【摘要】由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C!这就是一个简单的ARP欺骗。本文将对近期校园局域网种频繁发生的ARP欺骗基本原理进行介绍，并且通过网关 等实际生活中的例子加以解释，同时介绍几种常见的ARP欺骗和攻击方式，并且从客户端、 网关等多个方面提出关于如何防御ARP攻击的多种方法，以达到全面防御维护局域网络安全的目的。文章发表在《计算机工程与科学》上，是信息系统监理师论文发表范文，供同行参考。

　　关键词：地址解析协议，介质访问控制，网络安全

　　1. 引言

　　ARP(Address Resolution Protocol)是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址(注:此处物理地址并不一定指MAC地址)。

　　ARP欺骗是一种利用计算机病毒是计算机网络无法正常运行的计算机攻击手段。 近期，一种叫“ARP 欺骗”的木马病毒在校园网中扩散，严重影响了校园网的正常运行。

　　感染此木马的计算机试图通过“ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并 因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为：使用校园网时会突 然掉线，过一段时间后又会恢复正常。比如出现用户频繁断网，IE浏览器频繁出错等现象。 如果校园网需要通过身份认证的，会突然出现认证信息(无法ping通网关)。重启机器或在

　　MS-DOS窗口下运行命令arp -d后，又可恢复上网。这种木马危害也很大。各大学校园网、 公司网和网吧等局域网都出现了不同程度的灾情。ARP欺骗木马只需成功感染一台电脑，就 可能导致整个局域网无法上网，严重的可能带来整个网络的瘫痪。此外，此木马还会窃取用 户密码，如盗取QQ密码、网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法 交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

　　某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa)，请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

　　2. ARP与MAC

　　ARP(Address Resolution Protocol)[1]是地址解析协议的简称，是一种将 IP 地址转化为 物理地址的协议。在 OSI 网络参考模型的第二层(数据链路层)中，存在着两个子层：介 质访问控制(MAC)和逻辑链路控制(LLC)。由 MAC 子层提供的最广为认知的服务或许 就是它的地址了，就像以太网的地址一样。在以太网中，数据传输的目的地址和源地址的正 式名称是 MAC 地址。此地址大多数情况下是独一无二的固化到硬件设备上的，而 IP 地址 所要转化的物理地址就是 MAC 地址。[2]

　　在网络数据传输中实际传输的是“帧”(Frame)，它以比特流的方式通过传输介质传输出 去，其中帧里面就包含有所要传送的主机的 MAC 地址。在以太网中一台主机要同另一台主 机进行通信就必须要知道对方的 MAC 地址(就如同我们要给对方邮信一定要知道对方的地 址一样)。但是我们如何知道这个 MAC 地址呢?这时就用到了地址解析协议，所谓“地址 解析”就是主机在发送帧前将目标 IP 地址转换成目标 MAC 地址的过程。ARP 协议的基本功 能就是通过目标设备的 IP 地址，查询目标设备的 MAC 地址，以保证通信的顺利进行。

　　3. ARP 欺骗和攻击方式

　　3.1 简单的欺骗攻击

　　这种欺骗方式是指：欺骗主机通过发送伪造的 ARP 包来欺骗网关和目标主机，让目标 主机认为这是一个合法的主机。其中包括两种情况：

　　① 局域网主机冒充网关进行欺骗

　　欺骗过程如图 1 所示：当 PC_A 要与网关 GW_C 通讯时，首先要知道 GW_C 的 MAC 地址，如果局域网中另有一台主机 PC_B 冒充 GW_C 告诉 PC_A：GW_C 的 MAC 地址是 MAC B，那么 PC_A 就受骗了;或者直接告诉 PC_A：GW_C 的 MAC 地址是 PC_X，那么

　　ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。

　　就会如同我们邮寄信件时写错了地址，信件或者是发错了地方，或者是根本就发送不出去。

　　这样一来就会造成断线。

　　网络中通讯有一个前提条件，也就是必须满足通讯双方都能向对方传送数据才会确保正