7種簡易方法助你抵御ARP欺騙攻擊

在局域網內， ARP攻擊依然占有很高比例。 眾所周知， ARP協議的基本功能就是通過目標設備的IP地址， 查詢目標設備的MAC地址， 以保證通信的順利進行。 ARP協議的基礎就是信任局域網內所有的人， 那么就很容易實現在以太網上的ARP欺騙。 更何況ARP協議是工作在更低于IP協議的協議層， 因此它的危害就更加隱蔽。

    ARP類型的攻擊最早用于盜取密碼之用， 網內中毒電腦可以偽裝成路由器， 盜取用戶的密碼， 后來發展成內藏于軟件， 擾亂其他局域網用戶正常的網絡通信。

    作為網管的你可能會有此經歷——網絡頻繁掉線， 速度變慢， 你對此卻無從下手。 這可能就是網絡遭受ARP攻擊表現， 下面介紹五種簡單方法幫助你快速解決之。

    第一、建立MAC數據庫， 把網吧內所有網卡的MAC地址記錄下來， 每個MAC和IP、地理位置統統裝入數據庫， 以便及時查詢備案。

    第二、建立DHCP服務器(建議建在網關上， 因為DHCP不占用多少CPU， 而且ARP欺騙攻擊一般總是先攻擊網關， 我們就是要讓他先攻擊網關， 因為網關這里有監控程序的， 網關地址建議選擇192.168.10.2 ， 把192.168.10.1留空， 如果犯罪程序愚蠢的話讓他去攻擊空地址吧)， 另外所有客戶機的IP地址及其相關主機信息， 只能由網關這里取得， 網關這里開通DHCP服務， 但是要給每個網卡， 綁定固定唯一IP地址。 一定要保持網內的機器IP/MAC一一對應的關系。 這樣客戶機雖然是DHCP取地址， 但每次開機的IP地址都是一樣的。

    第三、網關監聽網絡安全。 網關上面使用TCPDUMP程序截取每個ARP程序包， 弄一個腳本分析軟件分析這些ARP協議。 ARP欺騙攻擊的包一般有以下兩個特點， 滿足之一可視為攻擊包報警：第一以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。 或者， ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內， 或者與自己網絡MAC數據庫 MAC/IP 不匹配。 這些統統第一時間報警， 查這些數據包（以太網數據包）的源地址(也有可能偽造)， 就大致知道那臺機器在發起攻擊了。

    第四、網關機器關閉ARP動態刷新的過程， 使用靜態路由， 這樣的話， 即使犯罪嫌疑人使用ARP欺騙攻擊網關的話， 這樣對網關也是沒有用的， 確保主機安全。

    網關建立靜態IP/MAC捆綁的方法是：建立/etc/ethers文件， 其中包含正確的IP/MAC對應關系， 格式如下：

    192.168.2.32 08:00:4E:B0:24:47

    然后再/etc/rc.d/rc.local最后添加：

    arp -f 生效即可

    第五、偷偷摸摸的走到那臺機器， 看看使用人是否故意， 還是被任放了什么木馬程序陷害的。 如果后者， 不聲不響的找個借口支開他， 拔掉網線(不關機,特別要看看Win98里的計劃任務)， 看看機器的當前使用記錄和運行情況， 確定是否是在攻擊。

    第六、使用防護軟件。 ARP防火墻采用系統內核層攔截技術和主動防御技術， 包含六大功能模塊可解決大部分欺騙、ARP攻擊帶來的問題， 從而保證通訊安全（保障通訊數據不被網管軟件/惡意軟件監聽和控制）、保證網絡暢通。

    目前關于ARP類的防護軟件出的比較多了， 瞎忙是幾款ARP防火墻免費產品：

    金山ARP防火墻V1.3.781.50 正式版下載地址：

http://download.it168.com/270/271/44181/index.shtml

    冰盾ARP防火墻V1.0 Build80122

http://download.it168.com/08/0801/90059/90059_3.shtml

    第七、具有ARP防護功能的網絡設備。 由于ARP形式的攻擊而引發的網絡問題是目前網絡管理， 特別是局域網管理中最讓人頭疼的攻擊， 他的攻擊技術含量低， 隨便一個人都可以通過攻擊軟件來完成ARP欺騙攻擊， 同時防范ARP形式的攻擊也沒有什么特別有效的方法。 目前只能通過被動的亡羊補牢形式的措施了， 本文介紹的方法希望對大家有所幫助。