ARP攻擊

ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。

ARP攻擊的局限性

ARP攻擊僅能在乙太網（區域網如：機房、內網、公司網路等）進行。

無法對外網（網際網路、非本區域內的區域網）進行攻擊。

ARP（Address Resolution Protocol，地址解析協議）是一個位於TCP/IP協議棧中的底層協議，負責將某個IP地址解析成對應的MAC地址。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。

攻擊者向電腦A發送一個偽造的ARP響應，告訴電腦A：電腦B的IP地址192.168.0.2對應的MAC地址是00-aa-00-62-c6-03，電腦A信以為真，將這個對應關係寫入自己的ARP緩存表中，以後發送數據時，將本應該發往電腦B的數據發送給了攻擊者。同樣的，攻擊者向電腦B也發送一個偽造的ARP響應，告訴電腦B：電腦A的IP地址192.168.0.1對應的MAC地址是00-aa-00-62-c6-03，電腦B也會將數據發送給攻擊者。

至此攻擊者就控制了電腦A和電腦B之間的流量，他可以選擇被動地監測流量，獲取密碼和其他涉密信息，也可以偽造數據，改變電腦A和電腦B之間的通信內容。

為了解決ARP攻擊問題，可以在網路中的交換機上配置802.1x協議。

IEEE 802.1x是基於埠的訪問控制協議，它對連接到交換機的用戶進行認證和授權。在交換機上配置802.1x協議后，攻擊者在連接交換機時需要進行身份認證（結合MAC、埠、帳戶、VLAN和密碼等），只有通過認證后才能向網路發送數據。攻擊者未通過認證就不能向網路發送偽造的ARP報文。

1、什麼是ARP欺騙？

在區域網中，黑客經過收到的ARP Request廣播包，能夠偷聽到其它節點的(IP,MAC)地址，黑客就偽裝為A，告訴B(受害者)一個假地址，使得B在發送給A的數據包都被黑客截取，而A,B渾然不知。

2、為什麼黑客能夠進行ARP欺騙。ARP是個早期的網路協議，RFC826在 1980就出版了。早期的網際網路採取的是信任模式，在科研、大學內部使用，追求功能、速度，沒考慮網路安全。尤其乙太網的泛洪特點，能夠很方便的用來查詢。但這也為日後的黑客開了方便之門。黑客只要在區域網內閱讀送上門來的ARP Request就能偷聽到網內所有的(IP,MAC)地址。而節點收到ARP Reply時，也不會質疑。黑客很容易冒充他人。

3、能夠防止欺騙嗎？不能。但這種傷害的傷害已經很小。因為區域網的工作環境有了改變，伺服器通常不會和終端主機在同一個區域網。

初期：ARP欺騙

這種有目的的發布錯誤ARP廣播包的行為，被稱為ARP欺騙。ARP欺騙，最初為黑客所用，成為黑客竊取網路數據的主要手段。黑客通過發布錯誤的ARP廣播包，阻斷正常通信，並將自己所用的電腦偽裝成別人的電腦，這樣原本發往其他電腦的數據，就發到了黑客的電腦上，達到竊取數據的目的。

中期：ARP惡意攻擊

後來，有人利用這一原理，製作了一些所謂的“管理軟體”，例如網路剪刀手、執法官、終結者等，這樣就導致了ARP惡意攻擊的泛濫。往往使用這種軟體的人，以惡意破壞為目的，多是為了讓別人斷線，逞一時之快。

特別是在網吧中，或者因為商業競爭的目的、或者因為個人無聊泄憤，造成惡意ARP攻擊泛濫。

隨著網吧經營者摸索出禁用這些特定軟體的方法，這股風潮也就漸漸平息下去了。

現在：綜合的ARP攻擊

最近這一波ARP攻擊潮，其目的、方式多樣化，衝擊力度、影響力也比前兩個階段大很多。

首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網路以廣域網為主，最有效的攻擊方式是DDOS攻擊。但是隨著防範能力的提高，病毒製造者將目光投向區域網，開始嘗試ARP攻擊，例如最近流行的威金病毒，ARP攻擊是其使用的攻擊手段之一。

相對病毒而言，盜號程序對網吧運營的困惑更大。盜號程序是為了竊取用戶帳號密碼數據而進行ARP欺騙，同時又會影響到其他電腦上網。

ARP欺騙木馬的中毒現象表現為：使用區域網時會突然掉線，過一段時間后又會恢復正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟體出現故障等。如果區域網中是通過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復上網。

ARP欺騙木馬只需成功感染一台電腦，就可能導致整個區域網都無法上網，嚴重的甚至可能帶來整個網路的癱瘓。該木馬發作時除了會導致同一區域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網路遊戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

基於ARP協議的這一工作特性，黑客向對方計算機不斷發送有欺詐性質的ARP數據包，數據包內包含有與當前設備重複的Mac地址，使對方在回應報文時，由於簡單的地址重複錯誤而導致不能進行正常的網路通信。一般情況下，受到ARP攻擊的計算機會出現兩種現象：

1.不斷彈出“本機的0-255段硬體地址與網路中的0-255段地址衝突”的對話框。

2.計算機不能正常上網，出現網路中斷的癥狀。

因為這種攻擊是利用ARP請求報文進行“欺騙”的，所以防火牆會誤以為是正常的請求數據包，不予攔截。因此普通的防火牆很難抵擋這種攻擊。

防護原理

防止ARP攻擊是比較困難的，修改協議也是不大可能。但是有一些工作是可以提高本地網路的安全性。

首先，你要知道，如果一個錯誤的記錄被插入ARP或者IP route表，可以用兩種方式來刪除。

a.使用arp–d host_entry

ARP斷網攻擊ARP斷網攻擊

b.自動過期，由系統刪除

這樣，可以採用以下的一些方法：

1、減少過期時間

#ndd–set/dev/arp arp_cleanup_interval 60000

#ndd-set/dev/ip ip_ire_flush_interval 60000

60000=60000毫秒 默認是300000

加快過期時間，並不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網路中會大量的出現ARP請求和回復，請不要在繁忙的網路上使用。

2、建立靜態ARP表

這是一種很有效的方法，而且對系統影響不大。缺點是破壞了動態ARP協議。可以建立如下的文件。

test. nsfocus .com 08:00:20:ba:a1:f2

user. nsfocus . com 08:00:20:ee:de:1f

使用arp–f filename載入進去，這樣的ARP映射將不會過期和被新的ARP數據刷新，除非使用arp–d才能刪除。但是一旦合法主機的網卡硬體地址改變，就必須手工刷新這個arp文件。這個方法，不適合於經常變動的網路環境。

3、禁止ARP

可以通過ipconfig interface–arp完全禁止ARP，這樣，網卡不會發送ARP和接受ARP包。但是使用前提是使用靜態的ARP表，如果不在ARP表中的計算機，將不能通信。這個方法不適用與大多數網路環境，因為這增加了網路管理的成本。但是對小規模的安全網路來說，還是有效可行的。

但目前的ARP病毒層出不窮，已經不能單純的依靠傳統的方法去防範，比如簡單的綁定本機ARP表，我們還需要更深入的了解ARP攻擊原理，才能夠通過癥狀分析並解決ARP欺騙的問題。

解決ARP最根本的辦法

ARP欺騙和攻擊問題，是企業網路的心腹大患。關於這個問題的討論已經很深入了，對ARP攻擊的機理了解的很透徹，各種防範措施也層出不窮。

但問題是，現在真正擺脫ARP問題困擾了嗎？從用戶那裡了解到，雖然嘗試過各種方法，但這個問題並沒有根本解決。原因就在於，目前很多種ARP防範措施，一是解決措施的防範能力有限，並不是最根本的辦法。二是對網路管理約束很大，不方便不實用，不具備可操作性。三是某些措施對網路傳輸的效能有損失，網速變慢，帶寬浪費，也不可取。

本文通過具體分析一下普遍流行的四種防範ARP措施，去了解為什麼ARP問題始終不能根治。並進一步分析在免疫網路的模式下，對ARP是如何徹底根除的，為什麼只有免疫網路能夠做到。

個人用戶的防護方法

首先要明確ARP攻擊僅能在區域網內進行，沒有路由器的家庭用戶可以不必考慮

1.安裝ARP防火牆

如今大部分安全輔助軟體均內置ARP防火牆，著名的有：360安全衛士（內置）、金山貝殼ARP專殺、金山衛士

2.安裝殺毒軟體

殺毒軟體可以有效的防止ARP病毒進入機器

3.已經中毒的處理方法

由於中毒后網速會減慢，殺軟失效。所以我們應該用專門的專殺殺毒后安裝殺毒軟體保護系統

必須注意！ARP病毒大多捆綁木馬下載者，不要以為ARP病毒對自己工作沒有太大影響就可以忽略！！！

區域網ARP預防小技巧

目前防護區域網中ARP木馬病毒最有效的方法是通過網關和終端雙向綁定ip和mac地址來實現，但是這種方法還是不能有效的阻止ARP對區域網的攻擊，原因何在？其實最重要的原因是在我們發現ARP病毒並設置雙向綁定時，ARP病毒早已更改了本地電腦的MAC地址，從而導致綁定無效。另一方面就是人為的破壞，比如說區域網中有人使用P2P終結者等諸多情況，都可能導致區域網中充斥著大量的ARP包，這些都將會導致網路性能的下降。針對這些問題，我們應該如何面對和解決呢？

第一，做好第一道防線，實現網關和終端雙向綁定IP和MAC地址。針對區域網中的每一台計算機利用“IPCONFIG”命令獲取本機IP和MAC地址，並將該信息添加到路由器ARP映射表中。同時通過查看路由器的LAN口參數獲取其IP和MAC地址，然後在區域網中的每台計算機上實現靜態ARP綁定。具體做法是：打開“運行”對話框，輸入CMD進入MSdos界面，通過IPCONFIG命令獲取本機的IP地址和MAC地址。然後打開瀏覽器，輸入路由器的地址，進入路由器配置界面，在界面中定位到ARP與IP地址綁定位置處，設置“單機的MAC地址和IP地址的匹配規則”，指定區域網中各個計算機的IP地址和其對應MAC地址實現綁定。

第二，通過“網路參數”-“LAN口參數”來查找路由器的MAC地址和IP地址，然後在區域網中的每台電腦中實現靜態ARP綁定。具體做法：打開“運行”對話框，輸入CMD進入MSdos界面，然後通過輸入如圖所示的命令實現網關IP地址和MAC地址的綁定。

第三，付出少需的代價換來區域網的長久平靜。打開安全防護軟體的ARP防火牆功能。

第四，斬草除根，徹底追蹤查殺ARP病毒。利用區域網ARP欺騙檢測工具來確定ARP攻擊源，然後利用ARP專殺工具進行殺毒。查找並定位到攻擊源地址以後，在相應的計算機上安裝ARP專殺工具進行查殺操作。例如，當我們的機子受到ARP攻擊時，我們查到了攻擊源的MAC地址，將該MAC地址與路由器當中的ARP映射表進行對比來確定攻擊源主機，然後對該主機進入ARP的查殺工作。

上篇：四種常見防範ARP措施的分析

一、雙綁措施

雙綁是在路由器和終端上都進行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，偽造網關和截獲數據，都具有約束的作用。這是從ARP欺騙原理上進行的防範措施，也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。

但雙綁的缺陷在於3點：

1、在終端上進行的靜態綁定，很容易被升級的ARP攻擊所搗毀，病毒的一個ARP –d命令，就可以使靜態綁定完全失效。

2、在路由器上做IP-MAC表的綁定工作，費時費力，是一項繁瑣的維護工作。換個網卡或更換IP，都需要重新配置路由。對於流動性電腦，這個需要隨時進行的綁定工作，是網路維護的巨大負

mac靜態化操作指令mac靜態化操作指令

擔，網管員幾乎無法完成。

3、雙綁只是讓網路的兩端電腦和路由不接收相關ARP信息，但是大量的ARP攻擊數據還是能發出，還要在內網傳輸，大幅降低內網傳輸效率，依然會出現問題。

因此，然雙綁曾經是ARP防範的基礎措施，但因為防範能力有限，管理太麻煩，它的效果越來越有限了。

4、操作指令：

第一步：win+R運行cmd

輸入arp-a其中Physical Address里顯示的就是網關MAC地址 Type顯示是動態的dynamic

第二步，輸入arp-d意思是刪除當前的arp列表，

最後自然是輸入：arp-s網關IP地址 網關MAC地址

二、ARP個人防火牆

在一些殺毒軟體中加入了ARP個人防火牆的功能，它是通過在終端電腦上對網關進行綁定，保證不受網路中假網關的影響，從而保護自身數據不被竊取的措施。ARP防火牆使用範圍很廣，有很多人以為有了防火牆，ARP攻擊就不構成威脅了，其實完全不是那麼回事。

ARP個人防火牆也有很大缺陷：

1、它不能保證綁定的網關一定是正確的。如果一個網路中已經發生了ARP欺騙，有人在偽造網關，那麼，ARP個人防火牆上來就會綁定這個錯誤的網關，這是具有極大風險的。即使配置中不默認而發出提示，缺乏網路知識的用戶恐怕也無所適從。

2、ARP是網路中的問題，ARP既能偽造網關，也能截獲數據，是個“雙頭怪”。在個人終端上做ARP防範，而不管網關那端如何，這本身就不是一個完整的辦法。ARP個人防火牆起到的作用，就是防止自己的數據不會被盜取，而整個網路的問題，如掉線、卡滯等，ARP個人防火牆是無能為力的。

因此，ARP個人防火牆並沒有提供可靠的保證。最重要的是，它是跟網路穩定無關的措施，它是個人的，不是網路的。

三、VLAN和交換機埠綁定

通過劃分VLAN和交換機埠綁定，以圖防範ARP，也是常用的防範方法。做法是細緻地劃分VLAN，減小廣播域的範圍，使ARP在小範圍內起作用，而不至於發生大面積影響。同時，一些網管交換機具有MAC地址學習的功能，學習完成後，再關閉這個功能，就可以把對應的MAC和埠進行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中被截獲數據的風險解除了。這種方法確實能起到一定的作用。

不過，VLAN和交換機埠綁定的問題在於：

1、沒有對網關的任何保護，不管如何細分VLAN，網關一旦被攻擊，照樣會造成全網上網的掉線和癱瘓。

2、把每一台電腦都牢牢地固定在一個交換機埠上，這種管理太死板了。這根本不適合移動終端的使用，從辦公室到會議室，這台電腦恐怕就無法上網了。在無線應用下，又怎麼辦呢？還是需要其他的辦法。

3、實施交換機埠綁定，必定要全部採用高級的網管交換機、三層交換機，整個交換網路的造價大大提高。

因為交換網路本身就是無條件支持ARP操作的，就是它本身的漏洞造成了ARP攻擊的可能，它上面的管理手段不是針對ARP的。因此，在現有的交換網路上實施ARP防範措施，屬於以子之矛攻子之盾。而且操作維護複雜，基本上是個費力不討好的事情。

四、PPPoE

網路下面給每一個用戶分配一個帳號、密碼，上網時必須通過PPPoE認證，這種方法也是防範ARP措施的一種。PPPoE撥號方式對封包進行了二次封裝，使其具備了不受ARP欺騙影響的使用效果，很多人認為找到了解決ARP問題的終極方案。

問題主要集中在效率和實用性上面：

1、PPPoE需要對封包進行二次封裝，在接入設備上再解封裝，必然降低了網路傳輸效率，造成了帶寬資源的浪費，要知道在路由等設備上添加PPPoE Server的處理效能和電信接入商的PPPoE Server可不是一個數量級的。

2、PPPoE方式下區域網間無法互訪，在很多網路都有區域網內部的域控伺服器、DNS伺服器、郵件伺服器、OA系統、資料共享、列印共享等等，需要區域網間相互通信的需求，而PPPoE方式使這一切都無法使用，是無法被接受的。

3、不使用PPPoE，在進行內網訪問時，ARP的問題依然存在，什麼都沒有解決，網路的穩定性還是不行。

因此，PPPoE在技術上屬於避開底層協議連接，眼不見心不煩，通過犧牲網路效率換取網路穩定。最不能接受的，就是網路只能上網用，內部其他的共享就不能在PPPoE下進行了。

通過對以上四種普遍的ARP防範方法的分析，我們可以看出，現有ARP防範措施都存在問題。這也就是ARP即使研究很久很透，但依然在實踐中無法徹底解決的原因所在了。

下篇：免疫網路是解決ARP最根本的辦法

道高一尺魔高一丈，網路問題必定需要網路的方法去解決。欣全向推廣的免疫網路就是徹底解決ARP問題的最實際的方法。

從技術原理上，徹底解決ARP欺騙和攻擊，要有三個技術要點。

1、終端對網關的綁定要堅實可靠，這個綁定能夠抵制被病毒搗毀。

2、接入路由器或網關要對下面終端IP-MAC的識別始終保證唯一準確。

3、網路內要有一個最可依賴的機構，提供對網關IP-MAC最強大的保護。它既能夠分發正確的網關信息，又能夠對出現的假網關信息立即封殺。

免疫網路在這三個問題上，都有專門的技術解決手段，而且這些技術都是廠家欣全向的技術專利。下面我們會詳細說明。我們要先做一個免疫網路結構和實施的簡單介紹。

免疫網路就是在現有的路由器、交換機、網卡、網線構成的普通交換網路基礎上，加入一套安全和管理的解決方案。這樣一來，在普通的網路通信中，就融合進了安全和管理的機制，保證了在網路通信過程中具有了安全管控的能力，堵上了普通網路對安全從不設防的先天漏洞。

實施一個免疫網路不是一個很複雜的事，代價並不大。它要做的僅僅是用免疫牆路由器或免疫網關，替換掉現有的寬頻接入設備。在免疫牆路由器下，需要自備一台伺服器24小時運行免疫運營中心。免疫網關不需要，已自帶伺服器。這就是方案的所需要的硬體調整措施。硬體的價位，從1000多元到10萬元，針對各種不同的企業需求，大、中、小、微型企業都能各取所需，選擇的範圍非常廣泛。

軟性的網路調整是IP規劃、分組策略、終端自動安裝上網驅動等配置和安裝工作，以保證整個的安全管理功能有效地運行。其實這部分工作和網管員對網路日常的管理沒有太大區別。

免疫網路具有強大的網路基礎安全和管理功能，對ARP的防範僅是其十分之一不到的能力。但本文談的是ARP問題，所以我們需要回過頭來，具體地解釋免疫網路對ARP欺騙和攻擊防範的機理。至於免疫網路更多的強大，可以後續研究。

前述治理ARP問題的三個技術要點，終端綁定、網關、機構三個環節，免疫網路分別採用了專門的技術手段。

1、終端綁定採用了看守式綁定技術。免疫網路需要每一台終端自動安裝驅動，不安裝或卸載就不能上網。在驅動中的看守式綁定，就是把正確的網關信息存貯在非公開的位置加以保護，任何對網關信息的更改，由於看守程序的嚴密監控，都是不能成功的，這就完成了對終端綁定牢固可靠的要求。

2、免疫牆路由器或免疫網關的ARP先天免疫技術。在NAT轉發過程中，由於加入了特殊的機制，免疫牆路由器根本不理會任何對終端IP-MAC的ARP申告，也就是說，誰都無法欺騙網關。與其他路由器不同，免疫牆路由器沒有使用IP-MAC的列表進行工作，當然也不需要繁瑣的路由器IP-MAC表綁定和維護操作。先天免疫，就是不用管也具有這個能力。

3、保證網關IP-MAC始終正確的機構，在免疫網路中是一套安全機制。首先，它能夠做到把從路由器中取到的真實網關信息，分發到每一個網內終端，而安裝有驅動的終端，只接受這樣的信息，其他信息不能接受，保證了網關的唯一正確性。其次，在每一台終端，免疫驅動都會攔截病毒發出的錯誤網關傳播，不使其流竄到網路內，把ARP欺騙和攻擊從根源上切斷。

從以上三個措施來看，免疫網路確實真正解決了困擾已久的ARP問題，技術上是嚴謹的，應用上是可行的，成本也是相對低廉。所以，與常見的四種ARP防範辦法比較，免疫網路是解決ARP最根本的辦法。