前段時間， 俠諾科技針對“ARP病毒防制方案”進行簡單介紹， 得到了廣大用戶和業(yè)界的關注與好評。 近期， 俠諾科技的技術工程師在工作又得到了新的發(fā)現(xiàn)， 為了進一步讓大家了解并防制ARP， 特推出了ARP攻擊防制進階篇， 與用戶們共同探討、研究。

要了解ARP欺騙攻擊, 我們首先要了解ARP協(xié)議以及它的工作原理， 以更好的來防范和排除ARP攻擊的帶來的危害。 本文為大家?guī)�來進階的ARP攻擊防制方法。

基本ARP介紹

ARP “Address Resolution Protocol”（地址解析協(xié)議）， 局域網(wǎng)中， 網(wǎng)絡中實際傳輸?shù)氖?ldquo;幀”， 幀里面是有目標主機的MAC地址的。 所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。 ARP協(xié)議的基本功能就是通過目標設備的IP地址， 查詢目標設備的MAC地址， 以保證通信的順利進行。

ARP協(xié)議的工作原理：在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表， 表里的IP地址與MAC地址是一一對應的， 如表所示。

我們以主機A（192.168.1.5）向主機B（192.168.1.1）發(fā)送數(shù)據(jù)為例。 當發(fā)送數(shù)據(jù)時， 主機A會在自己的ARP緩存表中尋找是否有目標IP地址。 如果找到了， 也就知道了目標MAC地址， 直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址， 主機A就會在網(wǎng)絡上發(fā)送一個廣播， 目標MAC地址是“FF.FF.FF.FF.FF.FF”， 這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“192.168.1.1的MAC地址是什么？”網(wǎng)絡上其它主機并不響應ARP詢問， 只有主機B接收到這個幀時， 才向主機A做出這樣的回應：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。 ”這樣， 主機A就知道了主機B的MAC地址， 它就可以向主機B發(fā)送信息了。 同時它還更新了自己的ARP緩存表。 基本ARP病毒防制法

通過對 ARP工作原理得知， 如果系統(tǒng)ARP緩存表被修改不停的通知路由器一系列錯誤的內(nèi)網(wǎng)IP或者干脆偽造一個假的網(wǎng)關進行欺騙的話， 網(wǎng)絡就肯定會出現(xiàn)大面積的掉線問題， 這樣的情況就是典型的 ARP攻擊， 對遭受ARP攻擊的判斷， 其方法很容易， 你找到出現(xiàn)問題的電腦點開始運行進入系統(tǒng)的DOS操作。 ping路由器的LAN IP丟包情況。 輸入ping 192.168.1.1（網(wǎng)關IP地址）， 如下圖：

內(nèi)網(wǎng)ping路由器的LAN IP丟幾個包， 然后又連上， 這很有可能是中了ARP攻擊。 為了進一步確認， 我們可以通過查找ARP表來判斷。 輸入ARP -a命令， 顯示如下圖：

可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很顯然， 這就是 ARP欺騙造成的。

在理解了ARP之后， ARP欺騙攻擊以及如何判斷此類攻擊， 我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網(wǎng)絡造成的危害。

Qno俠諾工程師的一般處理辦法分三個步驟來完成。

1、激活防止ARP病毒攻擊

進入路由器的防火的基本配置欄將“防止ARP病毒攻擊”在這一行的“激活”并確定。

2、對每臺pc上綁定網(wǎng)關的IP和其MAC地址

在每臺PC機上進入dos操作， 輸入arp –s 192.168.1.1(網(wǎng)關IP) 00-0f-3d-83-74-28(網(wǎng)關MAC),Enter后完成每臺PC機的綁定。 針對網(wǎng)絡內(nèi)的其它主機用同樣的方法輸入相應的主機IP以及MAC地址完成IP與MAC綁定。 但是此動作， 如果重起了電腦， 作用就會消失， 所以可以把此命令做成一個批處理文件， 放在操作系統(tǒng)的啟動里面， 批處理文件可以這樣寫：

@echo off

arp -d

arp -s路由器LAN IP 路由器LAN MAC

3、在路由器端綁定用戶IP/MAC地址：

在DHCP功能中對IP/MAC進行綁定， Qno路由器提供了一個顯示新加入的IP地址的功能， 通過這個功能可以一次查找到網(wǎng)絡內(nèi)部的所有PC機的IP/MAC的對應列表， 我們可以通過“√”選的功能選擇綁定IP/MAC。

進階ARP病毒防制

單靠這樣的操作基本可以解決問題， 但是Qno俠諾的技術工程師建議通過進一步通過一些手段來進一步控制ARP的攻擊。

1、病毒源， 對病毒源頭的機器進行處理， 殺毒或重新裝系統(tǒng)。 此操作比較重要， 解決了ARP攻擊的源頭PC機的問題， 可以保證內(nèi)網(wǎng)免受攻擊。

2、網(wǎng)吧管理員檢查局域網(wǎng)病毒， 安裝殺毒軟件（金山毒霸/瑞星， 必須要更新病毒代碼）， 對機器進行病毒掃描。

3、給系統(tǒng)安裝補丁程序， 通過Windows Update安裝好系統(tǒng)補丁程序(關鍵更新、安全更新和Service Pack)

4、給系統(tǒng)管理員帳戶設置足夠復雜的強密碼， 最好能是12位以上， 字母+數(shù)字+符號的組合；也可以禁用/刪除一些不使用的帳戶

5、經(jīng)常更新殺毒軟件（病毒庫）， 設置允許的可設置為每天定時自動更新。 安裝并使用網(wǎng)絡防火墻軟件， 網(wǎng)絡防火墻在防病毒過程中也可以起到至關重要的作用， 能有效地阻擋自來網(wǎng)絡的攻擊和病毒的入侵。 部分盜版Windows用戶不能正常安裝補丁， 不妨通過使用網(wǎng)絡防火墻等其它方法來做到一定的防護

6、關閉一些不需要的服務， 條件允許的可關閉一些沒有必要的共享， 也包括C$、D$等管理共享。 完全單機的用戶也可直接關閉Server服務

7、不要隨便點擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息， 不要隨便打開或運行陌生、可疑文件和程序， 如郵件中的陌生附件， 外掛程序等。

ARP攻擊防制是一個任重而道遠的過程， 必須高度重視這個問題， 而且不能大意馬虎， 我們可以采取以上Qno俠諾技術工程師的建議隨時警惕ARP攻擊， 以減少受到的危害， 提高工作效率， 降低經(jīng)濟損失