网络arp攻击解决办法(arp网络攻击防范方法有)

本文介绍了ARP攻击的原理以及由此引发的网络安全问题。结合实际情况，提出了在校园网中多层次防范的方法，以解决ARP攻击带来的网络安全问题。最后，介绍了一些实用、简单、有效的检测和抵御攻击的方法。

是否遇到局域网频繁局部或整体掉线，重启电脑或网络设备恢复正常？你的网速是不是有时候快，有时候慢，极不稳定，但是单机测试光纤数据一切正常？经常听到教职工网银、游戏、qq账号频繁丢失的新闻吗？

这些问题有很大一部分归因于ARP攻击。从去年5月份开始，我们的局域网频繁出现ARP攻击。目前，在校园网中已经发现了几十种“ARP攻击”病毒。测试数据显示，APR攻击从未停止，需要有效防范ARP网络攻击，保证网络畅通。

一、ARP的基本知识

1、什么是ARP?

ARP协议是“地址解析协议”的缩写。在局域网中，网络中实际传输的是一个“帧”，其中包含目标主机的mac地址。在以太网中，主机必须知道目标主机的MAC地址，才能与另一台主机直接通信。但是你是怎么得到这个目标MAC地址的呢？它是通过地址解析协议获得的。

所谓“地址解析”，就是主机在发送帧之前，将目的IP地址转换成目的MAC地址的过程。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址，保证通信的畅通。

在局域网中，利用ARP协议完成IP地址到第二层物理地址(即MAC地址)的转换，对网络安全具有重要意义。

2、ARP协议的工作原理

一般情况下，每台主机都会在自己的ARP缓存中建立一个ARP表，以表示IP地址和MAC地址的对应关系。当源主机需要向目的主机发送数据包时，它会先检查自己的ARP表中是否有这个IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；

如果没有，向本地网段发起ARP请求的广播包，查询该目的主机对应的MAC地址。ARP请求数据包包括源主机的IP地址、硬件地址和目的主机的IP地址。网络中的所有主机收到这个ARP请求后，都会检查数据包中的目的IP是否与自己的IP地址一致。

如果不是，则忽略该数据包；如果相同，主机先将发送方的MAC地址和IP地址添加到自己的ARP表中，如果这个IP的信息已经存在于ARP表中，则将其覆盖，然后向源主机发送ARP响应包，告诉对方这是自己需要查找的MAC地址；在收到这个ARP响应数据包后，源主机会将目的主机的IP地址和MAC地址添加到它的ARP列表中，并使用这些信息开始数据传输。

如图所示：

: 1.想发送一个网络数据包到192.168.1.1，但是不知道MAC地址？

2.发出广播包“192.168.1.1的MAC地址是什么？”

3.其他机器没有回应，只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

从上面可以看出，ARP协议的基础是信任局域网内的所有人，所以很容易在以太网上实现ARP欺骗。更何况ARP协议工作在比IP协议更低的协议层，所以其危害更加隐蔽。

二、ARP欺骗的原理

ARP攻击首先被用来窃取密码。网络中的中毒电脑可以伪装成路由器，窃取用户密码。后来，它们被嵌入软件中，扰乱了其他局域网用户的正常网络通信。这里简单解释一下ARP欺骗的原理：假设这样一个网络，一台交换机连接三台机器，依次是计算机A、B、c。

a的地址是：IP:192 . 168 . 1 . 1 MAC:aa-aa-aa-aa-aa。

b的地址是：IP: 192.168.1.2 MAC: bb-bb-bb-bb。

c的地址是：IP:192 . 168 . 1 . 3 MAC:cc-cc-cc-cc-cc。

第二步：正常情况下，在电脑A上运行ARP -A查询ARP缓存表，应该会出现以下信息。

接口：接口0x1000003上的192.168.1.1

互联网地址物理地址类型

192.168.1.3 CC-CC-CC-CC-CC-CC动态

步骤3:在计算机B上运行ARP欺骗程序，发送ARP欺骗数据包。

给B A发一个假的ARP回复，这个回复里的数据是发件人的IP地址是192 . 168 . 10 . 3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD(C的MAC地址应该是CC-CC-CC-CC-CC-CC，这里是伪造的)。当A收到B伪造的ARP回复时，会更新本地ARP缓存(A不知道是伪造的)。而A并不知道它其实是b发来的，A在这里只有192 . 168 . 10 . 3(C的IP地址)和一个无效的DD-DD-DD-DD-DD MAC地址。

第四步：作弊之后，我们在电脑A上运行ARP -A，查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

接口：接口0x1000003上的192.168.1.1

互联网地址物理地址类型

192.168.1.3动态

上例中，电脑A上的电脑C的MAC地址已经错误，所以即使以后电脑A访问电脑C，这个地址192.168.1.3也会被ARP协议错误地解释为MAC地址DD-DD-DD-DD-DD。

当局域网中的一台机器反复向其他机器，尤其是网关发送这种无效的、伪造的ARP回复包时，就会开始出现严重的网络拥塞。由于网关的MAC地址错误，网络中的电脑发送的数据无法正常发送到网关，自然无法正常上网。

这就造成了我们无法接入外网的问题。另外，因为很多时候网关还是控制我们的局域网(LAN)上网，那么我们的局域网接入就有问题了。下图更直观地展示了ARP欺骗攻击：

三、ARP欺骗的危害

ARP攻击最早出现在去年5月的校园网中。目前，校园网中被计算机感染的“ARP欺骗”病毒有几十种变种。根据这些变种的工作特点和外部特征，大致可以分为三类，其中“ARP欺骗”和“恶意窃听”对学校局域网的正常运行和网络用户的信息安全威胁最大。

只要ARP攻击开始，局域网内的电脑就无法与其他电脑通信，网络对这种病毒没有容忍度。局域网内只要有一台感染了ARP欺骗病毒的电脑，整个局域网的通信就会中断。

“恶意窃听”病毒在“ARP欺骗”病毒中影响和危害最大。不会造成局域网的中断，只会让网络延迟。而中毒主机会截获局域网内的所有通信数据，并将截获的数据发送给特定的外部用户，对局域网用户的网络使用造成非常非常严重的影响，直接威胁自身的信息安全。

四、出现ARP攻击的原因及特征

正常的局域网应该没有ARP攻击。经过长时间的观察，发现ARP攻击主要由以下原因引起：

1.人为破坏

是有人安装P2P监控软件的主要内网，如P2P终结者、网络执法官、聚网管家、QQ第六感等。恶意监控其他机器，限制流量，或者在内网进行DDOS攻击。

2.特洛伊病毒

传奇、卡丁车、舞团等游戏插件，如：及时雨PK版、奔牛车、舞团等。里面含有一些木马程序，也会造成ARP欺骗。

其实真正恶意闹事的人很少。一两次，闹一闹就腻了。更何况事后网管肯定会找闹事的主机。所以人为破坏是比较好的解决办法。最麻烦的就是使用带有木马的游戏插件，浏览带有恶意代码的网页。

当ARP攻击发生时，最明显的特征就是网络频繁掉线，速度变慢。如果你看看这个过程，你会发现down.exe、1.exe、cmd.exe和9sy.exe中的任何一个或多个都被加了进去。严重时可以自动下载维京病毒logo_1.exe.rundl132.exe，感染可执行文件，图标会变成一朵花。

五、常用的防范方法

目前攻击ARP系列的方式方法多种多样，没有绝对全面有效的防范方法。从实践经验来看，最有效的防范方法是给所有窗口打补丁，正确配置和使用网络防火墙，安装杀毒软件，及时更新病毒库。

对于Windows补丁，不仅仅是SP2(XP)或者SP4(2000)，所有后续的安全更新都必须及时完成，最大限度的防止病毒和木马的攻击。此外，正确使用u盘等移动存储设备，防止病毒和木马通过校外电脑传播。

下面介绍防范ARP攻击的几种常用方法：

1.静态绑定

静态绑定IP和MAC，将主机和网关都绑定到网络中的IP和MAC。

欺骗通过ARP的动态性和实时性规则欺骗内网机器，所以我们可以通过设置所有ARP为静态来解决内网PC的欺骗。同时在网关处也需要IP和MAC的静态绑定，这样双向绑定更安全。缺点是每台电脑都需要绑定，重启后还需要绑定，工作量大。虽然可以通过批处理文件实现绑定，但是也比较麻烦。

2.使用保护软件

目前，arp防护软件种类繁多。我们学校常用的一个软件就是彩影软件的ARP防火墙。

ARP防火墙采用系统内核拦截技术和主动防御技术，包含六大功能模块，可以解决大部分欺骗和ARP攻击带来的问题，从而保证通信安全(保证通信数据不被网管软件/恶意软件监控)，保证网络畅通。

3.具有ARP保护功能的网络设备

ARP攻击引起的网络问题是当前网络管理中最令人头疼的攻击，尤其是在局域网管理中。他的攻击技术低，任何人都可以通过攻击软件完成ARP欺骗攻击。同时也没有特别有效的方法来防止ARP攻击。