arp攻击与防范

　如今互联网的重要性越来越大，很多人也对一些知识很感兴趣，那么你知道arp攻击与防范吗下面是我整理的一些关于arp攻击与防范的相关资料，供你参考。

　arp攻击与防范：

　一、要想防患arp攻击，那么我们要知道什么是arp

　ARP：地址解析协议，用于将32位的IP地址解析成48位的物理mac地址。

　在以太网协议中，规定同一局域网中的主机相互通信，必须知道对方的物理地址(即mac地址)，而在tcp/ip协议中，网络层和传输层只关心目标主机的ip地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层的IP协议提供的数据中，只包含目的主机的IP地址。所以就需要一种协议，根据目的的IP地址，获得其mac地址。所以arp协议就应运而生。

　另外，当发送主机和目的主机不在同一个局域网中时，即便知道目的主机的MAC地址，两者也不能直接通信，必须经过路由转发才可以。所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧，都将发往该路由器，通过它向外发送。这种情况称为ARP代理(ARP Proxy)。

　二、arp攻击的原理

　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

　ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内 其它 计算机的通信信息，并因此造成网内其它计算机的通信故障。

　三、什么是ARP欺骗

　在局域网中，黑客 经过收到ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。

　四、arp的攻击方式：

　1、ip地址冲突

　Arp病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。大量的攻击数据包能令受害主机耗费大量的系统资源。

　①单播型的IP地址冲突

　数据链路层记录的目的物理地址为被攻击主机的物理地址，这样使得该arp数据包只能被受攻击主机所接收，而不被局域网内其他主机所接收，实现隐蔽式攻击。

　②广播型的IP地址冲突

　数据链路层记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接收到该arp数据包，虽然该arp数据包所记录的目的IP地址不是受攻击主机的IP地址，但是由于该arp数据包为广播数据包，这样受攻击主机也会收到。

　2、arp泛洪攻击

　攻击主机持续把伪造的mac-ip映射对发给受害的主机，对于局域网内的所有主机和网管进行广播，抢占网络带宽和干扰正常通信。

　3、arp扫描攻击

　Arp攻击者向局域网发送arp请求，从而获得正在运行主机的IP和MAC地址的映射对。攻击源通过对arp扫描获得所要攻击的IP和mac地址，从而为网络监听、**用户数据，实现隐蔽式攻击做准备。

　4、虚拟主机攻击

　黑客通过在网络内虚拟构建网卡，将自己虚拟成网络内的一台主机，拥有虚拟的物理地址和IP地址。使得占用局域网内的IP地址资源，使得正常运行的主机会发生IP地址冲突，并且大量的虚拟主机攻击会使得局域网内的主机无法正常获得IP地址。

　5、ARP欺骗攻击

　目的是向目标主机发送伪造的arp应答，并使目标主机接收应答中的IP与MAC间的映射，并以此更新目标主机缓存。从而影响链接畅通。其方式有：冒充主机欺骗网关，原理是截获网关数据和冒充网关欺骗主机，原理是伪造网关。

　五、arp攻击防患 措施

　1、在客户端静态绑定IP地址和MAC地址

　进入命令行arp –a命令查看，获取本机的网关IP地址和网关mac地址

　编写一个批处理内容为：

　@echo off

　arp -d

　arp –s 网关的IP地址 自己的mac地址

　保存放置到开机启动项里

　2、设置arp服务器

　指定局域网内部的一台机器作为arp服务器，专门保存且维护可信范围内的所有主机的IP地址与mac地址的映射记录。该服务器通过查阅自己的arp缓存的静态记录，并以被查询主机的名义相应局域网内部的arp请求，同时设置局域网内部其他主机只是用来自arp服务器的arp响应。

　3、交换机端口设置

　通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范 方法 。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。

　不过，VLAN和交换机端口绑定的问题在于：

　①没有对网关的任何保护，不管如何细分VLAN，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。

　②把每一台电脑都牢牢地固定在一个交换机端口上，这种管理太死板了。这根本不适合移动终端的使用，从办公室到会议室，这台电脑恐怕就无法上网了。在无线应用下，又怎么办呢还是需要其他的办法。

　③实施交换机端口绑定，必定要全部采用高级的网管交换机、三层交换机，整个交换网络的造价大大提高。

　因为交换网络本身就是无条件支持ARP操作的，就是它本身的漏洞 造成了ARP攻击的可能，它上面的管理手段不是针对ARP的。因此，在现有的交换网络上实施ARP防范措施，属于以子之矛攻子之盾。而且操作维护复杂，基本上是个费力不讨好的事情。

　4、ARP个人防火墙

　在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。

　ARP个人防火墙也有很大缺陷：

　①它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏 网络知识 的用户恐怕也无所适从。

　②ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪”。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被**，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。

　因此，ARP个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的措施，它是个人的，不是网络的。

　5、安装监听软件

　可以安装sniffer软件，监听网络中的arp包，由于ARP欺骗往往使用广播形式传播，即使在交换机环境下也明显能监听到某PC端正在狂发arp包，可以定位到arp病毒源主机。

　6、反欺骗

　通过命令设置一个错误的网关地址，反欺骗arp病毒，然后再添加一条静态路由，设置正确的网关用于正常的网络访问。

 

 

解决办法，试验过各种办法都没有效果，包括：

　　1、修改Hosts文件

　　2、下载360安全卫士的什么固定时间的软件

　　3、升级操作系统补丁

　　4、升级杀毒软件的最新病毒库等等

　　今天上午，不甘心，继续在搜索引擎中寻找答案(而且这个问题必须解决，否则单位里同事上网基本上处于半瘫痪状态，绝大多数网站显示异常)，受到一个帖子的启发，认为16aus病毒现象应该是属于APR病毒欺骗攻击，所以就在Baidu里检索有关APR病毒欺骗攻击的解决方案，经过试验并论证，我们单位局域网电脑问题全部解决，不敢独享，特意将解决方案拿出来共享，希望能够帮到其他正为这个问题急得焦头烂额的同仁们!

具体的解决步骤如下(将网关的MAC地址进行静态绑定)：

　　第1步：关闭所有IE浏览器，进入CMD模式

　　第2步：输入arp -a指令，可以在返回的结果看到局域网网关的IP地址及MAC地址(网关MAC地址的正确性需要与网管确认一下，以防病毒已经在你电脑的ARP缓存中修改了网关的MAC地址)。

　　第3步：输入arp -s 网关IP地址 网关MAC地址，记住这里输入的MAC地址是需要正确的网关MAC地址。

　　第4步：进入网络属性，如果不是动态获IP地址，改成动态获IP地址(如果已经是动态获IP地址，则重新修复一下网络连接便可)。

　　第5步：问题解决了，打开IE，试验一下看看，是否以前有问题的网站现在都显示正常了。

　　注：

　　1、建议将第三步写成一个批处理文件，添加到启动项，否则每次启动之后将丢失配置。

　　2、如果是DNS服务器MAC地址被挟持，就处理相应DNS服务器MAC绑定。

　　3、以上方法只是治标，并没有治本，我们要共同尽快找到彻底清楚16aus元凶(也就是说在局域网的电脑内，必定有一台电脑确实中毒了或被挂上木马了)的方法。

ARP欺骗不是一种新技术。它已经存在了相当长的一段时间。

 

ARP欺骗就好像是攻击者不断地跟局域网中的其他设备说:"嘿！我是路由器！向我发送您想要在网络中交换的详细信息"。这是通过不断向该特定设备发送包含欺骗细节的ARP数据包，以便它相信它正在与它应该与之通话的设备通话。

 

而公共WiFi网络，使用场景恰恰能解释这一点:

 

假设有一家咖啡店，提供"免费WiFi"，方便客人连接互联网。"免费WiFi"由本地网络中IP地址为19216811的无线路由器提供服务，无线路由器的MAC地址为5F:8B:B9:86:29:22。然后，顺序发生以下事件:

 

1 合法用户连接到咖啡店提供的公共WiFi网络，并获得IP地址1681100。假设此用户使用的手机的MAC地址为9E:E6:85:8B:21:32。

 

 

2 用户打开他的手机浏览器并使用公共WiFi服务连接到互联网。在这种情况下，他的手机通过ARP表知道接入点的IP地址是16811，其MAC地址是5F:8B:B9:86:29:22。

 

3 攻击者连接到同一公共WiFi网络，并获得IP地址1681101。假设此用户正在使用MAC地址为8E:9E:E2:45:85:C0的笔记本电脑。

 

4 攻击者使用接入点19216811的IP地址而不是他分配的IP地址1921681101来制作包含其MAC地址8E:9E:E2:45:85:C0的伪ARP数据包。然后，攻击者使用这个精心制作的数据包来泛洪（广播）给合法用户的手机，其IP为1921681100，使其更新其ARP表条目:

 

 

一旦数据包被发送，移动电话的ARP表就会更新以下信息:19216811（接入点的IP）< - > 8E:9E:E2:45:85:C0（攻击者的MAC）而不是:19216811 （接入点的IP）< - > 5F:8B:B9:86:29:22（接入点的MAC）

 

发生这种情况时，用户每次连接到互联网时，网络流量并不是发送到无线路由器，而是会把所有的网络流量转发给攻击者的设备，因为网络中的设备的APP表中IP 19216811与攻击者的MAC地址是相关联的。然后攻击者接收到被攻击者的网络流量时是可以将接收到的网络流量转发到无线路由器（中间人攻击）再由无线路由器将这些网络流量发送到互联网上，又或者是直接不转发给路由器这样就会导致用户无法连接到互联网。

受到ARP欺骗攻击后，黑客就可以截取你所有的网络流量，再慢慢一一进行分析，这时，你所有的用网数据都变成透明公开的状态了。

 

那我们应该如何去防御呢？除了尽可能的不连接这些公共WiFi，还可以使用防火墙软件。除此之外最简单便捷的方式，那就是使用代理IP。这样，在用网的过程中，我们的真实数据被隐藏，并且加密传输，纵使是黑客，也很难破解你的账户与密码。因此，在不得不连接公共WIFI的情况下，记得使用代理IP，使用AES技术加密线上数据，开启数据保护。

1、ARP攻击

针对ARP的攻击主要有两种，一种是DOS,一种是Spoof。

ARP欺骗往往应用于一个内部网络，我们可以用它来扩大一个已经存在的网络安全漏洞。

如果你可以入侵一个子网内的机器，其它的机器安全也将受到ARP欺骗的威胁。同样，利用APR的DOS甚至能使整个子网瘫痪。

2、对ARP攻击的防护

防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。

首先，你要知道，如果一个错误的记录被插入ARP或者IP route表，可以用两种方式来删除。

a 使用arp –d host_entry

b 自动过期，由系统删除

这样，可以采用以下的一些方法：

1） 减少过期时间

#ndd –set /dev/arp arp_cleanup_interval 60000

#ndd -set /dev/ip ip_ire_flush_interval 60000

60000=60000毫秒 默认是300000

加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。

2） 建立静态ARP表

这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。

testnsfocuscom 08:00:20:ba:a1:f2

user nsfocuscom 08:00:20:ee:de:1f

使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个arp文件。这个方法，不适合于经常变动的网络环境。

3）．禁止ARP

可以通过ifconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在apr表中的计算机 ，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效和可行的