防止ARP攻击全攻略 你的网络经常无故断线？

你的网络经常无故断线？是否经常出现IP冲突？是否受到P2P终结者或者网管专家的限速？其实，大家都知道是ARP在做鬼。

最近，我也收到了ARP的侵扰，网络极不稳定，有的时候打开一个网页要等半天，QQ基本就登陆不上，尽管机器也装了杀毒软件，但是杀毒软件只能保证本机器没有病毒，不能够防止外来病毒的攻击，所以，必须使用防火墙。windows自带的防火墙，功能有限，我们最好使用一种专门ARP防火墙。

也许有人使用常见的360ARP防火墙、金山ARP防火墙等，但是没什么效果，最多只是警告通知你有ARP攻击，根本没有起到防治的作用。

为了解决上网问题，我查阅了很多资料，也试过多种软件。最后总结出一些东东，希望对你有用。也希望有更好方法的朋友，能够无私提供。

<1>采用彩影的ARP防火墙，效果比360、金山的要好很多，而且支持vista,免费使用。

<2>IP- MAC双向绑定，在下面的资料中会有说明。

　　<3>使用反P2P终结者，但是好像没什么效果。

　　<4>最笨的方法，修改自己的IP，效果明显，但不长久。

　　<5>重启路由，但是很多人没这个权限。

下面是我搜集的关于ARP的资料，你可以真正的了解ARP协议和ARP攻击的原理，只有真正的了解了这些，才能对其进行有效的防治。

一、什么是ARP？

我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC地址）的呢？在局域网中，这是通过ARP协议来完成的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现 ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。所以网管们应深入理解ARP协议。

二、ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。

主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb

C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd

我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。

当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标 IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A 就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问： “192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应： “192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

三、如何查看ARP缓存表

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了，如附图所示。

用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

四、ARP欺骗

其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少 “黑锅”。

作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器 IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP- MAC双向绑定。

五、如何实现ARP攻击？针对ARP原理的例子：

了解上面这些常识后，现在就可以谈在网络中如何实现ARP欺骗了，可以看看这样一个例子：

一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机，所以他要这么做：
1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。
2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。
3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。
4、这段时间里，入侵者把自己的ip改成192.0.0.3
5、他发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表。
6、主机找到该ip，然后在arp表中加入新的ip-->mac对应关系。
7、防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。