ARP攻擊防制進(jìn)階篇---ARP防制經(jīng)驗(yàn)談

基本ARP介紹“Address Resolution Protocol”（地址解析協(xié)議）， 局域網(wǎng)中， 網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?ldquo;幀”， 幀里面是有目標(biāo)主機(jī)的MAC地址的。 所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。 ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址， 查詢目標(biāo)設(shè)備的MAC地址， 以保證通信的順利進(jìn)行。

ARP協(xié)議的工作原理：在每臺(tái)安裝有TCP/IP協(xié)議的計(jì)算機(jī)里都有一個(gè)ARP緩存表， 表里的IP地址與MAC地址是一一對(duì)應(yīng)的， 如表所示。

<P>我們以主機(jī)A（192.168.1.5）向主機(jī)B（192.168.1.1）發(fā)送數(shù)據(jù)為例。 當(dāng)發(fā)送數(shù)據(jù)時(shí)， 主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。 如果找到了， 也就知道了目標(biāo)MAC地址， 直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址， 主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播， 目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”， 這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“192.168.1.1的MAC地址是什么？”網(wǎng)絡(luò)上其它主機(jī)并不響應(yīng)ARP詢問(wèn)， 只有主機(jī)B接收到這個(gè)幀時(shí)， 才向主機(jī)A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。 ”這樣， 主機(jī)A就知道了主機(jī)B的MAC地址， 它就可以向主機(jī)B發(fā)送信息了。 同時(shí)它還更新了自己的ARP緩存表。

     基本ARP病毒防制法</SPAN><BR>通過(guò)對(duì) ARP工作原理得知， 如果系統(tǒng)ARP緩存表被修改不停的通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)IP或者乾脆偽造一個(gè)假的網(wǎng)關(guān)進(jìn)行欺騙的話， 網(wǎng)絡(luò)就肯定會(huì)出現(xiàn)大面積的掉線問(wèn)題， 這樣的情況就是典型的 ARP攻擊， 對(duì)遭受ARP攻擊的判斷， 其方法很容易， 你找到出現(xiàn)問(wèn)題的計(jì)算機(jī)點(diǎn)開始運(yùn)行進(jìn)入系統(tǒng)的DOS操作。 ping路由器的LAN IP丟包情況。 輸入ping 192.168.1.1（網(wǎng)關(guān)IP地址）,內(nèi)網(wǎng)ping路由器的LAN IP丟幾個(gè)包， 然后又連上， 這很有可能是中了ARP攻擊。 為了進(jìn)一步確認(rèn)， 我們可以通過(guò)查找ARP表來(lái)判斷。 輸入ARP -a命令.可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很顯然， 這就是 ARP欺騙造成的。

在理解了ARP之后， ARP欺騙攻擊以及如何判斷此類攻擊， 我們簡(jiǎn)單介紹一下如何找到行之有效的防制辦法來(lái)防止這類攻擊對(duì)網(wǎng)絡(luò)造成的危害。

    一般處理辦法分三個(gè)步驟來(lái)完成。

1. 激活防止ARP病毒攻擊

   進(jìn)入路由器的防火的基本配置欄將“防止ARP病毒攻擊”在這一行的“激活”并確定。

2. 對(duì)每臺(tái)pc上綁定網(wǎng)關(guān)的IP和其MAC地址

   在每臺(tái)PC機(jī)上進(jìn)入dos操作， 輸入arp ―s 192.168.1.1(網(wǎng)關(guān)IP) 00-0f-3d-83-74-28(網(wǎng)關(guān)MAC),Enter后完成每臺(tái)PC機(jī)的綁定。

   針對(duì)網(wǎng)絡(luò)內(nèi)的其它主機(jī)用同樣的方法輸入相應(yīng)的主機(jī)IP以及MAC地址完成IP與MAC綁定。 但是此動(dòng)作， 如果重起了計(jì)算機(jī)， 作用就會(huì)消失， 所以可以把此命令做成一個(gè)批處理文件， 放在操作系統(tǒng)的啟動(dòng)里面， 批處理文件可以這樣寫：

   @echo off

   arp -d

   arp -s路由器LAN IP 路由器LAN MAC

3. 在路由器端綁定用戶IP/MAC地址：

   在DHCP功能中對(duì)IP/MAC進(jìn)行綁定， Qno路由器提供了一個(gè)顯示新加入的IP地址的功能， 通過(guò)這個(gè)功能可以一次查找到網(wǎng)絡(luò)內(nèi)部的所有PC機(jī)的IP/MAC的對(duì)應(yīng)列表， 我們可以通過(guò)“√”選的功能選擇綁定IP/MAC。

進(jìn)階ARP病毒防制

單靠這樣的操作基本可以解決問(wèn)題， 但是Qno俠諾的技術(shù)工程師建議通過(guò)進(jìn)一步通過(guò)一些手段來(lái)進(jìn)一步控制ARP的攻擊。

1. 病毒源， 對(duì)病毒源頭的機(jī)器進(jìn)行處理， 殺毒或重新裝系統(tǒng)。 此操作比較重要， 解決了ARP攻擊的源頭PC機(jī)的問(wèn)題， 可以保證內(nèi)網(wǎng)免受攻擊。
2. 網(wǎng)吧管理員檢查局域網(wǎng)病毒， 安裝殺毒軟件（金山毒霸/瑞星， 必須要更新病毒代碼）， 對(duì)機(jī)器進(jìn)行病毒掃描。
3. 給系統(tǒng)安裝補(bǔ)丁程序， 通過(guò)Windows Update安裝好系統(tǒng)補(bǔ)丁程序(關(guān)鍵更新、安全更新和Service Pack)
4. 給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的強(qiáng)密碼， 最好能是12位以上， 字母+數(shù)字+符號(hào)的組合；也可以禁用/刪除一些不使用的帳戶
5. 經(jīng)常更新殺毒軟件（病毒庫(kù)）， 設(shè)置允許的可設(shè)置為每天定時(shí)自動(dòng)更新。 安裝并使用網(wǎng)絡(luò)防火□軟件， 網(wǎng)絡(luò)防火□在防病毒過(guò)程中也可以起到至關(guān)重要的作用， 能有效地阻擋自來(lái)網(wǎng)絡(luò)的攻擊和病毒的入侵。 部分盜版Windows用戶不能正常安裝補(bǔ)丁， 不妨通過(guò)使用網(wǎng)絡(luò)防火□等其它方法來(lái)做到一定的防護(hù)
6. 關(guān)閉一些不需要的服務(wù)， 條件允許的可關(guān)閉一些沒(méi)有必要的共享， 也包括C$、D$等管理共享。 完全單機(jī)的用戶也可直接關(guān)閉Server服務(wù)
7. 不要隨便點(diǎn)擊打開QQ、MSN等聊天工具上發(fā)來(lái)的鏈接信息， 不要隨便打開或運(yùn)行陌生、可疑文件和程序， 如郵件中的陌生附件， 外掛程序等。