ARP協議的缺陷及ARP欺騙的防範

1、ARP協議工做原理

在TCP/IP協議中，每個網絡結點是用IP地址標識的，IP地址是一個邏輯地址。而在以太網中數據包是靠48位MAC地址（物理地址）尋址的。所以，必須創建IP地址與MAC地址之間的對應（映射）關係，ARP協議就是爲完成這個工做而設計的。

TCP/IP協議棧維護着一個ARP cache表，在構造網絡數據包時，首先從ARP表中找目標IP對應的MAC地址，若是找不到，就發一個ARP request廣播包，請求具備該IP地址的主機報告它的MAC地址，當收到目標IP全部者的ARP reply後，更新ARP cache.ARP cache有老化機制。

2、ARP協議的缺陷

ARP協議是創建在信任局域網內全部結點的基礎上的，它很高效，但卻不安全。它是無狀態的協議，不會檢查本身是否發過請求包，也無論（其實也不知道）是不是合法的應答，只要收到目標MAC是本身的ARP reply包或arp廣播包（包括ARP request和ARP reply），都會接受並緩存。這就爲ARP欺騙提供了可能，惡意節點能夠發佈虛假的ARP報文從而影響網內結點的通訊，甚至能夠作「中間人」。

3、常見ARP欺騙形式

一、假冒ARP reply包（單播）

XXX，I have IP YYY and my MAC is ZZZ！

二、假冒ARP reply包（廣播）

Hello everyone！ I have IP YYY and my MAC is ZZZ！

向全部人散佈虛假的IP/MAC

三、假冒ARP request（廣播）

I  have IP XXX and my MAC is YYY.

Who has IP ZZZ？ tell me please！

表面爲找IP ZZZ的MAC，實際是廣播虛假的IP、MAC映射（XXX，YYY）

四、假冒ARP request（單播）

已知IP ZZZ的MAC

Hello IP ZZZ！ I have IP  XXX and my MAC is YYY.

五、假冒中間人

欺騙主機（MAC爲MMM）上啓用包轉發

向主機AAA發假冒ARP Reply：

AAA，I have IP BBB and my MAC is MMM，

向主機BBB發假冒ARP Reply：

BBB，I have IP AAA and my MAC is MMM

因爲ARP Cache的老化機制，有時還須要作週期性連續欺騙。

4、ARP欺騙的防範

一、運營商可採用Super VLAN或PVLAN技術

所謂Super VLAN也叫VLAN聚合，這種技術在同一個子網中化出多個Sub VLAN，而將整個IP子網指定爲一個VLAN聚合（Super VLAN），全部的Sub VLAN都使用Super VLAN的默認網關IP地址，不一樣的Sub VLAN仍保留各自獨立的廣播域。子網中的全部主機只能與本身的默認網關通訊。若是將交換機或IP DSLAM設備的每一個端口化爲一個Sub VLAN，則實現了全部端口的隔離，也就避免了ARP欺騙。

PVLAN即私有VLAN（Private VLAN） ，PVLAN採用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。若是將交換機或IP DSLAM設備的每一個端口化爲一個（下層）VLAN，則實現了全部端口的隔離。

PVLAN和SuperVLAN技術均可以實現端口隔離，但實現方式、出發點不一樣。PVLAN是爲了節省VLAN，而SuperVlan的初衷是節省IP地址。

二、單位局域網可採用IP與MAC綁定

在PC上IP+MAC綁，網絡設備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補丁的win 2000/xp sp1（如今大多都已經打過了）等系統 使用arp -s所設置的靜態ARP項仍是會被ARP欺騙所改變。

若是網絡設備上只作IP+MAC綁定，其實也是不安全的，假如同一二層下的某臺機器發僞造的arp reply（源ip和源mac都填欲***的那臺機子的）給網關，仍是會形成網關把流量送到欺騙者所連的那個（物理）端口從而形成網絡不通。

對於採用了大量傻瓜交換機的局域網，用戶本身能夠採起支持arp過濾的防火牆等方法。推薦Look ‘n’Stop防火牆，支持arp協議規則自定義。

最後就是使用ARPGuard啦（才拉到正題上），但它只是保護主機和網關間的通信。

5、ARPGuard的原理

ARPGuard能夠保護主機和網關的通信不受ARP欺騙的影響。

一、第一次運行（或檢測到網關IP改變）時獲取網關對應的MAC地址，將網卡信息、網關IP、網關MAC等信息保存到配置文件中，其餘時候直接使用配置文件。

二、移去原默認路由（當前網卡的）

三、產生一個隨機IP，將它添加成默認網關。

四、默認網關IP 和網關的MAC綁定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項）

五、週期性檢測ARP Cache中原默認網關（不是隨機IP那個） 網關的MAC在ARP Cache的值是否被改寫，若被改寫就報警。

六、針對有些***程序只給網關設備（如路由器或三層交換機）發欺騙包的狀況。因爲此時本機ARP Cache中網關MAC並未被改變，所以只有主動防禦，即默認每秒發10個ARP reply包來維持網關設備的ARP Cache（可選）

七、程序結束時恢復默認網關和路由。

值得說明的是程序中限定了發包間隔不低於100ms，主要是怕過量的包對網絡設備形成負擔。若是你遭受的***太猛烈，你也能夠去掉這個限制，設定一個更小的數值，保證你的通信正常。