谈谈如何防范ARP攻击

1、谈谈如何防范ARP攻击宁夏马莲台电厂的网络是典型的三层交换，采用了思科的设备，核心层是一台is6500,会聚层是两台is6500，分别连接消费楼和生活区的设备,在消费区楼里如集控室、化验楼、燃供楼、检修间、除灰楼、小车库都挂着is3550作为接入层。全厂一共有200多台计算机通过交换机连成一个局域网。马莲台电厂网络拓扑图2、网络故障现象局域网内的计算机出现外部网站访问速度缓慢，甚至无法翻开的现象，客户端用户频繁出现断网并发现ip冲突。最严重的时候出现局部消费楼网络瘫痪。3、故障分析：3.1故障原因查找在开场不能上网的计算机上运行arpa，说明：10.216.96.3是网关地址，后面的00-00

2、-0-07-0a-01是网关的物理地址。此物理地址默认情况下是不会发生改变的，假如发现物理地址不是此地址说明自己已经受到了arp病毒的攻击。查找过程：1、执行arpa列出了：10.216.96.1800-0f-ea-11-00-5e10.216.96.300-0f-ea-11-00-5e网关由于之前我们已经知道网关的正确物理地址是00-00-0-07-0a-01，此时却变成了00-0f-ea-11-00-5e，说明10.216.96.18正在利用arp进展欺骗，冒充网关。2、执行arpd去除arp列表信息。重新运行arpa看数据类表的可疑ip地址是否存在，不存在说明此ip地址正常；存在，说明该

3、机器肯定有arp病毒。3使用traert命令在任意一台受影响的主机上，在ds命令窗口下运行如下命令：traert61.135.179.148外网ip地址。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。3.2arp攻击原理分析arp，全称addressreslutinprtl，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联络，同时对上层提供效劳。arp病毒造成网络瘫痪的原因可以分为对路由器arp表的欺骗，和对内网p的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网a地址，并按

4、照一定的频率不断更新学习进展，使真实的地址信息无法通过更新保存在路由器中，造成的p主机无法正常收到回应信息。第二种是通过交换机的a地址学习机制，当局域网内某台主机已经感染arp欺骗的木马程序，就会欺骗局域网内所有主机和路由器，让所有上网的流量都必须经过病毒主机。4、调查结论：通过以上查找分析，局域网内有计算机感染arp病毒，中毒的机器的网卡不断发送虚假的arp数据包，告诉网内其他计算机网关的a地址是中毒机器的a地址，是其他计算机将本来发送网关的数据发送到中毒机器上，导致整个局域网都无法上网，严重乃至整个网络的瘫痪。我们知道局域网中的数据流向是:网关本机;假如网络有arp欺骗之后,数据的流向是:

5、网关攻击者本机,因此攻击者能随意窃听网络数据,截获局域网中任一台机器收发的邮件,eb阅读信息等，还会窃取用户密码。如盗取qq密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用手段，给用户造成了很大的不便和宏大的经济损失。5、防范所采取措施5、1用户端防范措施：安装arp防火墙或者开启局域网arp防护，比方360平安卫士等arp病毒专杀工具，并且实时下载安装系统破绽补丁，关闭不必要的效劳等来减少病毒的攻击。假如在没有防范软件安装的情况下，也可以通过编写简单的批处理程序来绑定网关来防止arp欺骗，步骤如下：1首先，获得平安网关的内网的a地址。以inds

6、xp为例。点击“开场“运行输入d，点击“确定后，将出现相关网络状态及连接信息，输入arpa，可以查看网关的a地址2编写批处理文件arp.bat内容如下：ehffarpdarps10.216.96.3(平安网关)00-09-a-82-0d网关的a地址注：arp-s是用来手动绑定网络地址(ip)对应的物理地址(a)3编写完以后，点击“文件“另存为。注意，文件名一定要是*.bat，点击保存就可以。4将这个批处理文件拖到“inds开场程序启动中，最后重起电脑即可。5.2网管员采取的防范措施(1)学会使用sniffer抓包软件。arp病毒最典型的现象就是网络时通时断，用sniffer抓包分析，会发现有很多的arp包。(2)在全网部署安装arp防火墙效劳端及客户端软件(3)使用多层交换机或路由器：接入层采用基于ip地址交换进展路由的第三层交换机。由于第三层交换技术用的是ip路由交换协议，以往的链路层的a地址和arp协议失效，因此arp欺骗攻击在这种交换环境下起不了作用。6、完毕语arp欺骗在相当长的时间内还会继续存在，arp欺骗也在不断的开展和变化中，希望广阔网络管理员亲密注意它，从而减少对我们网络的影响。参考文献：1王奇.以太