如何防止arp攻击.docVIP

如何防止arp攻击 ARP断网攻击故障 　　症状：局域网内电脑大面积不能上网，QQ出现掉线　　症状解析：这是最常见的ARP病毒攻击方式，如今许多病毒都会利用这种ARP攻击方式影响局域网，例如机器狗病毒等，一旦局域网内有机器被感染后，部分电脑就会出现无法正常上网的情况，而且打开网页时断时续。　　局域网内传输文件断断续续无法完成，并出现错误；多台电脑的QQ、MSN等即时通讯工具连续掉线；使用ARP查询的时候会发现不正常的MAC地址，或者是错误的MAC地址，还有就是一个MAC地址对应多个IP地址的情况也会出现。　　出现这种情况就是因为ARP病毒在进行欺骗。我们举一个形象的例子：有5只螃蟹，其中2号螃蟹通过电话向企鹅订阅了报纸，企鹅告诉负责交换运输货物的骡子，将货物送到2号螃蟹家。　　企鹅给了负责运货的骡子一份家庭地址列表，但是跟2号螃蟹住在一起的5号螃蟹由于感染了ARP病毒，于是它稀里糊涂打电话给骡子说，2号螃蟹的家庭地址已经修改了，这样原本应该送到2号螃蟹家的报纸被骡子送给了冒充螃蟹的松鼠，而2号螃蟹此时还在苦苦等待，看不到报纸。 ARP挂马故障　　症状：访问各种网站杀毒软件均提示有病毒　　症状解析：出现这种状况通常是局域网内有电脑被黑客入侵，黑客会通过恶意ARP欺骗工具发送一个假的ARP封包窜改正常的ARP缓存使得数据无法正确传输到目的地。　　由于一般的ARP缓存是根据经过的ARP封包不断地变更本身的ARP列表，假设接收到的ARP封包所提供的数据是伪造的，就会让数据无法传输到实际的目的地。黑客会利用病毒窃取封包数据或修改封包内容。　　病毒通过抓包修改HTTP封包后再送回原客户端，造成原客户端在不知情的状况下连接恶意网页下载病毒。例如，黑客入侵用户A之后，修改ARP封包，将用户B访问的网页数据进行修改，将自己的恶意代码插入正常的网页中，这样用户B即便访问正常的网页，也如同访问挂马网页一样（图3）。极品时刻表服务器被挂马就是利用的这种方式。 剖析案例掌握技巧　　现实中的ARP症状不仅复杂，而且会根据局域网的结构出现各种问题，特别是在电脑过多的情况下，往往会大大增加排查难度。下面的这个案例就是我真实处理的。　　现场状况：记得机器狗变种大规模爆发时，公司局域网各个网段频繁出现问题，我经常在不同楼层间跑动，最严重的一次是3个网段的多个部门都出现断网情况。我赶到现场后，发现故障电脑打开网页速度缓慢，内部交换文件也时断时续。　　 我怀疑是ARP病毒在搞鬼了，调出命令提示符窗口，在窗口中输入Ping命令，Ping局域网内另外一台已经开机的电脑的IP地址，但是发现无法Ping通，此时已经基本肯定是中了ARP病毒。为了保险起见，我又在命令提示符窗口中输入命令“ARP –d”，这个命令的意思就是“告诉”电脑删除ARP缓存。　　在运行完这个命令后，电脑可以打开网页了，但是不一会网络连接就出现了问题，打开浏览器输入网址后就开始莫名其妙地弹出大量广告窗口。此时虽然不能够断定是机器狗病毒，但是我已经可以断定局域网内有ARP攻击了。但是由于局域网内电脑数量过于庞大，ARP攻击源头可能不止一个，如何查找到多个ARP攻击源头就成为了需要解决的难题。　　 解决方法：由于局域网内电脑过多，如果采用传统的手工定位，逐一对比MAC地址几乎不太可能，因此我决定使用工具来协助解决问题。而且根据刚才的检查状况，局域网内部肯定有ARP病毒流窜，并造成了封包无法送到正确地址的问题。　　我使用了一个名为ARP Checker的免费ARP欺骗检测工具，安装好这个工具后，只需要选择“始终检测”一项，软件就能够针对指定网段内的所有IP地址发送Ping与Telnet的封包，多数电脑会无法响应而出现time out的现象，而有响应的电脑就有可能是中了ARP病毒的电脑。因为这种类型的病毒必须确保数据会传送回受感染的电脑，而受感染电脑的ARP缓存通常会变成固定式，不会因为接收到假的ARP封包而修改ARP缓存。　　很快检测结果出来了（图4），其中一个网段内有三台电脑被定位，可能是ARP源头。定位好源头之后，我首先将毒源电脑网络连接断开，然后再用杀毒软件逐一进行杀毒，将病毒清理干净。 　 　预防方法：根据我的经验，目前ARP病毒大多是通过网页挂马的方式感染用户电脑，因此局域网内最好能够进行IP地址绑定，使用工具设定电脑ARP缓存为固定模式，这样病毒就无法修改ARP缓存，电脑就能够将数据传送至正确的地址了。　　如果电脑数量太过庞大无法进行逐一绑定，可以启用网络设备中的动态ARP检查功能。它可以检查ARP交换情况并拒绝假的ARP封包。以侠诺FVR420V路由器为例，首先打开浏览器输入路由器IP地址，进入登录界面，接着输入用户名和密码进入管理页面，在管理页面左边的选项栏中点