Arp攻击探究及防范措施
摘要伴随着internet的发展，病毒传播速度越来越快，破坏程度也越来越惊人，目前arp病毒攻击技术已经越来越多地被采用，成为病毒发展的一个新趋势。

本人所在的单位时常会出现网络频繁中断现象。

检测发现，主要是因为arp病毒攻击所致。

于是自己根据遇到的情况，对arp病毒攻击进行了初步的研究，并提出了相应的防范措施。

关键词 apr 攻击防范措施
一、arp协议及工作原理
1. arp协议
arp协议是地址解析协议(address resolution protocol)的缩写,在局域网中以帧的方式进行传输数据，并且根据帧中目标主机的mac地址来进行寻址。

例如，主机a要和主机b进行直通信，但由于两台主机使用的地址是一种逻辑的地址，而相互通信的道路却是一个真实的物理网路。

主机在发送报文前将目的主机的ip地址转换成目的主机mac地址的协议，称之为arp协议。

2.arp协议工作原理
由于主机的ip地址与mac地址是一一对应的关系，处于同一网段中的a和b两台主机进行通信，主机a要向主机b发送信息。

首先主机a查看自己的arp缓存表，是否包含有目标主机b对应的ip 地址。

如果有，那么对应的mac地址也就找到了，则主机a直接把目标mac地址写入帧里面发送就可以了。

若是主机a在其arp缓存
表中未找到主机b的mac地址，然后在同一网段里发送一个arp请求报文的广播，网段中的其他主机都不会响应主机a的arp广播请求，只有被请求的主机b会对该请求作出回应。

这样主机a就知道了主机b的mac地址，进而向b发送信息。

还有一种情况就是主机a和主机b不在同一网段内通信，主机a 就会在自己的网段内先向网关发出arp请求。

网关将自己的mac地址回应给主机a，主机a将报文封装后再发给网关。

二、 arp病毒的欺骗原理和过程
arp病毒欺骗就是通过信息通信环境下，对通信的数据进行监听并进行截获。

假设三台电脑在同一个局域网内，连接方式为交换机(switch)连接，分别是攻击方a主机；发送数据方b主机; 接收数据方c主机。

比如b主机要给c主机发送数据，首先b主机会向他们所在的网段发出一个广播询问，c主机收到请求后回应自己的正确mac地址。

可与此同时，a主机通过监听然后对c的数据进行截获，再把c主机的ip地址和它本身的mac地址返回给b。

b主机就会误认为所收到的“请求地址”为c的正确地址，这样a主机把应答数据不停地发送过去，致使b主机对自己的arp缓存表记录进行重新更新，表中新增的记录也就成了c主机的ip地址与a主机的mac地址对应了。

三、arp攻击网络故障现象及故障查找方法
1.故障现象
单位局域网内的用户上网时而网速极慢，时而正常。

有的时候
情况更糟糕——局域网内用户集体上不了网，网络处于瘫痪状态。

2.故障查找
arp病毒的攻击，尤其是对企业办公的影响特别的大，所以本人在互联网上也查找了许多相关问题的解决方法，从中学到了很多并赋予实践，而且效果很明显。

当局域网中有几台电脑出现了arp病毒攻击的现象后。

先在能正常上网的的计算机上打开运行，输入cmd，然后输入arp -a命令，arp缓存表的记录就显示出来了，在表中找到相应的网关ip地址和对应的mac地址。

再到发生故障的电脑上运行arp -a命令，看查到网关的记录是否与之前的记录相同，如果在正常情况下肯定是一致的，若出现mac地址不一致的情况，那说明很不幸，arp病毒攻击了这台电脑。

四、防范措施
1.用户端
（1）使用相应的杀毒软件及防火墙吗，安装系统补丁
安装arp杀毒专用软件，以及arp防火墙，例如彩虹防火墙。

随时更新系统补丁，避免病毒的侵害。

（2）ip地址和mac地址的静态绑定
用户制作一个bat文件，文件的内容就是对内网中的网关和主机的ip地址和mac地址进行绑定，之后把做好的bat文件放到系统开始的启动项的目录下，当系统重启后,就可以自动运行文件，生成网内主机ip地址和mac地址绑定的映射表。

2 网管端
（1）使用抓包软件
arp病毒攻击时的症状就是网络时断时续，这里推荐一款抓包软件sniffer，通过它可以检测出很多异常的arp包。

（2）在企业网内部可以统一的安装企业版的arp防火墙软件。

（3）在交换机上绑定ip地址和mac地址
网管员可以同时在核心交换机和二层交换机上将局域网内的电脑的ip地址和mac地址进行绑定。

利用双重安全绑定方式可以很大的程度上预防受感染的用户利用arp欺骗、盗取合法用户的信息，从而降低了arp攻击网络的影响。

（4）划分vlan端口进行隔离
按照需要，在网络中心，可以在核心交换机上把各部门进行网络规划，划分到不同的vlan中去，当某个用户或某几个用户感染了arp病毒，并进行恶意攻击别人时，由于网络划分了vlan，恶意攻击的情况只会出现在一个或几个vlan当中，不会影响整个网络，这样就降低了整个网络瘫痪的可能性。

然后，将感染arp病毒的用户进行隔离，待清除病毒后再允许连接至局域网。

（5）采取802.1x服务认证
802.1x认证可以将某台受arp病毒感染的主机，通过认证的方式，检测出不具备认证条件，将其从网络中隔离出去。

五、结论
arp病毒攻击目前是局域网内最常见的一种病毒攻击方式，而且
也是最令网管头疼的一种方式。

它的攻击技术含量低,随便一个人都可以通过攻击软件来完成arp欺骗攻击。

同时防范arp欺骗也没有什么特别好的办法，也只能通过即时发现症状即时解决。

无论怎样防范，首要的就是找出病毒攻击的原理。

只有这样才能找到非常有效的解决方案。

参考文献:
[1]张曾科.计算机网络[m].清华大学出版社.2004.
[2]邱雪松,arp病毒原理与防御[m].柳钢科技出版社.2006.
[3]王奇.以太网中arp欺骗原理与解决办法[j].网络安全技术与应用,2007,(2)。