20.ARP***

1.ARP（Addre***esolutionProtocol，地址解析協議）是一個位於TCP/IP協議棧中的底層協議，對應於數據鏈路層，負責將某個IP地址解析成對應的MAC地址。

2.從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體來說就是將網絡層（IP層，也就是相當於OSI的第三層）地址解析爲數據鏈路層（MAC層，也就是相當於OSI的第二層）的MAC地址。

ARP***的侷限性

ARP***僅能在以太網（局域網如：機房、內網、公司網絡等）進行。

無法對外網（互聯網、非本區域內的局域網）進行***。

3ARP***就是通過僞造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，***者只要持續不斷的發出僞造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人***。

ARP***主要是存在於局域網網絡中，局域網中若有一臺計算機感染ARP***，則感染該ARP***的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，並因此造成網內其它計算機的通信故障。

某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址後，就會進行數據傳輸。如果未找到，則A廣播一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址爲Ib的主機B回答物理地址。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP緩存。接着使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。

4FAQ

1)什麼是ARP欺騙？

在局域網中，***經過收到的ARPRequest廣播包，能夠偷聽到其它節點的(IP,MAC)地址,***就僞裝爲A，告訴B(受害者)一個假地址，使得B在發送給A的數據包都被***截取，而A,B渾然不知。,

2)爲什麼***能夠進行ARP欺騙？***只要在局域網內閱讀送上門來的ARPRequest就能偷聽到網內所有的(IP,MAC)地址。而節點收到ARPReply時，也不會質疑。***很容易冒充他人。

3)能夠防止欺騙嗎？不能。但這種傷害的傷害已經很小。因爲局域網的工作環境有了改變，服務器通常不會和終端主機在同一個局域網。

5***演化

初期：

這種有目的的發佈錯誤ARP廣播包的行爲，被稱爲ARP欺騙。ARP欺騙，最初爲***所用，成爲***竊取網絡數據的主要手段。***通過發佈錯誤的ARP廣播包，阻斷正常通信，並將自己所用的電腦僞裝成別人的電腦，這樣原本發往其他電腦的數據，就發到了***的電腦上，達到竊取數據的目的。

中期：ARP惡意***

後來，有人利用這一原理，製作了一些所謂的“管理軟件”，例如網絡剪刀手、執法官、終結者等，這樣就導致了ARP惡意***的泛濫。往往使用這種軟件的人，以惡意破壞爲目的，多是爲了讓別人斷線，逞一時之快。

特別是在網吧中，或者因爲商業競爭的目的、或者因爲個人無聊泄憤，造成惡意ARP***氾濫。

隨着網吧經營者摸索出禁用這些特定軟件的方法，這股風潮也就漸漸平息下去了。

現在：綜合的ARP***

最近這一波ARP***潮，其目的、方式多樣化，衝擊力度、影響力也比前兩個階段大很多。

首先是病毒加入了ARP***的行列。以前的病毒***網絡以廣域網爲主，最有效的***方式是DDOS***。但是隨着防範能力的提高，病毒製造者將目光投向局域網，開始嘗試ARP***，例如最近流行的威金病毒，ARP***是其使用的***手段之一。

相對病毒而言，盜號程序對網吧運營的困惑更大。盜號程序是爲了竊取用戶帳號密碼數據而進行ARP欺騙，同時又會影響的其他電腦上網。

6遭受***

ARP欺騙***的中毒現象表現爲：使用局域網時會突然掉線，過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅，用戶頻繁斷網，IE瀏覽器頻繁出錯，以及一些常用軟件出現故障等。如果局域網中是通過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啓機器或在MS-DOS窗口下運行命令arp-d後，又可恢復上網。

ARP欺騙***只需成功感染一臺電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。該***發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是***的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

基於ARP協議的這一工作特性，***向對方計算機不斷髮送有欺詐性質的ARP數據包，數據包內包含有與當前設備重複的Mac地址，使對方在迴應報文時，由於簡單的地址重複錯誤而導致不能進行正常的網絡通信。一般情況下，受到ARP***的計算機會出現兩種現象：

1.不斷彈出“本機的0-255段硬件地址與網絡中的0-255段地址衝突”的對話框。

2.計算機不能正常上網，出現網絡中斷的症狀。

因爲這種***是利用ARP請求報文進行“欺騙”的，所以防火牆會誤以爲是正常的請求數據包，不予攔截。因此普通的防火牆很難抵擋這種***。

7***防護

防護原理

防止ARP***是比較困難的,修改協議也是不大可能。但是有一些工作是可以提高本地網絡的安全性。

首先，你要知道，如果一個錯誤的記錄被插入ARP或者IProute表，可以用兩種方式來刪除。

a.使用arp–dhost_entry

ARP斷網***

b.自動過期，由系統刪除

這樣，可以採用以下的一些方法：

1）.減少過期時間

#ndd–set/dev/arparp_cleanup_interval60000

#ndd-set/dev/ipip_ire_flush_interval60000

60000=60000毫秒默認是300000

加快過期時間，並不能避免***，但是使得***更加困難，帶來的影響是在網絡中會大量的出現ARP請求和回覆，請不要在繁忙的網絡上使用。

2）.建立靜態ARP表

這是一種很有效的方法，而且對系統影響不大。缺點是破壞了動態ARP協議。可以建立如下的文件。

test.nsfocus.com08:00:20:ba:a1:f2

user.nsfocus.com08:00:20:ee:de:1f

使用arp–ffilename加載進去，這樣的ARP映射將不會過期和被新的ARP數據刷新，除非使用arp–d才能刪除。但是一旦合法主機的網卡硬件地址改變，就必須手工刷新這個arp文件。這個方法，不適合於經常變動的網絡環境。

3）．禁止ARP

可以通過ipconfiginterface–arp完全禁止ARP，這樣，網卡不會發送ARP和接受ARP包。但是使用前提是使用靜態的ARP表，如果不在ARP表中的計算機，將不能通信。這個方法不適用與大多數網絡環境，因爲這增加了網絡管理的成本。但是對小規模的安全網絡來說，還是有效可行的。

但目前的ARP病毒層出不窮,已經不能單純的依靠傳統的方法去防範,比如簡單的綁定本機ARP表,我們還需要更深入的瞭解ARP***原理,才能夠通過症狀分析並解決ARP欺騙的問題。

解決ARP最根本的辦法

ARP欺騙和***問題，是企業網絡的心腹大患。關於這個問題的討論已經很深入了，對ARP***的機理了解的很透徹，各種防範措施也層出不窮。

但問題是，現在真正擺脫ARP問題困擾了嗎？從用戶那裏瞭解到，雖然嘗試過各種方法，但這個問題並沒有根本解決。原因就在於，目前很多種ARP防範措施，一是解決措施的防範能力有限，並不是最根本的辦法。二是對網絡管理約束很大，不方便不實用，不具備可操作性。三是某些措施對網絡傳輸的效能有損失，網速變慢，帶寬浪費，也不可取。

本文通過具體分析一下普遍流行的四種防範ARP措施，去了解爲什麼ARP問題始終不能根治。並進一步分析在免疫網絡的模式下，對ARP是如何徹底根除的，爲什麼只有免疫網絡能夠做到。

個人用戶的防護方法

首先要明確ARP***僅能在局域網內進行，沒有路由器的家庭用戶可以不必考慮

1.安裝ARP防火牆

如今大部分安全輔助軟件均內置ARP防火牆，著名的有：360安全衛士（內置）、金山貝殼ARP專殺、金山衛士

2.安裝殺毒軟件

殺毒軟件可以有效的防止ARP病毒進入機器

3.已經中毒的處理方法

由於中毒後網速會減慢，殺軟失效。所以我們應該用專門的專殺殺毒後安裝殺毒軟件保護系統

必須注意！！！ARP病毒大多捆綁***下載者，不要以爲ARP病毒對自己工作沒有太大影響就可以忽略！！！

局域網ARP預防小技巧

目前防護局域網中ARP***病毒最有效的方法是通過網關和終端雙向綁定ip和mac地址來實現，但是這種方法還是不能有效的阻止ARP對局域網的***，原因何在？其實最重要的原因是在我們發現ARP病毒並設置雙向綁定時，ARP病毒早已更改了本地電腦的MAC地址，從而導致綁定無效。另一方面就是人爲的破壞，比如說局域網中有人使用P2P終結者等諸多情況，都可能導致局域網中充斥着大量的ARP包，這些都將會導致網絡性能的下降。針對這些問題，我們應該如何面對和解決呢？

第一，做好第一道防線，實現網關和終端雙向綁定IP和MAC地址。針對局域網中的每一臺計算機利用“IPCONFIG”命令獲取本機IP和MAC地址，並將該信息添加到路由器ARP映射表中。同時通過查看路由器的LAN口參數獲取其IP和MAC地址，然後在局域網中的每臺計算機上實現靜態ARP綁定。具體做法是：打開“運行”對話框，輸入CMD進入MSdos界面，通過IPCONFIG命令獲取本機的IP地址和MAC地址。然後打開瀏覽器，輸入路由器的地址，進入路由器配置界面，在界面中定位到ARP與IP地址綁定位置處，設置“單機的MAC地址和IP地址的匹配規則”，指定局域網中各個計算機的IP地址和其對應MAC地址實現綁定。

第二，通過“網絡參數”-“LAN口參數”來查找路由器的MAC地址和IP地址，然後在局域網中的每臺電腦中實現靜態ARP綁定。具體做法：打開“運行”對話框，輸入CMD進入MSdos界面，然後通過輸入如圖所示的命令實現網關IP地址和MAC地址的綁定。

第三，付出少需的代價換來局域網的長久平靜。打開安全防護軟件的ARP防火牆功能。

第四，斬草除根，徹底追蹤查殺ARP病毒。利用局域網ARP欺騙檢測工具來確定ARP***源，然後利用ARP專殺工具進行殺毒。查找並定位到***源地址以後，在相應的計算機上安裝ARP專殺工具進行查殺操作。例如，當我們的機子受到ARP***時，我們查到了***源的MAC地址，將該MAC地址與路由器當中的ARP映射表進行對比來確定***源主機，然後對該主機進入ARP的查殺工作。^[1]