ARP攻擊防制進階篇 [近日WIN7已出現ARP攻擊狂斷線]

孤寂之城

卡巴/小紅傘/MSE/NOD32全部都擋不了其他防毒更不用說了˙WIN7內建防火牆+DEP防禦通通完全失效


要瞭解ARP欺騙攻擊, 我們首先要瞭解ARP協議以及它的工作原理，以更好的來防範和排除ARP攻擊的帶來的危害。本文為大家帶來進階的ARP攻擊防制方法。
基本ARP介紹
ARP “Address Resolution Protocol”（地址解析協議），局域網中，網絡中實際傳輸的是“幀”，幀裏面是有目標主機的MAC地址的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

ARP協議的工作原理：在每台安裝有TCP/IP協議的電腦裏都有一個ARP緩存表，表裏的IP地址與MAC地址是一一對應的，如表所示。

IP址 MAC地址
192.168.1.1 00-0f-3d-83-74-28
192.168.1.2 00-aa-00-62-c5-03
192.168.1.3 03-aa-01-75-c3-06

我們以主機A（192.168.1.5）向主機B（192.168.1.1）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀裏面發送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發出這樣的詢問：“192.168.1.1的MAC地址是什麼？”網絡上其它主機並不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表。

基本ARP病毒防制法
通過對 ARP工作原理得知，如果系統ARP緩存表被修改不停的通知路由器一系列錯誤的內網IP或者乾脆偽造一個假的網關進行欺騙的話，網絡就肯定會出現大面積的掉線問題，這樣的情況就是典型的 ARP攻擊，對遭受ARP攻擊的判斷，其方法很容易，你找到出現問題的電腦點開始運行進入系統的DOS操作。ping路由器的LAN IP丟包情況。輸入ping 192.168.1.1（網關IP地址），如圖。



內網ping路由器的LAN IP丟幾個包，然後又連上，這很有可能是中了ARP攻擊。為了進一步確認，我們可以通過查找ARP表來判斷。輸入ARP -a命令，顯示如下圖。


可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很顯然，這就是 ARP欺騙造成的。
在理解了ARP之後，ARP欺騙攻擊以及如何判斷此類攻擊，我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網絡造成的危害。
工程師的一般處理辦法分三個步驟來完成。

激活防止ARP病毒攻擊
進入路由器的防火的基本配置欄將“防止ARP病毒攻擊”在這一行的“激活”並確定。
對每台pc上綁定網關的IP和其MAC地址
在每台PC機上進入dos操作，輸入arp –s 192.168.1.1(網關IP) 00-0f-3d-83-74-28(網關MAC),Enter後完成每台PC機的綁定。
針對網絡內的其它主機用同樣的方法輸入相應的主機IP以及MAC地址完成IP與MAC綁定。但是此動作，如果重起了電腦，作用就會消失，所以可以把此命令做成一個批處理文件，放在操作系統的啟動裏面，批次處理文件可以這樣寫：

@echo off

arp -d
arp -s路由器LAN IP 路由器LAN MAC

例如:以下這樣寫在另存.BAT
每個人數字都不同請不要照寫
---------------------------------------------
@echo off

arp -d
arp –s 192.168.1.1 00-0f-3d-83-74-28
---------------------------------------------
在路由器端綁定用戶IP/MAC地址：
在DHCP功能中對IP/MAC進行綁定，路由器提供了一個顯示新加入的IP地址的功能，通過這個功能可以一次查找到網絡內部的所有PC機的IP/MAC的對應列表，我們可以通過“√”選的功能選擇綁定IP/MAC。