針對ARP病毒攻擊防治的進階經驗談

　　要了解ARP欺騙攻擊, 我們首先要了解ARP協議以及它的工作原理，以更好的來防范和排除ARP攻擊的帶來的危害。本文為大家帶來進階的ARP攻擊防制方法。

　　基本ARP介紹

　　ARP “Address Resolution Protocol”(地址解析協議)，局域網中，網絡中實際傳輸的是“幀”，幀裡面是有目標主機的MAC地址的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

　　ARP協議的工作原理：在每台安裝有TCP/IP協議的電腦裡都有一個ARP緩存表，表裡的IP地址與MAC地址是一一對應的，如表所示。

　　我們以主機A(192.168.1.5)向主機B(192.168.1.1)發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發出這樣的詢問：“192.168.1.1的MAC地址是什麼?”網絡上其它主機並不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表。

　　基本ARP病毒防制法

　　通過對 ARP工作原理得知，如果系統ARP緩存表被修改不停的通知路由器一系列錯誤的內網IP或者干脆偽造一個假的網關進行欺騙的話，網絡就肯定會出現大面積的掉線問題，這樣的情況就是典型的 ARP攻擊，對遭受ARP攻擊的判斷，其方法很容易，你找到出現問題的電腦點開始運行進入系統的DOS操作。ping路由器的LAN IP丟包情況。輸入ping 192.168.1.1(網關IP地址)，如下圖：

　　內網ping路由器的LAN IP丟幾個包，然後又連上，這很有可能是中了ARP攻擊。為了進一步確認，我們可以通過查找ARP表來判斷。輸入ARP -a命令，顯示如下圖：

　　可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很顯然，這就是 ARP欺騙造成的。

　　在理解了ARP之後，ARP欺騙攻擊以及如何判斷此類攻擊，我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網絡造成的危害。

　　Qno俠諾工程師的一般處理辦法分三個步驟來完成。

　　1、激活防止ARP病毒攻擊

　　進入路由器的防火的基本配置欄將“防止ARP病毒攻擊”在這一行的“激活”並確定。

　　2、對每台pc上綁定網關的IP和其MAC地址

　　在每台PC機上進入dos操作，輸入arp –s 192.168.1.1(網關IP) 00-0f-3d-83-74-28(網關MAC),Enter後完成每台PC機的綁定。

　　針對網絡內的其它主機用同樣的方法輸入相應的主機IP以及MAC地址完成IP與MAC綁定。但是此動作，如果重起了電腦，作用就會消失，所以可以把此命令做成一個批處理文件，放在操作系統的啟動裡面，批處理文件可以這樣寫：

　　@echo off

　　arp -d

　　arp -s路由器LAN IP 路由器LAN MAC

　　3、在路由器端綁定用戶IP/MAC地址：

　　在DHCP功能中對IP/MAC進行綁定，Qno路由器提供了一個顯示新加入的IP地址的功能，通過這個功能可以一次查找到網絡內部的所有PC機的IP/MAC的對應列表，我們可以通過“√”選的功能選擇綁定IP/MAC。

　　進階ARP病毒防制

　　單靠這樣的操作基本可以解決問題，但是Qno俠諾的技術工程師建議通過進一步通過一些手段來進一步控制ARP的攻擊。

　　1、病毒源，對病毒源頭的機器進行處理，殺毒或重新裝系統。此操作比較重要，解決了ARP攻擊的源頭PC機的問題，可以保證內網免受攻擊。

　　2、網吧管理員檢查局域網病毒，安裝殺毒軟件(金山毒霸/瑞星，必須要更新病毒代碼)，對機器進行病毒掃描。

　　3、給系統安裝補丁程序，通過Windows Update安裝好系統補丁程序(關鍵更新、安全更新和Service Pack)。

　　4、給系統管理員帳戶設置足夠復雜的強密碼，最好能是12位以上，字母+數字+符號的組合;也可以禁用/刪除一些不使用的帳戶。

　　5、經常更新殺毒軟件(病毒庫)，設置允許的可設置為每天定時自動更新。安裝並使用網絡防火牆軟件，網絡防火牆在防病毒過程中也可以起到至關重要的作用，能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁，不妨通過使用網絡防火牆等其它方法來做到一定的防護。

　　6、關閉一些不需要的服務，條件允許的可關閉一些沒有必要的共享，也包括C$、D$等管理共享。完全單機的用戶也可直接關閉Server服務。

　　7、不要隨便點擊打開QQ、MSN等聊天工具上發來的鏈接信息，不要隨便打開或運行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等。

　　ARP攻擊防制是一個任重而道遠的過程，必須高度重視這個問題，而且不能大意馬虎，我們可以采取以上Qno俠諾技術工程師的建議隨時警惕ARP攻擊，以減少受到的危害，提高工作效率，降低經濟損失。