最近不少朋友及客戶的服務器遇到arp欺騙攻擊,造成站點被掛木馬.由于是采用ARP技術欺騙,所以主機并沒入侵,在服務器里查看網頁源碼也是沒任何掛馬代碼,但是網站在訪問時候卻全部被掛馬!

      開始我也不懂這就是網絡傳說中的ARP欺騙,后來查了下資料才知道這就是ARP欺騙.ARP欺騙我們要先從ARP工作原理講起.

     我們先熟悉下ARP,大學計算機網絡基礎課學過,ARP就是地址解析協議.OSI參考模型里將整個網絡通信的功能劃分為七個層次.由低到高分別是:物理層、鏈路層、網絡層、傳輸層、會議層、表示層、應用層.第四層到第七層主要負責互操作性， 第一層到三層則用于創造兩個網絡設備間的物理連接.

     而ARP欺騙就是一種用于會話劫持攻擊中的常見手法.地址解析協議(ARP)利用第2層物理MAC地址來映射第3層邏輯IP地址， 如果設備知道了IP地址， 但不知道被請求主機的MAC地址,它就會發送ARP請求.ARP請求通常以廣播形式發送， 以便所有主機都能收到.

     在電信一般接終端的交換機都是2層交換機,交換原理是通過ip尋找對應的mac網卡地址,由于TCP/IP協議決定了只會通過mac尋址到對應的交換機的物理端口,所以才會遭到arp欺騙攻擊.

   現在我們做下比方,更能形象點解釋ARP欺騙過程及原理：

      假設有肉雞A， 被ARP欺騙的主機B。 肉雞A不斷告訴主機B它是網關,結果主機B也認為它是網關,于是把連接數據發送給它.肉雞A再做一個連接的角色， 把主機B的信息包加上木馬發到真正的網關,結果用戶得到的信息都是帶了木馬的網頁,而主機B本身沒木馬.

   目前IDC機房可以將類似思科2950及華為3026之類以上的交換機并啟動ARP廣播屏蔽功能的話,應該可以阻止ARP欺騙.

   另外,我們根據解析協議(ARP)的工作原理,將網關IP和MAC地址綁定成靜態不可修改,這樣就不會出現arp欺騙了,因為地址解析協議(ARP)是利用第2層物理MAC地址來映射第3層邏輯IP地址,也就是mac尋址來實現的.當然在我們每一個主機上也要綁定網關的mac和ip， 命令很簡單,例如: arp -s 58.66.176.29 00-aa-00-62-c6-09

現在總結下關預防ARP欺騙:

新建一個批處理文件， 內容如下： @echo OFF arp -s 默認網關IP地址 網關的MAC地址 將這個批處理放到啟動里。 可以零時解決問題。

另外也有軟件可以解決:

1、開啟Anti ARP Sniffer 3,輸入網關IP地址,點擊〔枚取MAC〕

如你網關填寫正確將會顯示出網關的MAC地址.

2、點擊 [自動保護] 即可保護當前網卡與網關的通信不會被第三方監聽.

追蹤ARP攻擊者：

     當局域網內有人試圖與本機進行ARP欺騙,其數據會被Anti ARP Sniffer記錄.請在欺騙數據詳細記錄表中選擇需要追蹤的行,然后點擊〔追捕欺騙機〕,追捕過程中需要幾分鐘時間， 如果該ARP地址是真實的,也快就能追捕到攻擊者. (追捕ARP攻擊者時需要停止自動保護)

   關于arp欺騙原理及防范就先寫到這吧,我本人是從事網絡服務器安全的,對計算機網絡物理工作原理了解并不多,最是大學課本學過點,所以寫這篇文章時查了不少資料,期待高手們的指正及講解!