不再談ＡＲＰ色變ＡＲＰ攻擊原理與防御

今年在網絡安全領域中，ARP應該是出現頻率最高的名詞之一了，各種ARP病毒、ARP木馬、ARP網絡管理工具層出不窮。無論是校園局域網還是單位內部網都深受其害，但ARP到底是什么呢?

ARP協議

在局域網中，雖然我們習慣用IP地址來標識計算機，但在網絡數據傳輸過程中，真正起到地址作用的是“MAC地址”。MAC(Media Access Control)地址又稱物理地址，它通常由網卡生產廠家燒入網卡的EPROM(一種閃存芯片)，一般情況下它是全球唯一的。

一個主機要和另一個主機直接通信，必須知道目標主機的MAC地址。ARP協議“Address Resolution Protocol(地址解析協議)”的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，我們可以通過在DOS命令提示符下，輸入：arp-a來獲得本機的ARP緩存表。

如果在ARP緩存表中沒有找到相對應的IP地址，主機就會在網絡上發送一個廣播，目標IP的主機接收到這個幀時，會向主機做出相應的回應。這樣，主機就知道了目標主機的MAC地址，就可以向目標主機發送信息了。

ARP攻擊原理

ARP攻擊的最主要手段就是用偽造源MAC地址發送ARP響應包，對ARP高速緩存機制的攻擊。攻擊者持續不斷地發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存(A可不知道被偽造了)。當攻擊源大量向局域網中發送虛假的ARP信息后，就會造成局域網中的機器ARP緩存的崩潰。以筆者所在的網絡為例，通過抓包工具捕獲數據包的結果來看，可以明顯看到一個ARP攻擊者的攻擊情況。

ARP攻擊的目的和現象

當局域網內某臺主機運行ARP的欺騙木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網，現在則轉由通過病毒主機上網。

這樣做的目的有很多，比如用戶已經登錄了網游服務器，病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄網游服務器，病毒主機就可以趁機盜號。所以當你遇到下面幾個情況的時候，一定要注意可能是你的網絡中出現了ARP木馬。

1)上網速度突然變得異常的緩慢

2)經常斷線。

3)訪問所有的網站，殺毒軟件都會彈出窗口說頁面有病毒。

當懷疑局域網中存在ARP攻擊時，可以打開DOS命令提示符，輸入“arp-d”，清空ARP列表。如果能夠恢復網絡訪問，則基本可以確定局域網中存在ARP攻擊，或者有電腦染上了ARP病毒。接下來可以反復查看ARP列表，也就是反復使用“arp-a”命令(其間不要進行網絡通信)，如果發現除了網關以外的某個IP會自動出現在列表中，而這個IP又沒有和本機進行實質的數據通信，則基本可以確定攻擊源，接下來需要斷開該計算機的網絡連接并徹底殺毒。

應對ARP欺騙攻擊

面對兇猛的ARP攻擊，以上提到的方法只能應急，該如何進行全面防范呢?利用Anti ARP Sniff，可以保護你的網卡和網關的通訊不被第三方監聽，讓ARP攻擊對你的愛機無技可施。Anti ARP Sniff可以100％防御所有利用ARP技術的惡意程序，發現異常并自動重寫ARP數據，它還具備追蹤ARP攻擊者的功能，能夠追蹤對方的IP地址，這樣我們就能找出ARP攻擊的“始作俑者”。

在Anti ARP Sniff主窗口的“網關地址”欄中輸入網關地址，點擊“獲取MAC”按鈕，獲得網關的MAC地址，之后點擊“自動保護”按鈕，即可開啟ARP攻擊保護功能，當局域網中有人試圖對本機進行攻擊時，Anti ARP Sniff~口可出現ARP欺騙提示信息，在“欺騙數據詳細記錄”列表中顯示ARP欺騙攻擊事件信息。從中選中合適的ARP攻擊事件，點擊“追捕攻擊者”按鈕。即可得到攻擊者的IP和MAC地址信息了，據此可以輕松找出局域網中的“破壞分子”。對于飽受ARP攻擊之苦的用戶，Anti ARP Sniff能讓你輕松擺脫煩惱。

通過參數設置，可以提高ARP防火墻的安全性能。點“工具”菜單下的“配置”，可以把“主動防御”設置為“始終防御”，“防御選項”的“ARP防御”可以設置為“安全模式”，這樣安全性就會更高。