防范ARP攻击的方法全攻略

　　　Arp欺骗,即利用Arp协议的漏洞,通过向目标主机发送虚假Arp报文,来实现监听或截获目标主机通信数据的一种手段。但一旦将Arp欺骗用作非法目的,则会对网络用户及网络运行产生影响和破坏,如一些具有Arp欺骗功能木马病毒,不仅盗取网络用户的账户、密码等重要信息,还通过发送大量虚假Arp报文,使用户在上网过程中频繁掉线,造成网络的拥塞甚至大面积的网络瘫痪等,对网络管理及安全维护提出了严峻的考验。
　　
　　1 故障分析
　　
　　Arp欺骗分两种，一种是对路由器Arp表的欺骗；另一种是对内网PC的网关欺骗。第一种Arp欺骗的原理是截取网关数据。第二种Arp欺骗原理是通过交换机的MAC地址学习机制，伪造网关，它的原理是建立假的网关，让被它欺骗的PC向假网关发送数据，而不是通过正常的路由器或交换途径寻找网关，造成在同一网关的所有PC无法访问网络。
　　
　　2 Arp协议
　　
　　Arp协议虽然是一个高效的数据链路层协议，但作为一个局域网协议，它是建立在各主机之间相互信任的基础上的。所以Arp协议存在以下缺陷：Arp高速缓存根据所接收到的Arp协议包随时进行动态更新；Arp协议没有连接的概念，任意主机即使在没有Arp请求的时候也可以做出应答；Arp协议没有认证机制，只要接收到的协议包是有效的，主机就无条件的根据协议包的内容刷新本机Arp缓存，并不检查该协议包的合法性。因此攻击者可以随时发送虚假Arp包更新被攻击主机上的Arp缓存，进行地址欺骗或拒绝服务攻击。
　　针对交换机根据目的MAC地址来决定数据包转发端口的特点，Arp欺骗的实现： 假设主机C为实施Arp欺骗的攻击者，其目的是截获主机B和主机A之间的通 数据，且主机C在实施Arp欺骗前已经预先知道A和B的IP地址。这时C先发送Arp包获得主机B的MAC地址，然后向B发送Arp Reply数据包，其中源IP地址为A的IP地址，但是源MAC地址却是主机C的MAC地址。主机B收到该Arp Reply后，将根据新的IP地址与MAC映射对更新Arp缓存。这以后当B给A发送数据包时，目标MAC地址将使用C的MAC地址，因此交换机根据C的MAC地址就将数据包转发到攻击者C所在的端口。同理，攻击者C发送Arp Reply使主机A确信主机B的MAC地址为C的MAC地址。在间歇的发送虚假Arp Reply的同时，攻击者C打开本地主机的路由功能，将被劫持的数据包转发到正确的目的主机，这时攻击者对主机A和B来说是完全透明的，通信不会出现异常，但实际上数据包却被C非法截获，攻击者C成为了“中间人”。
　　
　　3 防范措施
　　
　　（1）在winxp下输入命令：
　　Arp -s gate-way-ip gate-way-mac固化Arp表，阻止Arp欺骗。
　　（2）通过查询IP--MAC对应表
　　A、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上。
　　B、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。
　　C、除非很有必要，否则停止使用Arp，将Arp做为永久条目保存在对应表中。
　　D、使用Arp服务器。通过该服务器查找自己的Arp转换表来响应其他机器的Arp广播。确保这台Arp服务器不被黑。
　　E、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由Arp条目），注意，使用交换集线器和网桥无法阻止Arp欺骗。
　　F、管理员定期用响应的IP包中获得一个rArp请求，然后检查Arp响应的真实性
　　G、使用防火墙连续监控网络。注意有使用SNMP的情况下，Arp的欺骗有可能导致陷阱包丢失。
　　（3）采用双向绑定的方法解决并且防止Arp欺骗
　　A、在PC上绑定路由器的IP和MAC地址：
　　B、首先，获得路由器的内网的MAC地址（例如网关地址192.168.16.254 的MAC地址为0022aa0022aa）。
　　编写一个批处理文件rArp.bat内容如下：@echo off Arp -d Arp -s 192.168.16.254 00-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址MAC地址,将这个批处理软件拖到“windows-开始-程序-启动”中。
　　C、在路由器上绑定用户主机的IP和MAC地址
　　（4）Arp防护软件——金山ARP防火墙 1.2
　　Arp防护软件——金山ARP防火墙 1.2（Arp卫士），通过系统底层核心驱动，无需安装其它任何第三方 软件(如WinPcap)，以服务及进程并存的形式随系统启动并运行，不占用计算机系统资源。无需对计算机进行IP地址及MAC地址绑定，从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建Arp缓存列表。