現(xiàn)在很多學(xué)校的校園網(wǎng)經(jīng)常出現(xiàn)掉線、IP沖突、大面積斷網(wǎng)等狀況， 這些問(wèn)題的根源都是ARP欺騙攻擊的結(jié)果。 在沒有ARP欺騙之前， 數(shù)據(jù)流向是：網(wǎng)關(guān)<—>本機(jī)；ARP欺騙之后， 數(shù)據(jù)流向是：網(wǎng)關(guān)<—>攻擊者（“網(wǎng)管”）<—>本機(jī)， 本機(jī)與網(wǎng)關(guān)之間的所有通訊數(shù)據(jù)都將流經(jīng)攻擊者（“網(wǎng)管”）， “任人宰割”就難免了。

　　ARP防火墻通過(guò)在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包以及主動(dòng)通告網(wǎng)關(guān)本機(jī)正確的MAC地址， 可以保障數(shù)據(jù)流向正確， 不經(jīng)過(guò)第三者， 從而保證通訊數(shù)據(jù)安全、網(wǎng)絡(luò)暢通、通訊數(shù)據(jù)不受第三者控制， 從而完美地解決問(wèn)題。

　　使用ARP防火墻查殺ARP病毒的使用方法為：ARP攔截到本機(jī)外對(duì)的ARP攻擊時(shí)， 點(diǎn)擊進(jìn)入顯示詳細(xì)數(shù)據(jù)的頁(yè)面， PID即發(fā)送攻擊數(shù)據(jù)的進(jìn)程ID號(hào)， 雙擊此數(shù)據(jù)即可查看進(jìn)程的詳細(xì)信息。 或者選中數(shù)據(jù)后右擊， 選擇“查看進(jìn)程詳細(xì)信息”選項(xiàng)。

　　防御措施

　　ARP協(xié)議的安全漏洞來(lái)源于協(xié)議自身設(shè)計(jì)上的不足， ARP協(xié)議被設(shè)計(jì)成一種可信任協(xié)議， 缺乏合法性驗(yàn)證手段。 從網(wǎng)絡(luò)管理的角度上分析， 主要的防御方法有：

　　1．不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上， 理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。 主機(jī)的IP→MAC地址對(duì)應(yīng)表手工維護(hù)， 輸入之后不再動(dòng)態(tài)更新， 顯然可以避免ARP攻擊， 大多數(shù)三層交換機(jī)都支持這種方法。

　　2．設(shè)置靜態(tài)ARP緩存。 采用靜態(tài)緩存， 主機(jī)在與其他計(jì)算機(jī)通信時(shí)， 只要在自己的靜態(tài)緩存中根據(jù)對(duì)方IP地址找到相應(yīng)的MAC地址， 然后直接發(fā)送給對(duì)方。 攻擊者若向主機(jī)發(fā)送ARP應(yīng)答， 目標(biāo)主機(jī)也不會(huì)刷新ARP緩存， 從而避免了ARP欺騙的發(fā)生。

　　3．關(guān)閉ARP動(dòng)態(tài)更新功能。 除非很有必要， 否則停止使用ARP， 將ARP作為永久條目保存在對(duì)應(yīng)表中。

　　4．使用ARP服務(wù)器。 即指定局域網(wǎng)內(nèi)部的一臺(tái)機(jī)器作為ARP服務(wù)器， 專門保存并且維護(hù)可信范圍內(nèi)的所有主機(jī)的IP地址與MAC地址映射記錄。 該服務(wù)器通過(guò)查閱自己緩存的靜態(tài)記錄并以被查詢主機(jī)的名義響應(yīng)ARP局域網(wǎng)內(nèi)部的請(qǐng)求。 確保這臺(tái)ARP服務(wù)器不被黑。

　　5．使用“proxy”代理IP的傳輸。

　　6．使用硬件屏蔽主機(jī)。 設(shè)置好路由， 確保IP地址能到達(dá)合法的路徑（靜態(tài)配置路由ARP條目）。 注意， 使用交換集線器和網(wǎng)橋無(wú)法阻止ARP欺騙。

　　7．管理員定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求， 然后檢查ARP響應(yīng)的真實(shí)性。

　　8．管理員定期輪詢， 檢查主機(jī)上的ARP緩存。

　　9．使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。 注意有使用SNMP的情況下， ARP的欺騙有可能導(dǎo)致陷阱包丟失。