对付ARP攻击全攻略-美国网件(NETGEAR).docVIP

抵御ARP病毒攻击全攻略 ——美国网件公司 近期在全国范围内大规模爆发的ARP木马病毒及其变种该病毒发作时候，感染病毒的计算机会大量向网络发送非法的ARP请求或者虚假的ARP响应包，病毒程序利用ARP嗅探和中间人攻击等手段，直接导致局域网通讯拥挤和窃取用户的私人帐号信息。可见ARP病毒对网络的危害是非常大的。局域网中的用户如果明显感觉到上网缓慢，出口网关或者一些原来可以访问的服务器不可访问又或者私人的帐号信息屡次丢失等现象时，则应该立即检查自己的局域网是否受到ARP病毒的攻击并及时早处理。 美国网络公司结合自身的产品优势和多年的网络维护和经营经验可以提供全套抵御APR及其变种病毒攻击解决方案。 在提出对ARP病毒的解决方案时候，我们首先要了解ARP病毒的各种攻击手段和表现，方能抓住重点，对症下药。 一．常见的ARP攻击手段 1.1 ARP 嗅探 ARP嗅探就是局域网络感染病毒的主机不停地向网络发送ARP请求的数据包（每毫可以 发送100个以上），大量占用网络的带宽，导致交换机处理能力下降，网络缓慢。同时ARP请求是目标地址为FF:FF:FF:FF:FF:FF的广播地址的数据包，局域网内的所有主机都会因为过于响应此广播报文而出现反应缓慢，操作系统僵持等情况，严重影响主机的正常使用。 2.2 ARP 欺骗 ARP欺骗就是局域网内感染病毒的计算机以广播或者点对点的方式发送大量的虚假的ARP回应，以破坏正常主机的IPMAC地址对应表（ARP表）的一种攻击表现，该病毒的攻击对象往往是网关设备或者网络里面重要的服务器，攻击发生后，原来可以正常访问的网关或者服务器均出现不能访问的现象。 以下是一个正常的ARP回应的报文，网关192.168.0.1清晰地告诉主机192.168.0.5其对应的MAC地址为：BB:BB:BB:BB:BB:BB于是主机192.168.0.5因为得到了网关正确的IP地址和MAC地址的对应关系，而可以正常访问网关，并通过网关上网。 Ethernet Header Detination:AA:AA:AA:AA:AA:AA Source:BB:BB:BB:BB:BB:BB Protocol Type:0x086 ARP Hardware:1 Protocol:0x0800 Hardware Addr Length:6 Protocol Addr Length:4 Operation:2 Sender Hardware Addr: BB:BB:BB:BB:BB:BB Sender Internet Addr:192.168.0.1 Target Hardware Addr: AA:AA:AA:AA:AA:AA Target Internet Addr:192.168.0.5 Extra bytes FCS  以下是一个虚假的ARP报文，某感染ARP病毒的主机DD:DD:DD:DD:DD:DD冒充网关的IP地址192.168.0.1向主机192.168.0.5发送虚假的ARP响应报文，并告诉主机192.168.0.5 网关 192.168.0.1对应的MAC地址为一虚假地址11:11:11:11:11:11( 数据包中的红色字体部分),该地址可以是任意虚假或者不存在的MAC地址。主机因为得到虚假的IP-MAC地址对应关系而导致不能正常访问网关的现象。? Ethernet Header Detination:AA:AA:AA:AA:AA:AA Source:DD:DD:DD:DD:DD:DD Protocol Type:0x086 ARP Hardware:1 Protocol:0x0800 Hardware Addr Length:6 Protocol Addr Length:4 Operation:2 Sender Hardware Addr: 11:11:11:11:11:11:11(虚假MAC地址) Sender Internet Addr: 192.168.0.1 Target Hardware Addr: AA:AA:AA:AA:AA:AA Target Internet Addr: 192.168.0.5 ?Extra bytes ?FCS 可见，ARP欺骗可以直接导致主机访问失效，网络中断，危害非常大。 2.3中间人攻击 中间人攻击属于更为恶意的ARP欺骗，攻击者故意利用ARP欺骗的方式，成功的引诱正常主机以病毒主机作为代理访问网络资源，从而监听主机和服务器之间的通讯内容，盗取私人的机密信息的攻击手段。当网络用户频繁发现自己的游戏帐号，聊天室帐号或者银行帐号和秘密无故丢失时，那么很有可能