CERNET 網絡應急響應組

鑒於目前ARP欺騙對局域網安全運行造成的影響,我們收集整理了這個ARP欺騙病毒的專題,希望 能給您的網絡安全運行帶來幫助!我們將從下面幾個方面來講解ARP欺騙病毒的原理及防治辦法: 1、什麼是ARP協議 要想了解ARP欺騙攻擊的原理，首先就要了解什麼是ARP協議。 ARP是地址轉換協議（Address Resolution Protocol）的英文縮寫，它是一個鏈路層協議，工作在OSI 模型的第二層，在本層和硬件接口間進行聯系，同時對上層（網絡層）提供服務。我們知道二層的以 太網交換設備並不能識別32位的IP地址，它們是以48位以太網地址（就是我們常說的MAC地址）傳輸 以太網數據包的。也就是說IP數據包在局域網內部傳輸時並不是靠IP地址而是靠MAC地址來識別目標 的，因此IP地址與MAC地址之間就必須存在一種對應關系，而ARP協議就是用來確定這種對應關系的 協議。ARP工作時，首先請求主機會發送出一個含有所希望到達的IP地址的以太網廣播數據包，然 後目標IP的所有者會以一個含有IP和MAC地址對的數據包應答請求主機。這樣請求主機就能獲得要 到達的IP地址對應的MAC地址，同時請求主機會將這個地址對放入自己的ARP表緩存起來，以節約不 必要的ARP通信。ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用（windows系 統這個時間為2分鐘，而Cisco路由器的這個時間為5分鐘），就會被刪除，這樣可以大大減少ARP緩 存表的長度，加快查詢速度。通過下面的例子我們可以很清楚的看出ARP的工作機制。

.

如上圖所示，假如我們有兩個網段、三台主機、兩個網關、分別是： 主機名 IP地址 MAC地址 網關1 192.168.1.1 01-01-01-01-01-01 主機A 192.168.1.2 02-02-02-02-02-02 主機B 192.168.1.3 03-03-03-03-03-03 網關2 10.1.1.1 04-04-04-04-04-04 主機C 10.1.1.2 05-05-05-05-05-05 假如主機A要與主機B通訊，它首先會通過網絡掩碼比對，確認出主機B是否在自己同一網段內，如果 在它就會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址，如果沒有它就會向局域 網的廣播地址發送ARP請求包，大致的意思是192.168.1.3的MAC地址是什麼請告訴192.168.1.2,而 廣播地址會把這個請求包廣播給局域網內的所有主機，但是只有192.168.1.3這台主機才會響應