企业网络的心腹大患ARP欺骗和攻击问题

局域网ARP欺骗和攻击主要特点及解决方式摘要对局域网频繁发生的ARP欺骗的问题进行论证,分析常见的几种ARP 欺骗和攻击方式,讨论通过IP-MAC双向绑定等方式,从客户端、网关等多个方面提出防御和解决ARP攻击的多种方法,以达到维护局域网络安全的目的。

关键词ARP欺骗;IP-MAC双向绑定;网络安全1 ARP协议的定义及功能ARP协议(Address Resolution Protocol),或称地址解析协议。

ARP协议用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。

ARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址或称MAC地址)来确定接口的,而不是根据32位的IP地址。

内核(如驱动)必须知道目的端的硬件地址才能发送数据。

MAC地址(硬件地址或称以太网地址)即网卡物理地址都是固化在网卡中的,而IP地址所要转化的物理地址就是网卡的物理地址。

在网络传输中数据包的单位我们称之为“帧”(Frame),“帧”数据是由两部分组成的:帧头和帧数据。

帧头包括接收方主机物理地址的定位以及其它网络信息。

在以太网中,两台主机间假如要进行通信,就必须事先知道对方的MAC地址。

ARP 协议的基本功能就在于此,它将目标设备的IP地址,通过ARP映射表转换成为MAC地址。

每台安装有TCP/IP协议的计算机主机里都有一个ARP缓存表,表中的IP地址与MAC地址是一一对应的,如下表所示:2 ARP欺骗和攻击方式ARP缓存表进行更新一个最大的缺点从来不验证收到的的真伪,也就是说从来不会去验证自己是否曾经发送过这个ARP请求,一般收到ARP应答包后只是简单的将应答包里的MAC地址与IP映射关系替换掉原有的ARP缓存表里的相应信息,这个漏洞就为第三方进行ARP欺骗和攻击提供了可乘之机。

一般的ARP 攻击有以下几种:1)拒绝服务攻击拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。

网络广播风暴的影响及应对措施【摘要】：网络广播风暴对网络应用会产生极坏性影响, 严重时会导致网络瘫痪。

如何预防和应对网络广播风暴,是网络管理员必须应对的一个课题。

文章介绍了网络广播风暴产生的表现特征, 从理论上分析了产生的原因, 并介绍了具体的应对方法。

【关键词】：网络广播风暴;网络环路;病毒;危害;应对措施一、概述所谓广播风暴，简单的讲，当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常的数据包无法正常在网络中传送，正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。

一个数据帧或包被传输到本地网段 (由广播域定义)上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播数据在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。

广播可以理解为一个人对在场的所有人说话。

这样做的好处是通话效率高, 信息只需发送一遍就可以传递到网络中的所有计算机。

但是, 即使没有用户人为地发送广播帧, 网络上也会出现一定数量的广播帧。

广播示意图需要注意的是, 广播不仅会占用大量的网络带宽, 而且还将占用计算机大量的CPU处理时间。

广播风暴就是网络长时间被大量的广播数据包所占用, 使正常的点对点通信无法正常进行, 其外在表现为网络速度奇慢无比, 甚至导致网络瘫痪。

二、广播风暴产生原因广播风暴的产生有多种原因，如蠕虫病毒、ARP病毒、交换机端口故障、网卡故障、网络环路等。

一般情况下，产生网络广播风暴的原因，主要有以下几种：1、网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。

损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，占用网络带宽引发广播风暴。

由于网卡物理损坏引起的广播风暴，故障比较难排除，损坏的网卡一般还能上网，我们一般用Sniffer 协议类分析软件，查看网络数据流量，来判断故障点的位置。

2、网络环路：曾经在一次的网络故障排除中，发现一个低层次的错误，一条双绞线，两端插在同一个集线器或交换机的不同端口上，导致了网络性能骤然下降，打开内网网页和应用系统都非常困难。

arp攻击与防护措施及解决方案为有效防范ARP攻击，确保网络安全，特制定ARP攻击与防护措施及解决方案如下：1.安装杀毒软件安装杀毒软件是防范ARP攻击的第一步。

杀毒软件可以帮助检测和清除ARP病毒，保护网络免受ARP攻击。

在选择杀毒软件时，应确保其具有实时监控和防御ARP攻击的功能。

2.设置静态ARP设置静态ARP是一种有效的防护措施。

通过在计算机上手动设置静态ARP表，可以避免网络中的ARP欺骗。

在设置静态ARP 时，需要将计算机的MAC地址与IP地址绑定，以便在接收到ARP 请求时进行正确响应。

3.绑定MAC地址绑定MAC地址可以防止ARP攻击。

在路由器或交换机上，将特定设备的MAC地址与IP地址绑定，可以确保只有该设备能够通过ARP协议解析IP地址。

这种绑定可以提高网络安全性，避免未经授权的设备接入网络。

4.限制IP访问限制IP访问可以防止ARP攻击。

通过设置访问控制列表(AC1),可以限制特定IP地址的网络访问权限。

这样可以避免网络中的恶意节点发送ARP请求，确保网络通信的安全性。

5.使用安全协议使用安全协议可以进一步提高网络安全性。

例如，使用IEEE802.IX协议可以验证接入网络的设备身份，确保只有授权用户可以访问网络。

此外，还可以使用其他安全协议，如SSH或VPN 等，以加密网络通信，防止ARP攻击。

6.配置网络设备配置网络设备是防范ARP攻击的重要环节。

在路由器、交换机等网络设备上，可以设置ARP防护功能，例如ARP欺骗防御、ARP安全映射等。

这些功能可以帮助识别并防御ARP攻击，保护网络免受ARP病毒的侵害。

7.定期监控网络定期监控网络是确保网络安全的有效手段。

通过监控网络流量、异常IP连接等指标，可以及时发现ARP攻击的迹象。

一旦发现ARP攻击，应立即采取措施清除病毒，修复漏洞，并重新配置网络设备以确保安全性。

8.制定应急预案制定应急预案有助于快速应对ARP攻击。

应急预案应包括以下几个方面:(1)确定应急响应小组：建立一个专门负责网络安全问题的小组，明确其职责和权限。

浅谈企业网ARP病毒的危害及防治（第四采油厂第四油矿）摘要：局域网中感染ARP病毒的情况也越来越多。

而且该病毒危害较大。

病毒的防范措施。

掌握其防范和清除方法十分必要。

清除方法，浅谈ARP病毒的危害及防治。

主题词：ARP病毒，危害，防范措施，清除方法引言随着网络技术的发展，局域网的使用日益广泛，局域网中感染ARP病毒的情况也越来越多，而且该病毒危害较大，清理和防范较难，给网络管理员和用户造成了诸多困扰。

因此，了解ARP病毒，掌握其防范和清除方法十分必要。

1 ARP病毒的影响最近一段时期，在互联网中出现了一种以网络ARP协议为工作原理的病毒，它以破坏局域网的网络链接为目标，欺骗网关，阻断入网计算机，造成计算机无法连接网络或网络时断时续，此病毒一经产生便大规模地在网络中蔓延，造成了很大的影响。

采油厂企业网属于大型局域网，它采用以太网的通信规则进行数据的交换和传输。

在企业网的日常管理和安全维护中，我们发现了多起ARP病毒入侵网络的现象，它们常常使网络时断时续、主机IP地址冲突、网页连接错误，给员工日常的办公和油田生产数据的传输带来了较大的影响。

因此，ARP病毒的防治已成为采油厂企业网管理和维护的首要任务。

1.1 ARP病毒的起源许多局域网出现网络运行不稳定，频繁断网、IE浏览器接连出错、IP地址冲突等问题。

国家计算机病毒应急处理中心通报一种新型“地址解析协议欺骗”(简称：ARP欺骗)的恶意木马程序正在网络中传播。

论文检测，清除方法。

这是ARP病毒第一次公开出现在大众视线中，从此，ARP病毒逐渐在校园网、部门网、企业网、社区网以及网吧等局域网中蔓延。

1.2ARP病毒的原理ARP病毒是利用局域网中ARP协议工作原理进行网络破坏的。

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

每台交换机或安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP 地址与MAC地址是一一对应的，如下表所示：Internet Address Physical Address Type10.64.192.12 00-06-29-38-cf-54 dynamic10.64.192.16 00-d0-b7-a8-26-38 dynamic10.64.192.29 00-17-08-5c-b0-a1 dynamic10.64.192.228 00-17-a4-44-74-19 dynamic1.3 ARP病毒的分类ARP病毒在发展的过程中演化出了许多变种，经过研究，按照ARP病毒的原理主要可分为以下四类：类型一：发送arp数据包，伪装网段内其他主机的MAC地址，使得被伪装的主机无法接入企业网。

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

2基本功能ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。

从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。

ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据链路层（MAC层，也就是相当于OSI的第二层）的MAC地址。

ARP攻击的局限性ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行。

无法对外网（互联网、非本区域内的局域网）进行攻击。

3攻击原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过―ARP欺骗‖手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。

如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。

网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。

其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。

接着使用这个MAC地址发送数据（由网卡附加MAC地址）。

因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

解决企业ARP欺骗的方法ARP欺骗问题一直是需要解决的难题，在企业中有很多软件都可以实现ARP欺骗防护，例如我们熟知的小草上网行为管理软路由，但是我们还是需要了解更多的APR欺骗的知识。

这里整理了一些介绍不同网段ARP欺骗分析及对策。

把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

不同网段ARP欺骗分析假设A、C位于同一网段而主机B位于另一网段，三台机器的ip地址和硬件地址如下：A: IP地址192.168.0.1 硬件地址AA:AA:AA:AA:AA:AA;B: IP地址192.168.1.2 硬件地址BB:BB:BB:BB:BB:BB;C: IP地址192.168.0.3 硬件地址CC:CC:CC:CC:CC:CC。

在现在的情况下，位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话，即使欺骗成功，那么由主机B和主机A之间也无法建立telnet会话，因为路由器不会把主机A发给主机B的包向外转发，路由器会发现地址在192.168.0.这个网段之内。

现在就涉及另外一种欺骗方式——ICMP重定向。

把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的。

ICMP重定向报文是ICMP控制报文中的一种。

在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。

路由器也会把初始数据报向它的目的地转发。

我们可以利用ICMP重定向报文达到欺骗的目的。

下面是结合ARP欺骗和ICMP重定向进行攻击的步骤：为了使自己发出的非法IP包能在网络上能够存活长久一点，开始修改IP包的生存时间TTL为下面的过程中可能带来的问题做准备。

把TTL改成255。

(TTL定义一个IP包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播)。

下载一个可以自由制作各种包的工具(例如hping2)。

企业局域网怎样查杀ARP病毒、防范ARP木马攻击？在企业局域网中，恐怕网管员经常遇到的一个问题是：局域网ARP攻击。

ARP攻击具有巨大的危害，将会使得局域网电脑大面积掉线，严重影响员工上网，也导致企业信息化系统无法正常运转，从而间接影响了单位的经常的生产和经营活动。

为此，企业局域网必须严防ARP攻击行为、防范ARP欺骗，防止ARP攻击导致的断网现象。

那么，什么是ARP攻击、ARP欺骗呢？在这里,我们请教北京万任科技UniERM网络流量综合管理系统的相关技术人员.了解到ARP攻击的原理其实就是攻击主机会向局域网电脑广播一个错误的ARP信息，一般而言发送的ARP攻击包不外乎攻击者的MAC地址加上网关的IP地址，这样局域网电脑在受到这种ARP攻击报文时，会更新自己电脑的ARP表项，然后就认为攻击源主机的MAC地址就是网关的MAC地址，由于局域网通讯是通过MAC地址来进行传输的，因此受到ARP攻击的电脑就会将报文发送到发动ARP攻击的电脑上了，然后攻击源主机就会获取被攻击电脑的所有上网报文，然后再通过一定的技术手段解析出报文里面的具体信息，如密码、口令等；当然，大多数ARP攻击行为是为了控制电脑的数据包的发送进而控制电脑的上网速度，达到限制局域网电脑网速，然后独占上网流量的目的。

此外，一些恶意的ARP攻击行为会伪造一个错误的MAC地址然后广播给局域网所有的电脑，然后让局域网受到攻击的电脑将公网报文发送到一个不存在的MAC地址，从而达到使得整个局域网电脑无法上网的目的。

那么，企业网管员如何应对ARP攻击、防止ARP病毒攻击呢？万任科技UniERM流量管理系统的技术认为介绍到:当前国内企业局域网防ARP病毒攻击的几种最常见的做法，这些ARP攻击防护方法如果应用得当，可以很大程度上避免ARP攻击对局域网造成的各种危害，保证网络的安全、稳定和畅通。

1、部署ARP防火墙防御ARP攻击、抵御ARP欺骗。

通过对ARP攻击原理的分析得知，有效防止ARP断网攻击的方法就是采用ARP防火墙来绑定电脑的ARP表项，也就是网关的IP和MAC地址进行绑定。

企业如何选择最佳的ARP欺骗攻击解决方案对于ARP攻击防治，最好的方法是先踏踏实实把基本防制工作做好，才是根本解决的方法。

由于市场上的解决方式众多，我们无法一一加以说明优劣，因此本文解释了ARP攻击防治的基本思想。

防治ARP攻击，哪种方式让您轻松无忧?由于最近ARP欺骗/攻击反反复复，而市场上的各种防制方式让广大读者应接不暇，如何才能有效防制ARP，是今天我们所有技术人员都要应对的问题。

最近一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。

对于ARP攻击防治，最好的方法是先踏踏实实把基本防制工作做好，才是根本解决的方法。

由于市场上的解决方式众多，我们无法一一加以说明优劣，因此本文解释了ARP攻击防治的基本思想。

我们认为读者如果能了解这个基本思想，就能自行判断何种防治方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。

一、不坚定的ARP协议一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP 欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。

ARP攻击的原理，互联网上很容易找到，这里不再覆述。

原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。

这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。

就像一个没有计划的快递员，想要送信给“张三”，只在马路上问“张三住那儿?”，并投递给最近和他说“我就是!”或“张三住那间!”，来决定如何投递一样。

在一个人人诚实的地方，快递员的工作还是能切实地进行;但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。

我们再回来看ARP攻击和这个意志不坚定快递员的关系。

常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。

攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。

ＡＲＰ欺骗及防范方法本文先介绍了ARP欺骗的工作原理，然后给出了一种防范ARP欺骗的方法和具体实现的例子。

标签：ARP欺骗DHCP嗅探动态ARP检测在OSI七层网络模型中，由于ARP协议(Address Resolution Protocol，地址解析协议)是一个较底层协议，似乎扮演着一个不怎么重要的角色，因此一般受到关注的程度都不够。

但是实际上这个不怎么惹人注意的协议却是现在大多数网络通信的基础，并且随着网络技术的飞速发展，大量的团体、机构、单位都建立了自己的网络，因而，其安全性研究越来越受到重视。

一、ARP欺骗分析在以太局域网中，IP地址不能直接用来进行通信。

因为以太网络设备只能识别MAC地址，如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址，因此必须将IP地址解析为MAC地址。

ARP协议就是用来完成IP地址转换为第二层物理地址(即MAC地址)的专用协议。

网络中每台计算机（包括路由器）都有一个ARP高速缓存（位于内存中）存放最近的IP地址到MAC地址之间的对应条目。

默认情况下，源计算机会先查询ARP缓存来完成目的计算机IP到MAC的转换，只有当在ARP缓存中没有找到该对应条目时，源计算机才会向以太局域网广播一个ARP请求报文来获取目的计算机MAC地址，并且只有具有和目的计算机相同IP的计算机收到这份广播报文才会向源计算机回送一个包含其IP和MAC的ARP应答报文，同时源计算机会将该IP-MAC对应条目加到自己的ARP高速缓存中，供以后使用，但该ARP高速缓存有一定的存活期，时间一到，ARP高速缓存中的IP-MAC对应条目便会被删除，以便反映网络的变化。

从ARP的转换过程可以看到，只要ARP缓存中有对应的IP-MAC条目，它都会直接进行IP到MAC的转换。

因此，必需保证ARP缓存是正确的。

但ARP 有一个特点，计算机只要收到ARP应答，不管自己是否在此之前曾发出ARP请求报文，都会自动更新自己的ARP缓存，因此这种IP-MAC的对应条目，不能保证是正确的。

ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。

比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。

如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp-d后，又可恢复上网。

ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。

该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。

如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

一般情况下，受到ARP攻击的计算机会出现两种现象： 1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。

2.计算机不能正常上网，出现网络中断的症状。

因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，ARP P 不予拦截。

因此普通的防火墙很难抵挡这种攻击。

对AR 攻击的防护防止ARP攻击是比较困难的,修改协议也是不大可能。

但是有一些工作是可以提高本地网络的安全性。

首route e 先，你要知道，如果一个错误的记录被插入ARP或者IP rout 表，可以用两种方式来删除。

a.使用arp–d host_entry b.自动过期，由系统删除这样，可以采用以下的一些方法：1）.减少过期时间#ndd–set/dev/arp arp_cleanup_interval 60000#ndd-set/dev/ip ip_ire_flush_interval60000 60000=60000毫秒默认是300000加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。