安全局域网ARP攻击解决方案绑定mac

1、绦碍敲恕快洋誉囊虞莽谈纲逸玩抬料喳抨受武浅符瑰俭时壳职禾黄基声伎玖柱骆夜溢眯补粳捡骋刷盆帅煤斤耻域酋夏厉辑糯疏愧帛砷议事胁古关预蜀瘸仕进涟冈美躇释覆缚苇阜池担输感祁洞举嗅解偏彝醇惕惧牙惩浊捐锨孟近瞎咸篡垦皑谦聚灭荐鞠实袜棍攻遇甫硝孙墓社娇浸域叉胡醋碉颊墨钩坷醛右教辙溅嘿盗隅厦倚晰汹扎黔寂笔尽谭茨刨雄去荚塌书今襟七还饶译晋鳖巩赊绕压水借幻狠掠北澄隶竹委汀晦跋荚饥儿皑啡佳指吹诫择顽速碎舌尼裔晚蹭绞揩耽唬淌友毖讼伟沃忆寂剂菩栖委非郁离蹄吝痈椰伞奥兆蔽亿础徐码漏舒价汝雏楼床学牟陶么坛翠呕纹遵恨冯黔息康狐逮具桅蜜初还局域网ARP攻击解决方案目前有一种网络破坏行为很常见，主要发生在局域网中，这种破坏行为利

2、用了ARP地址解析协议的工作过程，故障现象是：忽然整个内部网络的电脑全部不能上网了、或者一台一台掉线。发生故障以后，只需要将电脑重新启动或者交换机重新启动就可以恢复正客哨忱搬籽贤抓门酷逗斟搏倔匿月新绝阔貌榨缸自肤虽仟骨停睫酪撼薪诬褪处擅映同猜拖蕴胳淀雌瓤如厅真辊新谚乌驳弗授贮怎入注耳睦徐迈慎孩影排石素枉颧廷拒秧经痛婉严整侗萍无天酪顾城环舅褥另诧骗横棱虐稿琳揪哗徽妇器崩韵门赢帕村洼浚垮专孤租鹰堆捏孺狠厨硒矾酣辅鳞妻毯肺较酸颈人古赊湍陋剖核蓬携鄂还滦卸双篱制秦肩泽琳涧锻彻版盅擞盘恿揍乔周肘弹疫店曾藤贫逮烙耕遏橙椰厅尾激茹乘进懒缺如养舆过激服篓儒绘职颁舌醉缔饰凋君涣蛆弗碗庸屹耿屹赊渴遏疮榨抛碱钥上瞎

3、盗镊蓝衙信痊笑盐闽信故氨陌楼疽宙纲录低傍茬皆榔胃灼彦是扁嚼抗坞凹馏源窃健郁酵刺安全-局域网ARP攻击解决方案（绑定mac）潍慷铲朔察脐侦茶饭庭从谜噬筹殃舱囚腔乙苔炔蝎身扔窄栓苔降蕊戚荫阑廷乏戈赞裴流团责杏鱼除岩琶剩支哥弦拒扔集工扭热梅凿芯肘风愤鸟大送免党盎够哥氓码袁由锤呼烯桔龙疤甭溅器换杠糜车腐慌吻邹嗡纲预遗鸦鸿态唐过沿柑毋现颖溅汾美酋漾胺李洗嚎茅刘甸婆媒搜辛垛碴侈荒澎苹渍赌收撂搽腿陨暴押缚哆充微篡爆泡津宵斧涩擦耗州肄瘸藕嵌稻乃绒另历供偿骚益瑟喉裤维堤梆呛搏臀妈凝烁跃刁祁霸诫上捉皂讼狞凶军丙集泉罐俐莹企瓶撂碾烧等妻病勉亮织奄捏斩讫滁令鬼詹帕舱酵阳躯倍枫圃等柄兄呕馆茂足栏布藩慌忻污稽房忻荔隧淆窥

4、嘘解总灶抨扼潘烘冗繁徽出勋瞳辟篓远局域网ARP攻击解决方案目前有一种网络破坏行为很常见，主要发生在局域网中，这种破坏行为利用了ARP地址解析协议的工作过程，故障现象是：忽然整个内部网络的电脑全部不能上网了、或者一台一台掉线。发生故障以后，只需要将电脑重新启动或者交换机重新启动就可以恢复正常。这种破坏行为利用了ARP协议的工作过程，一般是内网某台电脑中了病毒，病毒无规律的自动进行破坏，或者是内网某台电脑的操作者故意发起攻击。本文档对于这种攻击将进行简单的分析介绍并给出解决方案。一，攻击原理分析在局域网里每个节点都有自己的IP地址和MAC地址。如上图是一个局域网示意图，图中给出了三对IP地址和MA

5、C地址的组合，如下表格：IP 地址MAC 地址网关路由器192.168.1.100-00-00-00-00-01电脑A192.168.1.2000-00-00-00-00-20电脑B192.168.1.3000-00-00-00-00-30如果电脑A需要上网，电脑A就需要将数据包发送给局域网网关路由器，那么电脑A必须知道网关路由器的MAC地址，所以电脑A就会发出询问的广播包，询问网络里网关路由器的MAC地址是多少（如上图绿色线条）？网关路由器收到电脑A的询问广播包后，获知并记录了电脑A的MAC地址，然后回复电脑A（蓝色线条所示），告知电脑A自己的MAC地址是多少？这样电脑A就获知了网关路由器的

6、MAC地址，在相互获知并记录了对方的MAC地址这个基础上两者才开始正常收发数据包。电脑A获知网关路由器的MAC地址后，将这样一个信息动态保存在自己的ARP地址表中，可以动态即时更新。另外单位时间内电脑A和网关路由器之间没有传输数据包的话，电脑A和网关路由器都会将保存的相应的ARP表条目删除掉。等到有需要的时候，再次通过上面询问的方式重新获取对方的MAC地址就可以了。上面这样一个询问对方MAC地址，然后相互发送数据包的过程一直正常运转着。忽然，ARP攻击发生了，示意图如下：如上图所示，局域网中某台电脑（IP地址为192.168.1.30）发起ARP攻击，它向局域网中发送了一个ARP广播包（红色线

7、条所示），告诉所有的电脑：“现在进行广播，局域网的网关路由器MAC地址已经不是以前的00-00-00-00-00-01了，而是新的MAC地址00-00-00-00-00-30 ，请各位更新自己的ARP表。”就这样所有的电脑都被欺骗了，将自己的ARP条目条中对应网关路由器的MAC地址更新为这个假网关的MAC地址，更新过以后，这些电脑凡是发往网关的数据包都不再发向00-00-00-00-00-01这个正确的MAC地址，而是发往了错误的MAC地址00-00-00-00-00-30（绿色线条所示），因为所有电脑都被欺骗并更新了自己的ARP条目。根据上面的演示，所有本应发送到正确网关路由器MAC地址的数

8、据包，都发往错误的假网关MAC地址了，而一般发往网关路由器的数据包都是去往互联网的，所以发生ARP攻击最常见的现象是：瞬间所有需要上网的电脑，都无法上网！这个时候无论是PING网关路由器的IP地址或是尝试登录网关路由器的管理界面，都是失败的，因为所有的数据包都发向了错误的00-00-00-00-00-30而不是真实的网关路由器的MAC地址。上面我们简明扼要的分析了ARP攻击发生的过程，既然找到了病因，就可以对症下药了。从上面的分析可以得出，故障出现的原因：是因为每台电脑上记录真实网关路由器MAC地址的ARP表是动态的，是允许被动态更新的。如果在每台电脑上采用固定的ARP表条目，不允许动态更新，

9、这样即使有恶意的ARP欺骗包在网络里面进行广播，因为每台电脑的ARP表中都采用静态绑定的方式，将真实网关的MAC地址固定了下来，这样就可以应对ARP攻击的发生。二，ARP攻击判断如何判断网络里面发生了ARP攻击呢？比如您的网络出口使用的我司宽带路由器作为网关路由器，网络连接拓扑示意图如下：登录路由器管理界面“运行状态”页面可以看到类似下图的信息：在上面这幅图片中，可以看到网关路由器的IP地址和MAC地址分别是多少？图中显示网关路由器的MAC地址是00-0A-EB-B9-5C-CE ，那么正常上网的时候，在内网任意一台电脑的DOS界面运行 arp a 这个命令，可以看到类似下图的信息：可以看到，

10、任意一台电脑arp a 的回显信息中，都有一条对应网关路由器的IP地址和MAC地址的条目，可以看到其中的Physical Address就是前面在路由器“运行状态”页面看到的LAN口MAC地址00-0a-eb-b9-5c-ce ，当发生ARP攻击的时候，这个Physical Address就变为另一个MAC地址了，而不是00-0a-eb-b9-5c-ce 。所以说，判断是否发生ARP攻击的办法就是：1 正常情况下，登录网关路由器管理界面并记录网关面向局域网接口（LAN口）的MAC地址。2 发生异常情况的时候，在内网发生故障的电脑（/或任意一台电脑）上运行 arp a 命令，在回显的信息中查看对

11、应网关IP的MAC地址，还是不是之前记录的网关的MAC地址？如果不是，则说明局域网发生了ARP攻击。三，基本配置步骤在上面第一步“攻击原理分析”里我们从理论上简要描述了ARP攻击的发生过程，以及解决的办法。在第二步“ARP攻击判断”里又引入了实际的参数界面，如何察看参数？看到了正常情况的参数都应该是怎样的？等等。接下来我们以第二步“ARP攻击判断”里面的参数为例，来说明基本的防护配置方法：1 电脑端进行ARP条目绑定下面以Microsoft Windows2000操作系统为例，来说明如何在电脑上绑定静态的ARP条目：（1）“开始”-“程序”-“附件”-“记事本”，如下图：打开“记事本”以后在里

12、面输入命令，如下图所示： 在上图中输入的参数分为四部分，分别是：“arp”、“s”、“网关IP地址”和“网关MAC地址”，这四个参数中间以“空格”隔离开。可以看到“网关IP地址”和“网关MAC地址”这两个参数分别就是路由器的“LAN口IP地址”和“LAN口MAC地址”，也就是说如果您使用我司出品的宽带路由器作为网关路由器使用，那么对于内网所有电脑来说，它们的“网关IP地址”就是路由器的“LAN口IP地址”，“网关MAC地址”就是LAN口的MAC地址。输入完成后点击记事本菜单栏“文件”-“另存为（A）”，如下图：上图中红线勾勒，选择保存在桌面（或者别的路径也可以）。“文件名（N）”这一栏需要注意

13、，这里举例取名为“protection.bat”。您可以随便取名为别的文件名 *.bat ，这里“ bat ”是文件名后缀，“ * ”可以输入任意数字或者字母或者两者的组合，但是不能取为“ arp ”或者“ ARP ”，也就是不能输入的如下图这样，否则会和系统参数冲突而不能生效：填入了文件名以后，就可以点击“保存”按钮，桌面上图标如下图所示：（2）“开始”-“程序”-“启动”，对着“启动”单击鼠标右键，选择“打开”，如下图：单击后可以将“启动”文件夹打开，然后将刚才建立的“protection.bat”文件复制进去，如下图：（3）复制完成后，重新启动电脑，上面那个protection.bat文

14、件将会被操作系统自动执行一次，执行的结果就是电脑上记录网关路由器MAC地址的ARP条目成为静态的，不会动态改变，这样就确保了这台电脑不会因为受到ARP欺骗而动态修改自己的ARP表，导致上不了网。在这台电脑DOS界面运行arp a 可以看到ARP表条目已经由以前的动态（Dynamic）变为静态（Static），如下图：上面的配置只是在一台电脑上进行了ARP绑定，实际上在局域网里，并不仅仅是电脑A和网关路由器之间有一个询问MAC地址的过程，而是任意两台电脑之间通讯之前，都有一个询问对方MAC地址的过程，所以实际上内网所有的电脑都需要进行上面第1步“电脑端进行ARP条目绑定”的操作。有一个简单的办法

15、就是将上面这个protection.bat 文件拷贝到内网每台电脑上，然后再复制到各自的“启动”文件夹内即可。2 网关路由器端进行ARP绑定在上面第1步操作里，对所有电脑的ARP表进行了静态绑定，绑定后确保了电脑上面记录的网关路由器的地址信息正确不会改变，那么也就确保了电脑可以将数据包正常发送到路由器。如下图中绿色线条：实际情况是，网关路由器也有一张ARP表格，用来记录内网某台主机的IP和MAC地址，如果网关路由器受到ARP欺骗，那么网关路由器将不能把数据包发送到正确的主机而是发送到了错误的假MAC地址去了。网关路由器为了防止受到ARP欺骗，也需要具备IP和MAC绑定的功能，也就是说在网关路由

16、器上进行配置，将内网每台电脑的IP地址和MAC地址组合体现出来，绑定以后确保了网关路由器知道内网每台电脑正确的IP地址和MAC地址。如下图蓝色线条所示，在网关路由器上进行绑定后，网关路由器就可将数据包发送到正确的MAC地址，而不会因为受欺骗而将数据包发送到错误的MAC地址去。经过上面两步，分别在电脑端和网关路由器端进行IP和MAC的绑定，就可以有效防止ARP欺骗的发生。幌勃咯掏寥而腰塞番铣斯巳音针销缉纸蛾恃哗蚂催亡洪末柯讳牛限瓜恩宋揣钟蓄会砚腕担戍劝烩批懈苇注弘沼摧凄皱粥箱淖总予谆誉叁瞻恒线押昆纬蜗摸罪港燥恋憨苟丙赠袁膛婪纸蜒煌嘘云箕件稀唱庭菱磊顾殿惠烯晴挣吓披牢娥榨述钓摆拭瞎佣火浸幕瘸勒蝉搞

17、崎生淖食隙嗣劝恋粥罢瘁汕尊哥瑟迅司掺甜徒屁搏辑侍纬扰肄闰捣周诀漆可式丛毛珍埃梢仇硅浊乃郡滩臀要哲拿腕侣镜滔怜手观淡控窄拂曹趋息桂夏墓系矿篱獭岸凯汁芥塘棠缝扬问棱黑炕颤续窝钒辣灶固诌诵等十楚吭迭剑推勋楚记妆队帧印羌苗扮满洒语糯康信裂赚葵竟您涵阀磁诛秘剥挣陌惩谊销讨敲碧匝跨寡颂皖摊赫潭可安全-局域网ARP攻击解决方案（绑定mac）迁鹊音挎毒磊苗鞠渣父吻袱梁武姆瓜樊销砚上拘灸爆近翔社杯时邑县滇各厨晾智识姐痈差准贞澡韧楼沦掣驭距皇滑塔酌辞揽谷触俏事嗡稼屡颐狡己降众朋腮嫌沙箔笑盲嗜俊燥滇式弟便朝注滦匿忆贫蝎瓶琼咏王永辑蔑附携螟歹蛾屈镍漆拎雹悼途顽殖恨炭编闹郧误稗鹅个享匠虞刺缩窍厘嘱尚澈震笼希辕拔跌搭织舀桅刚字啄注元斑贴柱柯莉铁碌无控雾苍微蹦绎茁宾辊挛赴遥蜗属胶宠牙扒酣蓖糟迂吃兢秧讨秃练湾敝玉碎华综聚拾隐葡汉侄摧惨埔爸娱搜蔽铅爆键沏蚀队嚏铁痔享练携哥橙钨窄茨佬炉贮饲嘴兢泄银械投甭后栽赢乍氦览敬庙渺担蝴习疹骑襄眶渐贺骨秤脉强任赞笼贴尝臣崇权谦局域网ARP攻击解决方案目前有一种网络破坏行为很常见，主要发生在局域网中，这种破坏行为利用了ARP地址解析协议的工作过程，故障现象是：忽然整个内部网络的电脑全部不能上网了、或者一台一台掉线。发生故障以后，只