ARP攻擊的解決方法

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及，現(xiàn)在我們工作生活都離不開計(jì)算機(jī)網(wǎng)絡(luò)，然而大家在使用過程中都會(huì)遇到形形色色的問題，其中ARP病毒攻擊就是典型的一種，它悄無聲息卻嚴(yán)重影響著大家的工作和生活，本文主要闡述ARP病毒攻擊原理和應(yīng)對(duì)的一些策略，希望能夠幫助到遇到問題的用戶。

關(guān)鍵詞：ARP；病毒；PING；MAC

ARP攻擊是典型的一種利用IP協(xié)議規(guī)則進(jìn)行網(wǎng)絡(luò)攻擊的病毒，IP協(xié)議是一個(gè)開放式的協(xié)議，正是因?yàn)殚_放導(dǎo)致一些不可避免的漏洞。在我們?nèi)粘＾k公中經(jīng)常會(huì)遇到這類問題，網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，難以找到問題的源頭。嚴(yán)重干擾我們的日常辦公生活?yuàn)蕵?，而且排查也相?duì)找不到頭緒。下面我就闡述一下ARP的基本工作原理和ARP攻擊的應(yīng)對(duì)策略。

首先ARP（Address Resolution Protocol）是地址解析協(xié)議，主要作用是根據(jù)目標(biāo)IP地址獲取目標(biāo)物理MAC地址，從而完成設(shè)備之間的數(shù)據(jù)通訊，是一個(gè)非常重要的協(xié)議。而它的工作原理就是請(qǐng)求設(shè)備發(fā)出包含目標(biāo)設(shè)備IP地址的ARP廣播報(bào)文，相同網(wǎng)段設(shè)備接受到報(bào)文后，目標(biāo)設(shè)備作出回應(yīng)，這樣請(qǐng)求設(shè)備就得到了ARP表項(xiàng)并記錄在設(shè)備上，因?yàn)镮P網(wǎng)是一個(gè)開放式的網(wǎng)絡(luò)，靈活多變，為了適應(yīng)這種時(shí)刻變化的網(wǎng)絡(luò)，設(shè)計(jì)者在設(shè)計(jì)的時(shí)候一般ARP表項(xiàng)保留300秒，過時(shí)就會(huì)自動(dòng)刪除此表項(xiàng)?；谶@個(gè)工作原理，就誕生了ARP欺騙的病毒，原理就是同一網(wǎng)段的其他設(shè)備發(fā)出偽裝目標(biāo)主機(jī)的ARP回應(yīng)報(bào)文，導(dǎo)致請(qǐng)求主機(jī)得到錯(cuò)誤的ARP表項(xiàng)，從而導(dǎo)致通訊異常。而且一般來說ARP病毒都是偽裝成網(wǎng)關(guān)設(shè)備，從而導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。

筆者根據(jù)10多年的工作經(jīng)驗(yàn)總結(jié)了一些ARP病毒排查和應(yīng)對(duì)方法。 首先故障機(jī)不一定是自病毒機(jī)，我們通過故障機(jī)ping網(wǎng)關(guān)，和相同網(wǎng)段內(nèi)的其他主機(jī)，如果網(wǎng)關(guān)不通，而其他主機(jī)能通則基本判定為ARP攻擊。以下是具體排查步驟：

第一步：我們?cè)诠收蠙C(jī)上使用arp –a 的命令行，來查詢目前該主機(jī)的ARP表項(xiàng)，會(huì)得到目前和主機(jī)通訊的其他設(shè)備的ARP表項(xiàng)，如下圖

第二步：比對(duì)網(wǎng)關(guān)設(shè)備MAC地址和此ARP表項(xiàng)里的是否一致，如果不一致就能絕對(duì)判定是ARP攻擊搗的鬼。

第三步：查找ARP病毒機(jī)，根據(jù)上圖中查找出來的ARP表項(xiàng)，得到病毒機(jī)的MAC地址，根據(jù)此MAC地址可以在交換機(jī)上查詢MAC地址查找到具體的設(shè)備。然后查殺病毒，解決故障。

因?yàn)镮P網(wǎng)絡(luò)是一張開放的網(wǎng)絡(luò)，我們不能全然避免病毒的入侵，因此我們可以采用在主機(jī)上靜態(tài)綁定ARP表項(xiàng)的方式來綁定網(wǎng)關(guān)的MAC地址，等于是打了一針疫苗，ARP病毒就對(duì)他不起作用了。具體方式如下：arp -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC。因?yàn)锳RP表項(xiàng)有時(shí)間壽命，或者開關(guān)機(jī)后會(huì)自動(dòng)清除，所以我們加了-s的永久參數(shù)，這樣ARP表項(xiàng)會(huì)一直保留在主機(jī)中，除非手工解除。這樣我們就一勞永逸的解決了ARP病毒攻擊的問題，唯一缺點(diǎn)是更換網(wǎng)關(guān)設(shè)備后需要手工解綁后重新綁定。

以上是我對(duì)ARP病毒攻擊的小小闡述和一些應(yīng)對(duì)策略，希望能夠幫助一些網(wǎng)管人員，大家一起學(xué)習(xí)共同進(jìn)步。為計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展提供綿薄之力。

參考文獻(xiàn)：

[1]張小平. 基于ARP漏洞與ARP攻擊防范的研究[J]. 電子技術(shù)與軟件工程. 2013（18）

[2]蔣華，魏占禎，楊亞濤. 一種ARP攻擊及其相關(guān)的安全策略[J]. 北京電子科技學(xué)院學(xué)報(bào). 2005（02） [3] 楊建強(qiáng). 淺談ARP原理及ARP攻擊、判斷、防范技術(shù)[J]. 哈爾濱職業(yè)技術(shù)學(xué)院學(xué)報(bào). 2011（01）

[4]鄭志勇，花的神明. 不再談ARP色變 ARP攻擊原理與防御[J]. 電腦迷. 2007（12） [5] 李寧. 局域網(wǎng)ARP攻擊的防御機(jī)制探索[J]. 電腦知識(shí)與技術(shù). 2009（11）

[6]項(xiàng)寧，管群. ARP漏洞及其ARP攻擊防范[J]. 軟件導(dǎo)刊. 2009（11） [7] 周在龍. arp攻擊解析[J]. 科技信息. 2008（27）

[8]姚路，馬克. 一種檢測(cè)ARP攻擊算法[J]. 青海師范大學(xué)學(xué)報(bào)（自然科學(xué)版）. 2014（01） [9] 崔寧. ARP防攻擊技術(shù)的研究[J]. 電子技術(shù)與軟件工程. 2015（10）

[10]陳衛(wèi)軍，劉躍軍. 針對(duì)ARP攻擊的網(wǎng)絡(luò)防范機(jī)制研究[J]. 安陽(yáng)師范學(xué)院學(xué)報(bào). 2008（02）