如何處理ARP的攻擊技巧

　　以下是OMG小編為大家收集整理的文章，希望對大家有所幫助。

　　從原理和應用談解決ARP攻擊的方法：

　　很多網吧和企業(yè)網絡不穩(wěn)，無故掉線，經濟蒙受了很大的損失。根據情況可以看出這是一種存在于網絡中的一種普遍問題。出現此類問題的主要原因就是遭受了ARP攻擊?，F在ARP不只是協(xié)議的簡寫，還成了掉線的代名詞。由于其變種版本之多，傳播速度之快，很多技術人員和企業(yè)對其束手無策。下面就來給大家從原理到應用談一談這方面的話題。希望能夠幫大家解決此類問題，凈化網絡環(huán)境。

　　在局域網中，通過ARP協(xié)議來完成IP地址轉換為第二層物理地址，實現局域網機器的通信。ARP協(xié)議對網絡安全具有重要的意義。這是建立在相互信任的基礎上。如果通過偽造IP地址和MAC地址實現ARP欺騙，將在網絡中產生大量的ARP通信量使網絡阻塞、掉線、重定向、嗅探攻擊。

　　我們知道每個主機都用一個ARP高速緩存，存放最近IP地址到MAC硬件地址之間的映射記錄。windows高速緩存中的每一條記錄的生存時間一般為60秒，起始時間從被創(chuàng)建時開始算起。默認情況下，ARP從緩存中讀取IP-MAC條目，緩存中的IP-MAC條目是根據ARP響應包動態(tài)變化的。因此，只要網絡上有ARP響應包發(fā)送到本機，即會更新ARP高速緩存中的IP-MAC條目。如：X向Y發(fā)送一個自己偽造的ARP應答，而這個應答中的數據發(fā)送方IP地址是192.168.1.3(Z的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(Z的真實MAC地址卻是CC-CC-CC-CC-CC-CC，這里被偽造了)。當Y接收到X偽造的ARP應答，就會更新本地的ARP緩存(Y可不知道被偽造了)。那么如果偽造成網關呢?

　　Switch上同樣維護著一個動態(tài)的MAC緩存，它一般是這樣，首先，交換機內部有一個對應的列表，交換機的端口對應MAC地址表Port n <-> Mac記錄著每一個端口下面存在那些MAC地址，這個表開始是空的，交換機從來往數據幀中學習。因為MAC-PORT緩存表是動態(tài)更新的，那么讓整個 Switch的端口表都改變，對Switch進行MAC地址欺騙的Flood，不斷發(fā)送大量假MAC地址的數據包，Switch就更新MAC-PORT緩存，如果能通過這樣的辦法把以前正常的MAC和Port對應的關系破壞了，那么Switch就會進行泛洪發(fā)送給每一個端口，讓Switch基本變成一個 HUB，向所有的端口發(fā)送數據包，要進行嗅探攻擊的目的一樣能夠達到。也將造成Switch MAC-PORT緩存的崩潰，如下面交換機中日志所示：

　　Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256

　　ARP攻擊時的主要現象

　　網上銀行、保密數據的頻繁丟失。當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網后，如果用戶已經登陸服務器，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄服務器，這樣病毒主機就可以竊取所有機器的資料了。

　　網速時快時慢，極其不穩(wěn)定，但單機進行光纖數據測試時一切正常。局域網內頻繁性區(qū)域或整體掉線，重啟計算機或網絡設備后恢復正常

　　由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再次斷線。

　　ARP的解決辦法：

　　目前來看普遍的解決辦法都是采用雙綁,具體方法：

　　先找到正確的 網關 IP 網關物理地址 然后 在客戶端做對網關的arp綁定。

　　步驟一：

　　查找本網段的網關地址，比如192.168.1.1，以下以此網關為例。在正常上網時，“開始→運行→cmd→確定”，輸入：arp -a，點回車，查看網關對應的Physical Address。

　　比如：網關192.168.1.1 對應0A-0B-0C-0D-0E-0F。

　　步驟二：

　　編寫一個批處理文件rarp.bat，內容如下：

　　@echo off

　　arp -d

　　arp -s 192.168.1.1 0A-0B-0C-0D-0E-0F

　　保存為：rarp.bat。

　　步驟三：

　　運行批處理文件將這個批處理文件拖到“windows→開始→程序→啟動”中。

　　但雙綁并不能徹底解決ARP問題，IP沖突以及一些ARP變種是不能應對的。

　　再有就是采用防ARP的硬件路由，但價格很高,并且不能保證在大量攻擊出現地情況下穩(wěn)定工作.那么現在就沒有，有效并能夠徹底的解決辦法了嗎?有的，那就是采用能夠以底層驅動的方式工作的軟件，并全網部署來防范ARP問題.

　　此類軟件是通過系統(tǒng)底層核心驅動，以服務及進程并存的形式隨系統(tǒng)啟動并運行，不占用計算機系統(tǒng)資源。這種方式不同于雙綁。因為它是對通信中的數據包進行分析與判斷，只有合法的包才可以被放行。非法包就被丟棄掉了。也不用擔心計算機會在重啟后新建ARP緩存列表，因為是以服務與進程相結合的形式 存在于計算機中，當計算機重啟后軟件的防護功能也會隨操作系統(tǒng)自動啟動并工作。

　　目前滿足這一要求的并能出色工作的軟件推薦大家選用ARP衛(wèi)士，此軟件不僅僅解決了ARP問題，同時也擁有內網洪水防護功能與P2P限速功能。

　　ARP衛(wèi)士在系統(tǒng)網絡的底層安裝了一個核心驅動,通過這個核心驅動過濾所有的ARP數據包,對每個ARP應答進行判斷,只有符合規(guī)則的ARP包,才會被進一步處理.這樣,就實現防御了計算機被欺騙. 同時,ARP衛(wèi)士對每一個發(fā)送出去的ARP應答都進行檢測,只有符合規(guī)則的ARP數據包才會被發(fā)送出去,這樣就實現了對發(fā)送攻擊的攔截...

　　洪水攔截：通過此項設置，可以對規(guī)則列表中出現了SYN洪水攻擊、UDP洪水攻擊、ICMP洪水攻擊的機器進行懲罰。當局域網 內某臺計算機所發(fā)送的SYN報文、UDP報文、ICMP報文超出此項設置中所規(guī)定的上限時，“ARP衛(wèi)士”客戶端將會按 照預設值對其進行相應懲罰。在懲罰時間內，這臺計算機將不會再向網絡內發(fā)送相應報文。但懲罰不會對已建立 的連接產生影響。

　　流量控制：通過此項設置，可以對規(guī)則列表中的所有計算機進行廣域網及局域網的上傳及下載流量進行限制(即所謂的網絡 限速)。鼠標右鍵單擊“排除機器列表”窗口即可對其中內容進行修改、編輯。存在于“排除機器列表”中的IP地址將不 會受到流量控制的約束。

　　ARP Guard(ARP衛(wèi)士)的確可以從根本上徹底解 決ARP欺騙攻擊所帶來的所有問題。它不僅可以保護計算機不受ARP欺騙攻擊的影響，而且還會對感染了ARP攻擊病毒或欺騙木馬的 病毒源機器進行控制，使其不能對局域網內其它計算機進行欺騙攻擊。保持網絡正常通訊，防止帶有ARP欺騙攻擊的機器對網內計 算機的監(jiān)聽，使瀏覽網頁、數據傳輸時不受ARP欺騙者限制。

　　總體來看我覺得這個軟件是目前市面上最好的了。同時在線客服工作也很負責。但有些時候對于網管來說還是不太方便。比如管理端換了IP。那么下面的客戶端只能重新指向新的IP。再有軟件不能對所有的無盤系統(tǒng)都支持。對LINUX操作系統(tǒng)也不能支持。希望這些能夠盡快被軟件開發(fā)商注意并及時更新。好了，說了這么多，希望能夠給大家解決ARP掉線問題，提供幫助。