ARP攻击防制进阶篇---侠诺科技ARP防制经验谈

前段时间，侠诺科技针对“ARP病毒防制方案”进行简单介绍，得到了广大用户和业界的关注与好评。近期，侠诺科技的技术工程师在工作又得到了新的发现，为了进一步让大家了解并防制ARP，特推出了ARP攻击防制进阶篇，与用户们共同探讨、研究。
要了解ARP欺骗攻击, 我们首先要了解ARP协议以及它的工作原理，以更好的来防范和排除ARP攻击的带来的危害。本文为大家带来进阶的ARP攻击防制方法。

基本ARP介绍
ARP “Address Resolution Protocol”（地址解析协议），局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

ARP协议的工作原理：在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如表所示。

IP址	MAC地址
192.168.1.1	00-0f-3d-83-74-28
192.168.1.2	00-aa-00-62-c5-03
192.168.1.3	03-aa-01-75-c3-06

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其它主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。

基本ARP病毒防制法
通过对 ARP工作原理得知，如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者乾脆伪造一个假的网关进行欺骗的话，网络就肯定会出现大面积的掉线问题，这样的情况就是典型的 ARP攻击，对遭受ARP攻击的判断，其方法很容易，你找到出现问题的电脑点开始运行进入系统的DOS操作。ping路由器的LAN IP丢包情况。输入ping 192.168.1.1（网关IP地址），如图。

内网ping路由器的LAN IP丢几个包，然后又连上，这很有可能是中了ARP攻击。为了进一步确认，我们可以通过查找ARP表来判断。输入ARP -a命令，显示如下图。

可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很显然，这就是 ARP欺骗造成的。
在理解了ARP之后，ARP欺骗攻击以及如何判断此类攻击，我们简单介绍一下如何找到行之有效的防制办法来防止这类攻击对网络造成的危害。
Qno侠诺工程师的一般处理办法分三个步骤来完成。

1. 激活防止ARP病毒攻击
   进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。
2. 对每台pc上绑定网关的IP和其MAC地址
   在每台PC机上进入dos操作，输入arp ―s 192.168.1.1(网关IP) 00-0f-3d-83-74-28(网关MAC),Enter后完成每台PC机的绑定。
   针对网络内的其它主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作，如果重起了电脑，作用就会消失，所以可以把此命令做成一个批处理文件，放在操作系统的启动里面，批处理文件可以这样写：
   @echo off
   arp -d
   arp -s路由器LAN IP 路由器LAN MAC
3. 在路由器端绑定用户IP/MAC地址：
   在DHCP功能中对IP/MAC进行绑定，Qno路由器提供了一个显示新加入的IP地址的功能，通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表，我们可以通过“√”选的功能选择绑定IP/MAC。

进阶ARP病毒防制
单靠这样的操作基本可以解决问题，但是Qno侠诺的技术工程师建议通过进一步通过一些手段来进一步控制ARP的攻击。

1. 病毒源，对病毒源头的机器进行处理，杀毒或重新装系统。此操作比较重要，解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。
2. 网吧管理员检查局域网病毒，安装杀毒软件（金山毒霸/瑞星，必须要更新病毒代码），对机器进行病毒扫描。
3. 给系统安装补丁程序，通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)
4. 给系统管理员帐户设置足够复杂的强密码，最好能是12位以上，字母+数字+符号的组合；也可以禁用/删除一些不使用的帐户
5. 经常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并使用网络防火□软件，网络防火□在防病毒过程中也可以起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁，不妨通过使用网络防火□等其它方法来做到一定的防护
6. 关闭一些不需要的服务，条件允许的可关闭一些没有必要的共享，也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务
7. 不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

ARP攻击防制是一个任重而道远的过程，必须高度重视这个问题，而且不能大意马虎，我们可以采取以上Qno侠诺技术工程师的建议随时警惕ARP攻击，以减少受到的危害，提高工作效率，降低经济损失。
若遇到相关的或者其它技术上的问题，您可以随时登录www.qno.cn网站，我们的专业工程师有设有专业路由技术论坛，在那里您将得到更详细、更专业的解答与帮助。