防止arp攻擊(防御arp攻擊)

arp攻擊與防范

　　如今互聯網的重要性越來越大，很多人也對一些知識很感興趣，那么你知道arp攻擊與防范嗎?下面是我整理的一些關于arp攻擊與防范的相關資料，供你參考。

　　arp攻擊與防范：

　　一、要想防患arp攻擊，那么我們要知道什么是arp?

　　ARP：地址解析協議，用于將32位的IP地址解析成48位的物理mac地址。

　　在以太網協議中，規定同一局域網中的主機相互通信，必須知道對方的物理地址(即mac地址)，而在tcp/ip協議中，網絡層和傳輸層只關心目標主機的ip地址。這就導致在以太網中使用IP協議時，數據鏈路層的以太網協議接到上層的IP協議提供的數據中，只包含目的主機的IP地址。所以就需要一種協議，根據目的的IP地址，獲得其mac地址。所以arp協議就應運而生。

　　另外，當發送主機和目的主機不在同一個局域網中時，即便知道目的主機的MAC地址，兩者也不能直接通信，必須經過路由轉發才可以。所以此時，發送主機通過ARP協議獲得的將不是目的主機的真實MAC地址，而是一臺可以通往局域網外的路由器的某個端口的MAC地址。于是此后發送主機發往目的主機的所有幀，都將發往該路由器，通過它向外發送。這種情況稱為ARP代理(ARP Proxy)。

　　二、arp攻擊的原理

　　ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

　　ARP攻擊主要是存在于局域網網絡中，局域網中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內 其它 計算機的通信信息，并因此造成網內其它計算機的通信故障。

　　三、什么是ARP欺騙

　　在局域網中，黑客 經過收到ARP Request廣播包，能夠偷聽到其它節點的 (IP, MAC) 地址, 黑客就偽裝為A，告訴B (受害者) 一個假地址，使得B在發送給A 的數據包都被黑客截取，而A, B 渾然不知。

　　四、arp的攻擊方式：

　　1、ip地址沖突

　　Arp病毒制造者制造出局域網上有另一臺主機與受害主機共享一個IP的假象。大量的攻擊數據包能令受害主機耗費大量的系統資源。

　　①單播型的IP地址沖突

　　數據鏈路層記錄的目的物理地址為被攻擊主機的物理地址，這樣使得該arp數據包只能被受攻擊主機所接收，而不被局域網內其他主機所接收，實現隱蔽式攻擊。

　　②廣播型的IP地址沖突

　　數據鏈路層記錄的目的物理地址為廣播地址，這樣使得局域網內的所有主機都會接收到該arp數據包，雖然該arp數據包所記錄的目的IP地址不是受攻擊主機的IP地址，但是由于該arp數據包為廣播數據包，這樣受攻擊主機也會收到。

　　2、arp泛洪攻擊

　　攻擊主機持續把偽造的mac-ip映射對發給受害的主機，對于局域網內的所有主機和網管進行廣播，搶占網絡帶寬和干擾正常通信。

　　3、arp掃描攻擊

　　Arp攻擊者向局域網發送arp請求，從而獲得正在運行主機的IP和MAC地址的映射對。攻擊源通過對arp掃描獲得所要攻擊的IP和mac地址，從而為網絡監聽、盜取用戶數據，實現隱蔽式攻擊做準備。

　　4、虛擬主機攻擊

　　黑客通過在網絡內虛擬構建網卡，將自己虛擬成網絡內的一臺主機，擁有虛擬的物理地址和IP地址。使得占用局域網內的IP地址資源，使得正常運行的主機會發生IP地址沖突，并且大量的虛擬主機攻擊會使得局域網內的主機無法正常獲得IP地址。

　　5、ARP欺騙攻擊

　　目的是向目標主機發送偽造的arp應答，并使目標主機接收應答中的IP與MAC間的映射，并以此更新目標主機緩存。從而影響鏈接暢通。其方式有：冒充主機欺騙網關，原理是截獲網關數據和冒充網關欺騙主機，原理是偽造網關。

　　五、arp攻擊防患 措施

　　1、在客戶端靜態綁定IP地址和MAC地址

　　進入命令行arp –a命令查看，獲取本機的網關IP地址和網關mac地址

　　編寫一個批處理內容為：

　　@echo off

　　arp -d

　　arp –s 網關的IP地址 自己的mac地址

　　保存放置到開機啟動項里

　　2、設置arp服務器

　　指定局域網內部的一臺機器作為arp服務器，專門保存且維護可信范圍內的所有主機的IP地址與mac地址的映射記錄。該服務器通過查閱自己的arp緩存的靜態記錄，并以被查詢主機的名義相應局域網內部的arp請求，同時設置局域網內部其他主機只是用來自arp服務器的arp響應。

　　3、交換機端口設置

　　通過劃分VLAN和交換機端口綁定，以圖防范ARP，也是常用的防范 方法 。做法是細致地劃分VLAN，減小廣播域的范圍，使ARP在小范圍內起作用，而不至于發生大面積影響。同時，一些網管交換機具有MAC地址學習的功能，學習完成后，再關閉這個功能，就可以把對應的MAC和端口進行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中被截獲數據的風險解除了。這種方法確實能起到一定的作用。

　　不過，VLAN和交換機端口綁定的問題在于：

　　①沒有對網關的任何保護，不管如何細分VLAN，網關一旦被攻擊，照樣會造成全網上網的掉線和癱瘓。

　　②把每一臺電腦都牢牢地固定在一個交換機端口上，這種管理太死板了。這根本不適合移動終端的使用，從辦公室到會議室，這臺電腦恐怕就無法上網了。在無線應用下，又怎么辦呢?還是需要其他的辦法。

　　③實施交換機端口綁定，必定要全部采用高級的網管交換機、三層交換機，整個交換網絡的造價大大提高。

　　因為交換網絡本身就是無條件支持ARP操作的，就是它本身的漏洞 造成了ARP攻擊的可能，它上面的管理手段不是針對ARP的。因此，在現有的交換網絡上實施ARP防范措施，屬于以子之矛攻子之盾。而且操作維護復雜，基本上是個費力不討好的事情。

　　4、ARP個人防火墻

　　在一些殺毒軟件中加入了ARP個人防火墻的功能，它是通過在終端電腦上對網關進行綁定，保證不受網絡中假網關的影響，從而保護自身數據不被竊取的措施。ARP防火墻使用范圍很廣，有很多人以為有了防火墻，ARP攻擊就不構成威脅了，其實完全不是那么回事。

　　ARP個人防火墻也有很大缺陷：

　　①它不能保證綁定的網關一定是正確的。如果一個網絡中已經發生了ARP欺騙，有人在偽造網關，那么，ARP個人防火墻上來就會綁定這個錯誤的網關，這是具有極大風險的。即使配置中不默認而發出提示，缺乏 網絡知識 的用戶恐怕也無所適從。

　　②ARP是網絡中的問題，ARP既能偽造網關，也能截獲數據，是個“雙頭怪”。在個人終端上做ARP防范，而不管網關那端如何，這本身就不是一個完整的辦法。ARP個人防火墻起到的作用，就是防止自己的數據不會被盜取，而整個網絡的問題，如掉線、卡滯等，ARP個人防火墻是無能為力的。

　　因此，ARP個人防火墻并沒有提供可靠的保證。最重要的是，它是跟網絡穩定無關的措施，它是個人的，不是網絡的。

　　5、安裝監聽軟件

　　可以安裝sniffer軟件，監聽網絡中的arp包，由于ARP欺騙往往使用廣播形式傳播，即使在交換機環境下也明顯能監聽到某PC端正在狂發arp包，可以定位到arp病毒源主機。

　　6、反欺騙

　　通過命令設置一個錯誤的網關地址，反欺騙arp病毒，然后再添加一條靜態路由，設置正確的網關用于正常的網絡訪問。

ARP攻擊怎樣防御？

Arp
攻擊最近一段時間不知道什么原因特別流行。
被攻擊者會出現IP沖突或者掉線（ARP只能在內網有效）
常見的防御方法有以下幾種
1.Arp防火墻，一般這種軟件是通過從網絡上獲得ARP包進行分析來防御的，不過這種防御效果一般不是很好。
2.Arp
驅動級防火墻，比如360安全衛士的
Anti-Arp
防火墻就是這個原理，通過一個過濾驅動來過濾掉
Arp
包，不過同樣也需要安裝第三方軟件但是防御效果比較好。
3.手動固化ARP緩存表。這個指對ARP攻擊造成的掉線有效。方法如下
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
dynamic
C:\>arp
-s
192.168.1.1
08-10-17-cc-36-84
C:\>arp
-a...Arp
攻擊最近一段時間不知道什么原因特別流行。
被攻擊者會出現IP沖突或者掉線（ARP只能在內網有效）
常見的防御方法有以下幾種
1.Arp防火墻，一般這種軟件是通過從網絡上獲得ARP包進行分析來防御的，不過這種防御效果一般不是很好。
2.Arp
驅動級防火墻，比如360安全衛士的
Anti-Arp
防火墻就是這個原理，通過一個過濾驅動來過濾掉
Arp
包，不過同樣也需要安裝第三方軟件但是防御效果比較好。
3.手動固化ARP緩存表。這個指對ARP攻擊造成的掉線有效。方法如下
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
dynamic
C:\>arp
-s
192.168.1.1
08-10-17-cc-36-84
C:\>arp
-a
Interface:
192.168.1.5
---
0x20003
Internet
Address
Physical
Address
Type
192.168.1.1
08-10-17-cc-36-84
static
192.168.1.41
00-e0-e4-02-e3-e0
dynamic
C:\>
可以看到先顯示的網關
192.168.1.1
的項目是
dynamic（動態）
這種動態的每隔一段時間會自動更新一次，所以攻擊者就是通過偽造ARP包來更新對方的網關MAC到一個不存在的MAC上來實現ARP掉線攻擊效果,而參數
“-s”
可以手動固化項目，所以第二次查就是
static（靜態）
這樣他的對應MAC就不會變了，也就不會掉線了不過對于IP沖突這個方法沒法防御。

ARP攻擊，如何防御？

機器也可以切換MAC綁定,但一般不會這樣做,因為會有一個新的機器,ARP框架可以偽造和管理太多的麻煩,但這樣做會和外部不一致的幀(幀)應該IP,MAC可以檢查內外一致的IP源地址的頭也可以是假的,但是,不能到你的港口,如果讓綁定無法直接在網上(是)在我們學校總體上不是一勞永逸的方法防止ARP攻擊(因為)ARP本身是有缺陷的,并沒有發現的攻擊手段。

這并不一定是ARP攻擊，它可能是LAN路由器橋的結果。如果有一個橋，路由器，路由器是打開DHCP來分配動態IP，客戶端從任何路由器IP中獲得，會有IP沖突，但不會被檢測到，所以我不能上網，也會引發360 ARP攻擊。解決方案是關閉路由器DHCP，除了一般路由之外。或者總路由網關是特殊的，比如192.168.250.1，然后是因特網上的靜態IP。

在PC上，你可以綁定網關IP和MAC。但是你不能阻止攻擊者繼續發送arp包。刷新網關上的arp緩存。有可能說arp防火墻也會繼續發送arp包到網關?然而，平均arp防火墻的包率為1 /包。如果攻擊者以高速發送arp包，攻擊效果仍然可以實現。

然后是arp中毒。你可以解決這個問題。綁定IP和MAC地址也可以安裝軟件攔截器

防范ARP攻擊的最有效的方法是什么？

1、不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上，（rarp同樣存在欺騙的問題），理想的關系應該建立在IP+MAC基礎上。2、設置靜態的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應表中。4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。5、使用""proxy""代理IP的傳輸。6、使用硬件屏蔽主機。設置好你的路由，確保IP地址能到達合法的路徑。（靜態配置路由ARP條目），注意，使用交換集線器和網橋無法阻止ARP欺騙。7、管理員定期用響應的IP包中獲得一個rarp請求，然后檢查ARP響應的真實性。8、管理員定期輪詢，檢查主機上的ARP緩存。9、使用防火墻連續監控網絡。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。最后建議你為了自己電腦的安全，使用火狐瀏覽器從此擺脫流氓插件，徹底杜絕木馬病毒火狐瀏覽器推薦下載： http://hi.baidu.com/beiy/blog/item/96d4433b4b5ca7eb14cecb5e.html

ARP攻擊防制的基本方法_路由器怎么抵御ARP病毒

ARP 欺騙/攻擊反復襲擊，是近來網絡行業普遍了解的現象，隨著 ARP 攻擊的不斷升級，不同的解決方案在市場上流傳。 這里我解釋了 ARP 攻擊防制的基本思想。我們認為讀者如果能了解這個基本思想，就能自行判斷何種防制方式有效，也能了解為何雙向綁定是一個較全面又持久的解決方式。

不堅定的 ARP 協議

一般計算機中的原始的 ARP 協議，很像一個思想不堅定，容易被 其它 人影響的人， ARP 欺騙/攻擊就是利用這個特性，誤導計算機作出錯誤的行為。 ARP 攻擊的原理，互聯網上很容易找到，這里不再覆述。原始的 ARP 協議運作，會附在局域網接收的廣播包或是 ARP 詢問包，無條件覆蓋本機緩存中的 ARP /MAC對照表。這個特性好比一個意志不堅定的人，聽了每一個人和他說話都信以為真，并立刻以最新聽到的信息作決定。

就像一個沒有計劃的快遞員，想要送信給“張三”，只在馬路上問“張三住那兒？”，并投遞給最近和他說“我就是！”或“張三住那間！”，來決定如何投遞一樣。在一個人人誠實的地方，快遞員的工作還是能切實地進行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會帶來混亂了。

我們再回來看 ARP 攻擊和這個意志不堅定快遞員的關系。常見 ARP 攻擊對象有兩種，一是網絡網關，也就是路由器，二是局域網上的計算機，也就是一般用戶。攻擊網絡網關就好比發送錯誤的地址信息給快遞員，讓快遞員整個工作大亂，所有信件無法正常送達；而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發動攻擊的計算機。

針對 ARP 攻擊的防制 方法

1、利用 ARP echo傳送正確的 ARP 訊息：通過頻繁地提醒正確的 ARP 對照表，來達到防制的效果。

2、利用綁定方式，固定 ARP 對照表不受外來影響：通過固定正確的 ARP 對照表，來達到防制的效果。

3、舍棄 ARP 協議，采用其它尋址協議：不采用 ARP 作為傳送的機制，而另行使用其它協議例如PPPoE方式傳送。

以上三種方法中，前兩種方法較為常見，第三種方法由于變動較大，適用于技術能力較佳的應用。下面針對前兩種方法加以說明。

PK 賽之“ ARP echo”

ARP echo是最早開發出來的 ARP 攻擊解決方案，但隨著 ARP 攻擊的發展，漸漸失去它的效果。現在，這個方法不但面對攻擊沒有防制效果，還會降低局域網運作的效能，但是很多用戶仍然以這個方法來進行防制。以前面介紹的思想不堅定的快遞員的例子來說， ARP echo的作法，等于是時時用電話提醒快遞員正確的發送對象及地址，減低他被鄰近的各種信息干擾的情況。

但是這種作法，明顯有幾個問題：第一，即使時時提醒，但由于快遞員意志不堅定，仍會有部份的信件因為要發出時剛好收到錯誤的信息，以錯誤的方式送出去；這種情況如果是錯誤的信息頻率特高，例如有一個人時時在快遞員身邊連續提供信息，即使打電話提醒也立刻被覆蓋，效果就不好；第二，由于必須時時提醒，而且為了保證提醒的效果好，還要加大提醒的間隔時間，以防止被覆蓋，就好比快遞員一直忙于接聽總部打來的電話，根本就沒有時間可以發送信件，耽誤了正事；第三，還要專門指派一位人時時打電話給快遞員提醒，等于要多派一個人手負責，而且持續地提醒，這個人的工作也很繁重。

以 ARP echo方式對應 ARP 攻擊，也會發生相似的情況。第一，面對高頻率的新式 ARP 攻擊， ARP echo發揮不了效果，掉線斷網的情況仍舊會發生。 ARP echo的方式防制的對早期以盜寶為目的的攻擊軟件有效果，但碰到最近以攻擊為手段的攻擊軟件則公認是沒有效果的。第二， ARP echo手段必須在局域網上持續發出廣播網絡包，占用局域網帶寬，使得局域網工作的能力降低，整個局域網的計算機及交換機時時都在處理 ARP echo廣播包，還沒受到攻擊局域網就開始卡了。第三，必須在局域網有一臺負責負責發 ARP echo廣播包的設備，不管是路由器、服務器或是計算機，由于發包是以一秒數以百計的方式來發送，對該設備都是很大的負擔。

常見的 ARP echo處理手法有兩種，一種是由路由器持續發送，另一則是在計算機或服務器安裝軟件發送。路由器持續發送的缺點是路由器原本的工作就很忙，因此無法發送高頻率的廣播包，被覆蓋掉的機會很大，因此面對新型的 ARP 攻擊防制效果小。因此，有些解決方法，就是拿 ARP 攻擊的軟件來用，只是持續發出正確的網關、服務器對照表，安裝在服務器或是計算機上，由于服務器或是計算機運算能力較強，可以同一時間內發出更多廣播包，效果較大，但是這種作法一則大幅影響局域網工作，因為整個局域網都被廣播包占據，另則攻擊軟件通常會設定更高頻率的廣播包，誤導局域網計算機，效果仍然有限。

此外， ARP echo一般是發送網關及私服的對照信息，對于防止局域網計算機被騙有效果，對于路由器沒有效果，仍需作綁定的動作才可。

PK賽之“ ARP 綁定”

ARP echo的作法是不斷提醒計算機正確的 ARP 對照表， ARP 綁定則是針對 ARP 協議“思想不堅定“的基本問題來加以解決。Qno俠諾技術服務人員認為， ARP 綁定的作法，等于是從基本上給這個快遞員培訓，讓他把正確的人名及地址記下來，再也不受其它人的信息干擾。由于快遞員腦中記住了這個對照表，因此完全不會受到有心人士的干擾，能有效地完成工作。在這種情況下，無論如何都可以防止因受到攻擊而掉線的情況發生。

但是 ARP 綁定并不是萬靈藥，還需要作的好才有完全的效果。第一，即使這個快遞員思想正確，不受影響，但是攻擊者的網絡包還是會小幅影響局域網部份運作，網管必須通過網絡監控或掃瞄的方法，找出攻擊者加以去除；第二，必須作雙向綁定才有完全的效果，只作路由器端綁定效果有限，一般計算機仍會被欺騙，而發生掉包或掉線的情況。

雙向綁定的解決方法，最為網管不喜歡的就是必須一臺一臺加以綁定，增加工作量。但是從以上的說明可知道，只有雙向綁定才能有效果地解決 ARP 攻擊的問題，而不會發生防制效果不佳、局域網效率受影響、影響路由器效能或影響服務器效能的缺點。也就是說雙向綁定是個硬工夫，可以較全面性地解決現在及未來 ARP 攻擊的問題，網管為了一時的省事，而采取片面的 ARP echo解決方式，未來還是要回來解決這個問題。

另外，對于有自動通過局域網安裝軟件的網絡，例如網吧的收費系統、無盤系統，都可以透過自動的批次檔，自動在開機時完成綁定的工作，網管只要撰寫一個統一的批次文件程序即可，不必一一配置。這些信息可以很容易地在互聯網上通過搜索找到或者是向Qno俠諾的技術服務人員索取即可。

現階段較佳解決方案——雙向綁定

以上以思想不堅定的快遞員情況，說明了常見的 ARP 攻擊防制方法。 ARP 攻擊利用的就是 ARP 協議的意志不堅，只有以培訓的方式讓 ARP 協議的意志堅定，明白正確的工作方法，才能從根本解決問題。只是依賴頻繁的提醒快遞員正確的作事方法，但是沒有能從快遞員意志不堅的特點著手，就好像只管不教，最終大家都很累，但是效果仍有限。

Qno俠諾的技術服務人員建議，面對這種新興攻擊，取巧用省事的方式準備，最后的結果可能是費事又不管用，必須重新來過。 ARP 雙向綁定雖然對網管帶來一定的工作量，但是其效果確是從根本上有效，而且網管也可參考自動批次檔的作法，加快配置自動化的進行，更有效地對抗 ARP 攻擊。

>>>下一頁更多精彩“路

怎樣防范ARP欺騙攻擊

[防范ARP攻擊的方法]
這里說的防范方法適用于從未連接過網絡、從未使用過U盤或者移動硬盤、從未使用過黑客軟件的電腦。
1. 安裝殺毒軟件。海南大學三亞學院網絡中心推薦使用卡巴斯基反病毒軟件、Nod32殺毒軟件。安裝殺毒軟件后請將病毒庫升級至最新版，并且在使用電腦過程中不中斷開啟殺毒軟件。
2. 安裝ARP防火墻軟件。海南大學三亞學院網絡中心推薦使用ARP防火墻、風云防火墻、360ARP防火墻。安裝ARP防火墻后請在設置頁面手動設置自己所在IP段網關IP地址及網關的MAC地址。
[如何查看自己的IP地址及MAC地址？]
Windows XP用戶：
1. 開始à運行à輸入”CMD”命令(僅輸入引號內命令)à確定。
點擊運行
輸入”cmd”命令并點擊確定
2. 在打開的cmd窗口中輸入”ipconfig/all”。
3. 對比下圖查看自己的MAC地址。

MAC等地址如圖所示
[如何查看網關的IP地址及MAC地址？]
1. 進入CMD命令行后，輸入”arp –a”。
2. 對比下圖查看網關IP及MAC地址。