網吧組網光纖接入與ADSL接入的較量 電腦技術吧

在“網吧ARP欺騙的原理及危害”一文中為大家介紹了ARP欺騙攻擊的原理以及危害程度，相信各位網絡管理員讀者都對ARP欺騙深表痛恨，希望能夠徹底的禁止該現象的發生。雖然筆者不是網吧管理員，但是也在單位負責五個機房共200台計算機。

所以下面就根據筆者的經驗為大家介紹如何來防止ARP欺騙，文章所說的這些方法對網吧或普通局域網都是適用的。

企業可以通過發布網絡管理制度來禁止ARP欺騙問題的發生，發現有欺騙者和獎金等效益掛鉤。但是網吧不同於企業，來使用計算機和網絡的都是顧客，也就是“上帝”，我們不可能對他們的行為做過多的約束，所以唯一能做的就是從技術上盡最大可能約束和檢查ARP欺騙的來源。

一，sniffer檢測法：

sniffer是網絡管理的好工具，網絡中傳輸的所有數據包都可以通過sniffer來檢測。同樣arp欺騙數據包也逃不出sniffer的監測范圍。

一般來說ARP欺騙數據包沒有留下發送虛假信息的主機地址，但是承載這個ARP包的ethernet幀卻包含了他的源地址。而且正常情況下ethernet數據幀中，幀頭裡的MAC源地址/目標地址應該和幀數據包中ARP信息配對，這樣的ARP包才算是正確的。如果不正確，肯定是假冒的包，當然如果匹配的話，我們也不能過於放松，一樣不能代表是正確的，另外通過檢測到的數據包再結合網關這裡擁有的本網段所有MAC地址網卡數據庫，看看哪個和Mac數據庫中數據不匹配，這樣就可以找到假冒的ARP數據包，並進一步找到凶手了。

關於MAC地址網卡數據庫可以在第一次裝系統的時候進行記錄，將網吧座位號與MAC地址等信息做一個對應表格。查看MAC地址的方法是通過“開始->運行”，進入命令提示窗口，然後輸入ipconfig /all。在physical address的右邊就是相應網卡的MAC地址。

二，DHCP結合靜態捆綁法：

要想徹底避免ARP欺騙的發生，我們需要讓各個計算機的MAC地址與IP地址唯一且相對應。雖然我們可以通過為每台計算機設置IP地址的方法來管理網絡，但是遇到那些通過ARP欺騙非法攻擊的用戶來說，他可以事先自己手動更改IP地址，這樣檢查起來就更加復雜了，所以說保證每台計算機的MAC地址與IP地址唯一是避免ARP欺騙現象發生的前提。

（1）建立DHCP服務器保證MAC地址與IP地址唯一性：

首先我們可以在windows 2000 server或其他服務器版操作系統上啟用DHCP服務，為網吧建立一個DHCP服務器，一般來說建議在網關上搭建。因為DHCP不占用多少CPU，而且ARP欺騙攻擊一般總是先攻擊網關，攻擊網關的同時由於網關這裡有監控程序，所以可以在第一時間發現攻擊行為。當然為了減少攻擊的發生機率我們也可以把網關地址設置為網段的第二個地址，例如192.168.1.2，把192.168.1.

另外所有客戶機的IP地址及其相關主機信息，只能由網關這裡取得，網關這裡開通DHCP服務，但是要給每個網卡，綁定固定唯一IP地址。一定要保持網內的機器IP/MAC一一對應的關系。這樣客戶機雖然是DHCP取地址，但每次開機的IP地址都是一樣的。以上這些綁定關系可以通過DHCP的地址池來解決，或者將客戶端獲得IP等網絡參數信息的租約設置為一個非常長的時間，例如一年或者無限時間，這樣在此時間段裡只要MAC地址不變，客戶端獲得的IP地址也是不變的。

（2）建立MAC地址數據庫：

把網吧內所有網卡的MAC地址記錄下來，每個MAC和IP、地理位置統統裝入數據庫，以便及時查詢備案。可以以EXCEL表格的形式，也可是保存成數據庫文件。

（3）禁止ARP動態更新：

為了防止網關被隨意攻擊，我們還需要在網關機器上關閉ARP動態刷新功能，這樣的話，即使非法用戶使用ARP欺騙攻擊網關的話，對網關是