身做好防范工作之外, 更需要网络管理员应该时刻保持高度警惕, 并不断跟踪防范欺骗类攻击的最新技术, 做到防患于未然。

参考文献

[1] 邓清华, 陈松乔.ARP欺骗攻击及其防范[J].微机 发展.2004, 14 (8) :126-128.

[3] 徐功文, 陈曙, 时研会.ARP协议攻击原理及其防范措施[J]. 网络与信息安全.2005, (1) :4-6.

[4] 张海燕.ARP漏洞及其防范技术[J].网络安全.2005, (4) :40-42.

ARP攻击原理 篇8

一、什么是ARP

首先解释一下什么是ARP,ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行,ARP对网络安全具有重要的意义。

二、ARP攻击原理

ARP类型的攻击最早用于盗取密码之用,网内中毒电脑伪装成路由器,盗取用户的密码,后来发展成内藏在软件里,扰乱其他局域网用户正常的网络通信。

ARP攻击的病毒软件即是利用ARP查询时,提供自己的MAC地址,造成部份计算机的ARP表错误。另一种攻击方式是伪造错误的网关地址。ARP攻击者首先建立一个假的网关,只要有计算机询问网关的ARP封包,它就会打自己伪造的MAC地址发给请求主机,让计算机收到错误的MAC地址,被它欺骗的主机会向假的网关发送数据包,而不是通过正常的路由途径上网。对PC使用者而言,造成网络无法正常使用的现象。

三、ARP攻击发作的原因及症状

ARP攻击的出现主要原因:一是人为破坏,主要是内网有人安装了P2P监控软件,或者进行内网DDOS攻击。二是木马病毒,内含一些木马程序,也会引起ARP欺骗。

受到ARP攻击时表现为局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常。网速时快时慢,极其不稳定。

四、ARP欺骗的危害

目前校园网内的计算机所感染的“ARP欺骗”系列病毒已经有了几十个变种。其中“ARP欺骗”和“恶意窃听”两类对学校局域网的正常运行和网络用户的信息安全的威胁最大。

ARP攻击只要一开始就造成局域网内计算机无法和其他计算机进行通讯,而且网络对此种病毒没有任何耐受度,只要局域网中存在一台感染“ARP欺骗”病毒的计算机将会造成整个局域网通讯中断。

“恶意窃听”病毒是“ARP欺骗”系列病毒中影响和危害最为恶劣的。它不会造成局域网的中断,仅仅会使网络产生较大的延时,但是中毒主机会截取局域网内所有的通讯数据,并向特定的外网用户发送所截获的数据,对局域网用户的网络使用造成非常严重的影响,直接威胁着局域网用户自身的信息安全。

五、常用的防范方法

目前ARP系列的攻击方式和手段多种多样,因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库,以最大限度的防范病毒和木马的袭击。此外,正确使用U盘等移动存储设备,防止通过校外计算机传播病毒和木马。

1、静态绑定

ARP欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们做好IP-MAC地址的绑定工作,可以解决对内网PC的欺骗。这是局域网免疫ARP攻击侵扰的好办法。缺点是每台电脑都需绑定,且重启后任需重新绑定,这里可以通过批处理文件来实现绑定。

方法是:在C盘建一个批处理文件如:arp.bat,里边写上

@echo off

arp-d

arp-s网关IP地址网关MAC地址

例如:arp-s 10.2.3.252 00-1a-de-c2-c6-39

将其放到系统的启动项中。程序随系统的启动而加载,就可以免除因为ARP映射信息丢失的困扰了。(可以在网络正常的时侯,通过ipconfig和arp-a命令查到网关的地址及MAC地址。)

2、使用防护软件

ARP防火墙采用系统内核层拦截技术和主动防御技术,可解决大部分欺骗、ARP攻击带来的问题,从而保证通讯安全(保障通讯数据不被网管软件/恶意软件监听和控制)、保证网络畅通。

目前关于ARP类的防护软件出的比较多,我们可以选择一个,如:Anti ARP,360安全卫士也带有ARP防火墙功能。

网络为我们提供了丰富和信息和资源,是我们工作学习不可缺少的,让我们提高安全意识,加强防范,共同营造一个安全畅通的网络环境。

参考文献

[1]吴功宜.计算机网络(第2版)[M].清化大学出版社2007.

局域网中ARP攻击与防御 篇9

摘要：本篇文章针对企业用户、校园用户和网吧等，对局域网中频繁发生的ARP欺骗基本原理进行分析介绍，并通过实例加以解释，同时介绍常见的ARP欺骗和攻击方式，并且从IP与MAC绑定、网关等多个方面提出几点关于如何防御ARP攻击的方法，加强安全防范措施，以达到维护局域网络安全的目的。

关键词：地址解析协议；介质访问控制；网络安全

引言

由于近期单位的局域网运行不稳定，联网计算机出现频繁掉线的现象。严重影响了用户网络化办公。经过对硬件检测后，断定是ARP病毒在捣鬼!这种病毒是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段，有效的防范ARP形式的网络攻击已成为确保网络畅通的必要条件。

感染此木马的计算机试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为有时候无法正常上网，有时候又好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址对应，还有就是一个MAC地址对应多个IP的情况，也会出现注销或重新启动计算机又可恢复上网的情况。这种木马危害也很大。各公司网、校园网和网吧等局域网都出现了不同程度的灾情。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网无法上网，严重的可能带来整个网络的瘫痪，对网络管理带来潜在的危害。此外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的，而且它发的是ARP报文，具有一定的隐秘性。给用户造成了很大的不便和巨大的经济损失。

1ARP欺骗的原理

首先给大家说说什么是ARP，ARP(Ad-dress Resolution Protocol)是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层(IP层，也就是相当于OSI的第三层)地址解析为数据连接层(MAC层，也就是相当于OSI的第二层)的MAC地址。

ARP原理：假设这样一个网络，一个Hub接了3台机器：HostA、HostB、HostC，其中：

HostA的地址为：IP:192.168.10.1，MAC：AA-AA-AA-AA-AA-AA

HostB的地址为：IP:192.168.10.2.MAC：BB-BB-BB-BB-BB-BB

HostC的地址为：IP：192，168，10，3，MAC：CC-CC-CC-CC-CC-CC

正常情况下，HostC:arp-a

Interface：192.168.10.1onInterface0x1000003

Internet Address Physical Address Type，192.168.10.3CC-CC-CC-CC-CC-CCdynamic

现在假设HostB开始了罪恶的ARP欺骗：

HostB向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD MAC地址，没有和犯罪分子B相关的证据，哈哈。这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了：

C：＞arp-a

Interface：192.168.10.1onInterface 0×1000003

Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

这样局域网的网络流通可不是根据IP地址进行，而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3，网卡递交的MAC地址是DD-DD-DD-DD-DD-DD，结果是什么呢?网络不通，A根本不能Ping通C!

所以，局域网中一台机器反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包，严重的网络堵塞就开始了!

2ARP欺骗和攻击的方式

ARP攻击，是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。主要有以盗取数据为主要目的的ARP欺骗攻击，还有以捣乱破坏为目的的ARP泛洪攻击两种。针对这两种主要攻击方式，本文作者又细分为以下几种ARP攻击类型：

2.1ARP欺骗攻击

2.1.1DoS(Denial of Service)中文为拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求，从而不能对外提供服务的攻击方法。如果攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的地址，那么目标主机向外发送的所有以太网数据帧会丢失，使得上层应用忙于处理这种异常而无法响应的外来请求，也就导致目标主机产生拒绝服务。

2.1.2中间人攻击：中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间，使他的主机如同两个目标主机通信路径上的一个中继，这样攻击者就可以监听两个目标主机之间的通信。例如局域网内的三台机子A、S、D，现在A要监听S与D之间的通信。攻击过程如下：A侵染目标主机S与D的ARP缓存。使得S向D发送数据时，使用的是D的IP地址与A的MAC地址，并且D向S发送数据时，使用的是S的IP地址与A的MAC地址，因此所有S与D之间的数据都将经过A，再由A转发给他们。

如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击，那么攻击者就可以截取Internet与这个目标主机之间的全部通信。

2.1.3多主机欺骗：篡改被攻击主机群中关于网络内某一台主机×的ARP记录，被攻击的主机群为网络中的多台主机而非一台主机。主机X为网关或网络内任何一台非网关的正在运行主机。被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。

T时刻，主机A关于主机×的ARP记京

被篡改；

T+N时刻，主机B关于主机×的ARF记录被篡改；

……

T+M时刻，主机Z关于主机×的ARP记录被篡改。

例如：当攻击主机要仿冒网关就会向局域网内的主机群发送ARP数据包，以自身MAC地址来冒充真正的网关，使受骗主机群的ARP缓冲区的MAC地址错误地更新为攻击源的MAC地址，导致受骗主机群向假网关发送通信信息，而不是通过路由器或交换途径寻找真正的网关并发送通信信息。这时攻击主机可以把自己设置成一台路由器负责对数据包转发，从而达到仿冒网关的目的。这是一种比较常见的欺骗形式，这种欺骗方式可以控制同一网关下的所有主机对网络的访问。网吧内经常发生游戏密码被盗现象就是因为遭受到仿冒网关的ARP攻击。

2.1.4全子网轮询欺骗：篡改被攻击主机X中关于网络内多台主机的ARP记录，这台被攻击的主机为网关或网络内任何一台非网关的主机。被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAC地址。

T时刻，主机×关于主机A的ARP记录被篡改；

T+N时刻，主机×关于主机B的ARP记录被篡改；

……

T+M时刻，主机×关于主机Z的ARP记录被篡改。

2.1.5网络监听：攻击主机利用上述多主机欺骗来仿冒网关，利用全子网轮询欺骗来篡改真正网关上关于局域网内所有主机的ARP缓存记录，从而实现对局域网内所有主机同外部网的通信进行监听。实现了在交换式网络环境中对网络通信的监听。

2.2IP地址冲突攻击

制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于windows操作系统，只要接收到一个ARP数据包，不管该ARP数据包符不符合要求，只要该ARP数据包所记录的源IP地址同本地主机相同但MAC地址不同，windows系统就会弹出IP地址冲突的警告对话框。根据IP地址冲突的攻击特征描述，这种类型的ARP攻击主要有以下几种：

2.2.1单播型的IP地址冲突：链路层所记录的目的物理地址为被攻击主机的物理地址，这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收，实现隐蔽式攻击。

2.2.2广播型的IP地址冲突：链路层所记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接收到该ARP数据包，虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址，但是由于该ARP数据包为广播数据包，这样受攻击主机也会接收到从而弹出IP地址冲突的警告对话框。

2.3ARP泛洪攻击

攻击主机持续把伪造的MAC-iP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含：

2.3.1通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据包耗尽网络带宽。

2.3.2令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。

2.3.3用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的。属于损人不利己的行为。

2.4ARP溢出攻击

ARP溢出攻击的特征主要有：

2.4.1所发送的伪造MAC-IP映射对的IP地址是非本地网的虚拟不存在的IP地址，但MAC地址是固定的，当操作系统接收到一个源IP地址在ARP高速缓存表中不存在的ARP数据包时，就会在缓存表中创建一个对应MAC-IP的入口项。

2.4.2所发送的伪造MAC-IP映射对的lP地址是非本地网的虚拟不存在的IP地址，而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表，将各端口和端口所连接主机的MAC地址的对应关系进行记录，因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包，就会破坏端口与MAC的对应关系，并导致CAM表溢出。在这种情形之下，缺少防范措施的交换机就会以广播的模式处理报文，形成泛洪向所有接口转发通信信息流。最终使得交换机变成HUB，将交换式的网络变成广播式的网络，使得网络带宽急剧下降。

2.5ARP扫描攻击

向局域网内的所有主机发送ARP请求，从而获得正在运行主机的IP和MAC地址映射对。ARP扫描往往是为发动ARP攻击做准备。攻击源通过ARP扫描来获得所要攻击主机的IP和MAC地址。从而为网络监听、盗取用户数据、实现隐蔽式攻击做准备。

2.6虚拟主机攻击

通过在网络内虚拟构建网卡，将自己虚拟成网络内的一台主机，拥有虚拟的物理地址和IP地址。主要是通过在链路层捕获所有流经的ARP请求数据包进行分析，若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应，并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的IP地址资源，使得正常运行的主机发生IP地址冲突，并且局域网内的主机也无法正常获得IP地址。

3ARP欺骗和攻击的防范措施

3.1建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择X.X.X.2，把X.X.X.1留空，如果犯罪程序愚蠢的话，让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，一定要保持网内的机器IP／MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的lP地址都是一样的。

3.2建立IP、MAC数据库，把局域网内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

3.3网关机器关闭ARP动态刷新的过程，使用静态路由，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

3.4网关监听网络安全

ARP攻击原理 篇10

随着信息网络在企业中应用范围不断扩大, 对信息网络的攻击与破坏的行为也越来越多。ARP协议对信息网络安全具有非常重要的意义, 通过伪造MAC和IP地址和进行ARP欺骗, 可以使信息网络中的终端经常掉线或大面积的网络中断, 威胁企业局域网的安全运行。本文对企业信息网络管理者如何熟悉ARP协议和掌握防范网络攻击作一阐述。

2. ARP欺骗攻击方式

2.1 ARP欺骗攻击原理

假设局域网内有以下三台主机的主机名、IP地址、MAC地址分别如下:

在正常情况下, 当主机A与主机B之间的数据通信时, 主机A与主机B之间的数据流向以及它们各自的ARP缓存表如下:

主机A的ARP缓存表中:

主机B的ARP缓存表中:

当主机C出现, 并实施ARP欺骗攻击。主机C首先向主机B发送了一个ARP数据包, 作用相当于告诉主机B:“嘿, 我是192.168.0.1, 我的MAC地址是03-03-03-03-03-03”, 接着他也向主机A发送了一个ARP数据包, 作用相当于告诉主机A:“嘿, 我是192.168.0.2, 我的MAC地址是03-03-03-03-03-03”。于是, 主机A与主机B之间的数据流向, 以及它们各自的ARP缓存表就变成如下所示:

主机A的ARP缓存表中:

主机B的ARP缓存表中:

从以上的现象可以看出, 主机C实施ARP欺骗后, 主机A和主机B之间的数据通信都将首先发送到主机C, 这就形成了ARP欺骗。

2.2 ARP欺骗攻击方式

ARP欺骗根据欺骗对象的不同可以分为三种:

⑴只欺骗受害主机。使攻击者可以监听一台或多台受害主机的通信, 从而获得私密信息。

⑵只欺骗路由器、网关。使受害主机无法对外提供服务。

⑶双向欺骗, 就是两种欺骗方法的同时使用。

3. 解决方案

采用DHCP Snooping模式的部署的ARP防御

典型组网

DHCP Snooping模式网络示意图部署思路

(1) 在接入交换机上开启DHCP snooping功能, 并配置与DHCP服务器相连的端口为DHCP snooping信任端口。

(2) 在接入交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP静态绑定表项。

(3) 在接入交换机对应VLAN上开启ARP入侵检测功能, 并配置该交换机的上行口为ARP信任端口。

(4) 在接入交换机的直接连接客户端的端口上配置ARP报文限速功能, 配置ARP报文过滤, 同时全局配置因ARP报文超速而被阻塞的时间。

4. 原因分析

4.1 ARP入侵检测机制

DHCP Snooping绑定表都被Dynamic ARP Inspection (DAI) 使用, 通过对所有的ARP请求数据包来源端口进行IP+MAC匹配检测, 交换机可以确定请求这是否是合法的用户, 如果用户不合法, 那么就会拒绝。同时对于一些特殊机器也可以通过使用手动添加ARP访问表的手段达到目的。DAI配置是针对VLAN操作, 同一VLAN可以自定义DAI的开启和关闭, 而其中某个端口的ARP请求报文数量也可以通过DAI控制。

我们为了防止ARP中间人的攻击, 通过三层接入交换机支持对收到的ARP报文判断合法性。那么这样做的原理是啥?因为三层接入交换机可以动态获取静态配置合法用户的IP+MAC对应关系。同时在收到用户通过网络发送过来的ARP报文的时候, 我们首先检查报文中的源IP地址和源MAC地址的绑定关系与所获取的合法用户IP+MAC对应关系表项是否匹配, 这样就可以轻松的判断该报文是否是合法的ARP报文。

通过过滤掉所有非法ARP报文的方式来实现所有ARP欺骗攻击。如下图:

ARP入侵检测功能示意图

4.2 动态IP地址分配环境的工作机制

交换机上的安全特性之一DHCP Snooping, 他指的是交换机上的信任端口和不信任端口, , 通过建立和维护DHCP Snooping绑定表, 对于不信任端口的DHCP报文进行截获和嗅探, 可以过滤掉不值得信任的信息和来自这些端口的不正常的DHCP报文。

如果当用户给动态IP地址进行分配环境的时候。接入交换机会对用户的IP地址申请过程自动进行监控, 这样就可以学习到合法用户IP+MAC之间的对应关系。据此可以依据该表项实现对合法ARP报文的确认和非法ARP报文的淘汰。当开通DHCP Snooping功能之后, 并接入交换机采取监听HCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。

DHCP Snooping表项中记录的主要信息一般包括如下内容:端口信息、客户端获取IP地址的类型、租约信息、分配给客户端的MAC地址、VLAN信息、客户端的IP地址, 如下图所示:

4.3 静态IP地址分配环境的工作机制

有一些不能够通过动态IP地址而得到的个别用户, 和部分服务器和打印机, 三层交换机一般也可以支持手工配置用户的IP+MAC相应联系, 从而能够形成静态合法用户的IP+MAC表项, 也就是用户的IP地址、MAC地址和连接用户的端口之间的绑定关系。

接入交换机可以依据配置的静态表项实现对合法ARP报文的确认, 和非法ARP报文的过滤。从而可以很好的解决静态IP地址分配环境下的部署问题。

4.4 ARP信任端口设置

在实际组网中, 交换机的上行口会接收其他设备的请求和应答的ARP报文, 这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题, 交换机支持通过配置ARP信任端口, 灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测, 对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。

4.5 Ip Source Guard

IP Source Guard一般都使用DHCP snooping绑定表信息, 同时并配置在交换机端口上, 通过检测所有经过定义端口的报文。检查流量的IP地址和MAC地址是否在DHCP snooping绑定表, 如果不在绑定表中则阻塞这些流量。

5. 结语

以上给出的ARP欺骗和攻击防御解决方案, 可以很好的解决企业网以及其它大型网络环境中的ARP欺骗和攻击问题。同时能根本解决大型网络中DHCP环境下ARP欺骗问题, 将ARP欺骗包发生源头控制, 使其在网络中无法泛滥。熟练掌握ARP欺骗问题的解决方法也是网络技术人员必备的技能之一。

摘要：目前企业基本都运用信息网络进行内部工作, 因此通过信息网络的攻击与破坏的行为也越来越多。本文提出开启交换机DHCPSnooping功能如何解决网络中ARP欺骗包。