如何防止arp攻擊

ARP斷網攻擊故障
　　症狀：局域網內電腦大面積不能上網，QQ出現掉線
　　症狀解析：這是最常見的ARP病毒攻擊方式，如今許多病毒都會利用這種ARP攻擊方式影響局域網，例如機器狗病毒等，一旦局域網內有機器被感染後，部分電腦就會出現無法正常上網的情況，而且打開網頁時斷時續。
　　局域網內傳輸文件斷斷續續無法完成，並出現錯誤；多台電腦的QQ、MSN等即時通訊工具連續掉線；使用ARP查詢的時候會發現不正常的MAC地址，或者是錯誤的MAC地址，還有就是一個MAC地址對應多個IP地址的情況也會出現。
　　出現這種情況就是因為ARP病毒在進行欺騙。我們舉一個形象的例子：有5只螃蟹，其中2號螃蟹通過電話向企鵝訂閱了報紙，企鵝告訴負責交換運輸貨物的騾子，將貨物送到2號螃蟹家。
　　企鵝給了負責運貨的騾子一份家庭地址列表，但是跟2號螃蟹住在一起的5號螃蟹由於感染了ARP病毒，於是它稀裡糊塗打電話給騾子說，2號螃蟹的家庭地址已經修改了，這樣原本應該送到2號螃蟹家的報紙被騾子送給了冒充螃蟹的松鼠，而2號螃蟹此時還在苦苦等待，看不到報紙。

ARP掛馬故障
　　症狀：訪問各種網站殺毒軟件均提示有病毒
　　症狀解析：出現這種狀況通常是局域網內有電腦被黑客入侵，黑客會通過惡意ARP欺騙工具發送一個假的ARP封包竄改正常的ARP緩存使得數據無法正確傳輸到目的地。tW.WiNgWit.cOM
　　由於一般的ARP緩存是根據經過的ARP封包不斷地變更本身的ARP列表，假設接收到的ARP封包所提供的數據是偽造的，就會讓數據無法傳輸到實際的目的地。黑客會利用病毒竊取封包數據或修改封包內容。
　　病毒通過抓包修改HTTP封包後再送回原客戶端，造成原客戶端在不知情的狀況下連接惡意網頁下載病毒。例如，黑客入侵用戶A之後，修改ARP封包，將用戶B訪問的網頁數據進行修改，將自己的惡意代碼插入正常的網頁中，這樣用戶B即便訪問正常的網頁，也如同訪問掛馬網頁一樣（圖3）。極品時刻表服務器被掛馬就是利用的這種方式。

剖析案例掌握技巧
　　現實中的ARP症狀不僅復雜，而且會根據局域網的結構出現各種問題，特別是在電腦過多的情況下，往往會大大增加排查難度。下面的這個案例就是我真實處理的。
　　現場狀況：記得機器狗變種大規模爆發時，公司局域網各個網段頻繁出現問題，我經常在不同樓層間跑動，最嚴重的一次是3個網段的多個部門都出現斷網情況。我趕到現場後，發現故障電腦打開網頁速度緩慢，內部交換文件也時斷時續。
　　我懷疑是ARP病毒在搞鬼了，調出命令提示符窗口，在窗口中輸入Ping命令，Ping局域網內另外一台已經開機的電腦的IP地址，但是發現無法Ping通，此時已經基本肯定是中了ARP病毒。為了保險起見，我又在命令提示符窗口中輸入命令“ARP –d”，這個命令的意思就是“告訴”電腦刪除ARP緩存。
　　在運行完這個命令後，電腦可以打開網頁了，但是不一會網絡連接就出現了問題，打開浏覽器輸入網址後就開始莫名其妙地彈出大量廣告窗口。此時雖然不能夠斷定是機器狗病毒，但是我已經可以斷定局域網內有ARP攻擊了。但是由於局域網內電腦數量過於龐大，ARP攻擊源頭可能不止一個，如何查找到多個ARP攻擊源頭就成為了需要解決的難題。
　　解決方法：由於局域網內電腦過多，如果采用傳統的手工定位，逐一對比MAC地址幾乎不太可能，因此我決定使用工具來協助解決問題。而且根據剛才的檢查狀況，局域網內部肯定有ARP病毒流竄，並造成了封包無法送到正確地址的問題。
　　我使用了一個名為ARP Checker的免費ARP欺騙檢測工具，安裝好這個工具後，只需要選擇“始終檢測”一項，軟件就能夠針對指定網段內的所有IP地址發送Ping與Telnet的封包，多數電腦會無法響應而出現time out的現象，而有響應的電腦就有可能是中了ARP病毒的電腦。因為這種類型的病毒必須確保數據會傳送回受感染的電腦，而受感染電腦的ARP緩存通常會變成固定式，不會因為接收到假的ARP封包而修改ARP緩存。
　　很快檢測結果出來了（圖4），其中一個網段內有三台電腦被定位，可能是ARP源頭。定位好源頭之後，我首先將毒源電腦網絡連接斷開，然後再用殺毒軟件逐一進行殺毒，將病毒清理干淨。

　　預防方法：根據我的經驗，目前ARP病毒大多是通過網頁掛馬的方式感染用戶電腦，因此局域網內最好能夠進行IP地址綁定，使用工具設定電腦ARP緩存為固定模式，這樣病毒就無法修改ARP緩存，電腦就能夠將數據傳送至正確的地址了。
　　如果電腦數量太過龐大無法進行逐一綁定，可以啟用網絡設備中的動態ARP檢查功能。它可以檢查ARP交換情況並拒絕假的ARP封包。以俠諾FVR420V路由器為例，首先打開浏覽器輸入路由器IP地址，進入登錄界面，接著輸入用戶名和密碼進入管理頁面，在管理頁面左邊的選項欄中點擊“防火牆配置”，然後選擇“防止ARP病毒攻擊”一項，再根據網絡具體情況輸入防止ARP攻擊每秒發送的幀即可。

 
From:http://tw.wingwit.com/Article/Network/201309/131.html