企事业单位涉密网是一个完全独立于Internet的网络。对于这样的网络,来自Internet直接攻击的危害较小,其安全威胁主要来自于网络内部。其中最主要的是不明身份人员的设备,擅自连接到涉密网内窃取单位涉密信息,造成信息泄密事件。对于管理者来说,如果涉密网的非授权接入管理问题不能有效解决,涉密网就几乎处于一个不可控状态下,任何人都可以从网络的接口接入,通过盗用合法身份,进行非法活动,而网管人员却难以及时发现并进行有效的阻断。防止非授权接入如同给大门安装门禁,只有具有合法身份的人才能进入。ARP欺骗阻断是一种有效防止非授权接入涉密网的方法。
ARP协议是一种将IP地址转化成物理地址、用来确定IP地址与MAC地址之间存在一种对应关系的协议。ARP欺骗阻断的原理是在同一个网络中,计算机通过ARP协议由目标计算机的IP地址获得的目标计算机的MAC地址。每台计算机都有一个ARP缓存表,在正常的情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。若出现在ARP缓存表中所没有的IP地址或MAC地址,那么ARP缓存表的实现机制和ARP请求应答的机制就无法找到对应的IP地址或MAC地址,使其无法正常通信,从而达到阻断的目的。
例如,通过合法计算机B,伪造网关的MAC地址,并将伪造的网关MAC地址向非授权接入计算机A发送,直接欺骗非授权接入机,达到阻断其接入网络的目的。
ARP欺骗的阻断方式技术实现较简单,被目前国内大部分主机监控与审计产品提供商所采用,对局域网内未安装主机监控与审计客户端软件的计算机进行阻断。ARP欺骗的阻断范式跟网络设备的关联性比较小,对网络的适应性比较强,且均具有日志审计记录。