ARP攻击与故障排除知识

ARP攻击与故障排除知识ARP透视——出现ARP欺骗攻击时的现象1、网上银行、游戏及QQ账号的频繁丧失

一些人为了获取非法利益，利用ARP欺骗程序在网内进展非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数

据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。

2、网速时快时慢，极其不稳定，但单机进展光纤数据测试时一切正常

当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，

造成网络设备的承载过重，导致网络的通讯质量不稳定。

3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常

当带有ARP欺骗程序的计算机在网内进展通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。发贴者dengguo时间：下午6:390评论标签：ARP欺骗,ARP欺骗攻击ARP透视——传统的几种解决ARP问题的方式方案一：

过滤局域网的IP，关闭高危险的端口，关闭共享。晋级系统补丁，晋级杀毒软件。

安装防火墙，设置防ARP的选项。

微软ISA防火墙功能强大，可是很占系统资源。

配置效劳器是Linux的强项，当然能阻止局部ARP危害网络。但是从根本上并没有解决掉ARP的问题，长时间超负荷运转对硬件的损害也显而易见。

方案二：

发现乱发ARP包的主机后，即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。迅速找到主机，断开其网络连接。检查机器是因为病毒木马

发送ARP包破坏网络环境，还是人为的使用ARP的网络管理软件。既然是使用的网络管理软件，先得询问使用者是否有管理网络的特权。既然没有特权又为

何管理、控制网络呢？

方案三：

通过高档路由器进展双向绑定，即从路由器方面对附属客户机IP-MAC地址进展绑定，同时从客户机方面对路由器进展IP-MAC地址绑定，双向绑定让IP不容

易被欺骗。这种方案的施行比拟烦琐，在客户机器或路由器更改硬件时，需要对全网进展重新的MAC地址扫描并重新绑定，工作量宏大。所获得的效果，仅

仅可以防御住一些低端的ARP欺骗，对于攻击型ARP软件那么无任何作用。

方案四：

使用ARP防护软件，针对ARP欺骗攻击的软件在网络中很多，但详细的效果却一直不理想。多数软件单单针对ARP欺骗攻击的某一方面特性进展制作抵御软件

的原理，并没有从根本上去考虑ARP欺骗攻击的产生与传播方式。所以，这些软件在ARP防范领域影响甚微。

针对上述几种常见的传统防范ARP的方法，都有各自的优点，但是也都曝漏了其局限性，并不都可以完全解决ARP欺骗攻击。网络中多台主机同时高频率的

发送ARP播送，会很轻易的造成网络瘫痪、路由器死机，使其它主机响应缓慢，甚至造成系统停顿响应〔假死〕。假如是ARP木马，还会进展传播，同时感

染其它网络中的其它主机，产生众多主机同时中毒的现象。发贴者dengguo时间：下午6:390评论标签：ARP欺骗,防范ARP攻击ARP透视——ARP欺骗，骗的是什么?主持人:大家好，今天的主题是?ARP欺骗，骗的是什么??很快乐邀请到我们的嘉宾资深网络技术专家张先生，为我们解答问题。

张:谢谢主持人。

主持人:他的title虽然是营销总监，但是也有深沉的功底，相信他今天给我们带来精采的解答。

前一段时间，有一件事情被炒得非常炽热，就是MSN被监听。实际上媒体也对MSN的监听软件做了报告，实际上它并不是非常容易被使用。但是网上后来又

出了叫停类的文章，是说MSNMessenger是配合ARP欺骗软件，就起到了它本来应该有的作用。我们想问一下张先生，ARP欺骗到底是什么样的技术?

张:ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢?在我们互联网上面，最常用的协议是TCPIP，就是传

输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼，在什么地方，在网络上就是使用IP地址来定的。但是在实体上，我们大家都知道，在每一台

电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说，我怎么知道哪一台IP在什么位置呢?

就是透过ARP去先地方他的IP地方在哪里，再把这个侦发过去。像MSN是怎么欺骗的呢?在局域网里面，我这个侦或者这个包本来要发到某一个IP，这个IP

对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的根本想法和思维。

主持人:ARP欺骗对于我们局域网的一些应用看来是很危险的。

张:我从各地，从东莞，温州、宁波，在中国，普遍发现ARP欺骗影响，在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候，刚刚主持人讲

的一些应用就是所谓的MSN监听。在所谓的MSN，并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是

有一些在网吧里的用户，用ARP欺骗。另外一个用户在输入用户名和密码的时候，就欺骗他的这台机器说，我的机器是路由器，他会把用户名的密码送到我

这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候，他就可以把这个宝盗走。后来渐渐我们发现，很多用户用这个功能，在

这个上面做了很多的隐身，变得一发不可拾掇。本来我大概可以用三秒、五秒，后来就产生了很多隐身和变形，造成网断线。因为应用的软件失控了，他

就可以在某一台机器上不断做这个欺骗的动作。

主持人:ARP欺骗软件运行同时，为什么会造成频繁的断线呢?

张:在我们以局域网运作来讲，我们有两种方式的传输。一种对外传，就是我的用户有一个需求，他透过路由器对外界传送。这个时候，这是一种。另外一

种是回传。当有用户在网络上假装他自己是路由器的时候，用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今

天碰到ARP欺骗的时候，你就会发现你送去给他，他那边没有回应。用户就觉得是掉线或者断线。严重的时候，就会把其他的应用，也没有方法应用了。所

以就感觉到大幅度掉线或者断线的功能。

主持人:实际上就是造成断线的假象。

张:实际上也真的断线了。就像我今天跟你在讲话，但是你听不到我讲话的声音。我的效劳器也不知道我在跟他讲什么话。另外一个人听到话，只是把它窃

取下来，记录下来，并没有给我回应。就是这样的现象。

主持人:刚刚也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。如今我们知道，所有未加密的传送的软件，都应用配合一些应用工具监

听的。能不能再给我们介绍一下，配合ARP欺骗使用，还有什么所谓的黑客行为呢?

张:盗宝是最主要的，另外就是监听。当ARP欺骗，可能配合其他的一些软件功能这样子的。我们发现，在局域网里面，想盗取一些ARP，或者无线网络里面

，根本上都是用局域网的特性叫播送。播送，像我们刚刚提到的ARP欺骗为什么可以成型?在每一个计算机里面，都存了一个IP地址的对应表。但是每台机

器的内存有限，当这个表不够的时候，会传一个播送信息。比方今天我要送给一个IP地址，我就问这个IP在哪里?问出来，所有人都会承受。假设在标准正

常的运作里面，大家知道我不是这个，我不用回应。但是路由器知道，这个东西不是这个网域里面，不用送。假如是假装这个IP地址的话，你就会产生一

种误解。其实这种比拟重大的威胁，我们看到无线这边，有人利用这个特性，做一些相关的动作。

主持人:也就是说，在无线或者有限的局域网里面，你所做的一些行为，都可以用黑客软件配合ARP监控软件进展欺骗，截取。

张:有一些比拟低阶段的应用就是所谓的监听。假如在对于这些软件做进一步的分析，比方我这个软件送的时候是什么需求，回来的时候是什么需求。他可

以用另外一个目的把你所有的动作都拦截回去。假如今天对方知道，像一个交易，他知道第一笔是什么，第二笔是什么，他把所有的资料都送过去。他也

可以把你的讯息拦截走，再转送到效劳器，再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。

主持人:这个是一般用户来说，也是蛮头疼的问题。

张:用户因为不小心，用了一些软件，或者在PC里面点了一些MSN的连接等等，把这个程序启动了，他会发现自己渐渐受到了影响。像今天早上我们的技术

支持跟我们说，湖北一些网吧，几乎没有人上网了。因为上不了网。

主持人:像有这种加密的软件传送，信息也是能被黑客截取。只是截取后看不到内容?

张:是的。

主持人:前一阵子出有一个msnchatsniffer这样的软件，发现每一台机器都受到了扫描攻击。后来我们分析，是中了病毒还是木马这类东西呢?

张:其实在早期里面，ARP的很多功能，像陀螺仪木马这样的功能期在一起。在早期的ARP，只是黑客用来盗取密码，用了三、五秒钟。当你输入用户名和密

码的时候，另外一个用户发现没有回应，他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市，或者网络上的连接、病毒结合在一起，所

以造成很大规模的影响，断线或者掉线。像你刚刚提到的状况，这个用户可能不知道自己在做这样的事情，这是典型的病毒，这是病毒跟ARP结合的典型现

象。

主持人:他能通过ARP欺骗的病毒做什么呢?

张:ARP欺骗的病毒做到如今，对于制作的人或者分布的人没有什么太大的作用，纯粹是破坏的工具。因为ARP可以搜集网络上播送的包，假如进一步的应用

，肯定会有很多的黑客在考虑这个问题。因为网络上的特性属于来回，属于协议这样的状况，假如你好好利用，好的方向能保持网络顺畅，不好的方向可

以拦截任何他需要的资讯。

主持人:从今年开场，在病毒这边应该是说黑客已经从最早的表现欲，已经转变成有目的性的盈利的目的，也就是说，ARP欺骗很可能被成为黑客盈利的手

段。

张:你怎么样发生ARP欺骗的状况，我们必须从原理开场讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描绘到，你可以对这个网络进展扫描

。像这个ARP的对照表，可以对这个网络进展扫描。当你发现某一个对应IP地址的话，正常是一对一的关系，假如发现一对多的方式那就是异常的情况。回

到我们刚刚讲的，预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们如今所谓绑定的功能，我们刚刚讲了有两个方向做绑定，一个是路

由器的局部，你必须把内部的所有的机器，IP地址做一个绑定。我们想了一些功能，可以让它作后面做激活的动作把它绑定。

很多用户发现我只要在路由器这边做好了就行了，在终端这边就不用做了。但是这样的话，会发生局部的现象。所以在用户这边有所谓的ARP—S的功能，

你把你的路由器的位置，也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚刚谈到了两个方向，一个是所谓的路由器端做绑定，就是所有机器

的IP地址。另外是用户端也要绑定，绑的是路由器的IP，跟路由器的地址。实际上我们最近发现另外一个现象，就是对于中毒的这台机器还有另外的处理

方式。中毒的这台机器，虽然你针对每台机器绑定，但是这个设定从开机以后，就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候

激活这个功能。

另外中毒的这台机器，虽然绑定了，但是它内部已经有病毒了。虽然绑定了，但是它可以每秒快速写它的ARP。这时候他对别人没有方法造成危害。因为别

人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样

的速度。我们如今看到比拟好的做法，就是把藏在里面的病毒去除掉，或者整个机器都要清理一下病毒。这是我们如今比拟完好的处理方式。

主持人:真的是很精彩的解答。假如我只对我个人的PC机做了绑定，路由那端没有做绑定，还会不会受到ARP欺骗?

张:在个人这边做绑定，你可以确保你往路由送的包，确定会送到路由这边去。但是路由送回来的时候，他可以在半路拦截。告诉你路由器不要送给它，送

给我吧。就把这个包拦截过去了。所以我们刚刚谈到要双向的包要严密。如今有些网吧假如做单方面的绑定是不行的。

主持人:很多人认为我一边绑定就可以了，实际上还是需要双方相的绑定。河北前一段时间某公司，采用了贵公司的产品，和网吧结合出现了一些问题。请

问有一些什么详细的问题吗?

张:在早期的路由器的版本里面，也许没有这样的绑定的功能。所以它就会产生掉线或者不稳定的状况。

主持人:看来防范ARP还不是说用户个人的行为可以解决的，还需要网管和用户一起来解决。

张:这个对网管而言是比拟全面、头疼的工作。其实对于网管而言比拟复杂的地方在这边，就是你假如一次把所有局域网上的IP地址找出来的话，你必需要

借助一些工具。不是现成的机器就可以做的。必须在网络上下载。就是msnchatsniffer，或者其他的工具。还有一些行动的工作者，比方笔记本电脑来

了，你没有设在里面，这台就发生了这样的问题。

主持人:不光是技术的问题，还牵涉到平安管理的问题。所以说ARP欺骗可以说是无法彻底解决的问题。可以这么说吗?

张:在网络上有人提到，这个是在协议上的弱点。但是我想说从技术的观点来讲，实际上有不同的方案可以解决。在一些做路由器产品或者相关软件的，或

者做防毒的，大家都可以针对这个特性。早期大家不是很理解，渐渐大家针对刚刚的特性，就是所有IP地址的绑定，你去给它更好的局限。在早期因为很

开放，所以我在播送。但是因为发生这样的问题，所以将来不管在嵌入的时候，或者在网络上播送的时候，不同的软件会做更多的标准，会降低这样的现

象。

主持人:谢谢关先生精彩的发言。我们中场休息一下。我们再搜集一下网友的提问，下半节请张先生答复。发贴者dengguo时间：下午6:390评论标签：ARP欺骗,ARP欺骗攻击ARP透视——ARP欺骗的危害作为一名网络管理员，应该明确的知道网络中的ARP列表，搜集ARP列表信息。或者，为每台机器手工绑定IP地址，不允许客户机随意更改IP地址，将每

台机器的IP-->MAC信息保存为文件。

MAC地址：通过一些方法可以使网卡的MAC地址发生改变。所以不允许修改网卡的MAC地址。

IP地址与主机相对应。

xxxx_001为系统保存，通常就是网关了。IP地址为

例如：xxxx_002这台主机的IP地址为局域网地址

ARPtable

主机名部门IP地址C地址

xxxx_002－－xx-xx-xx-xx-xx-xx

xxxx_003－－xx-xx-xx-xx-xx-xx

xxxx_004－－xx-xx-xx-xx-xx-xx

xxxx_005－－xx-xx-xx-xx-xx-xx

xxxx_006－－xx-xx-xx-xx-xx-xx

xxxx_007－－xx-xx-xx-xx-xx-xx

xxxx_008－－xx-xx-xx-xx-xx-xx

xxxx_009－－xx-xx-xx-xx-xx-xx

xxxx_011－－xx-xx-xx-xx-xx-xx

xxxx_012－－xx-xx-xx-xx-xx-xx

xxxx_013－－xx-xx-xx-xx-xx-xx

ARP协议：

####源IP地址-->源MAC地址#####将源IP地址解析为源MAC地址

####目的IP地址-->目的MAC地址####将目的IP地址解析为目的MAC地址

RARP协议：

####源MAC地址-->源IP地址####将源MAC地址解析为源IP地址

####目的MAC地址-->目的IP地址####将目的MAC地址解析为目的IP地址

ARP攻击检测：

#ARP–a

查看本机ARP缓存，正常情况下第一栏打印本机IP地址，第二栏返回当前网关的IP地址和MAC地址。

正常形式：网络中只有一个网关，客户机ARP缓存只有一条ARP记录，并且这条记录是当前网关的IP-->MAC的映射。

混杂形式：当ARP缓存中有多条IP-->MAC的记录，说明当前为混杂形式，网的网关不是唯一的。

排除：在SuSELinux系统中，假如使用ping命令ping网络中的另一台主机，再用ARP-a的命令查看本机ARP缓存会多出一条ARP记录。这条记录的源IP

地址就是刚刚ping的那台主机的IP地址，源MAC地址就是刚刚ping的那台主机的MAC址址。

获取网络中的ARP信息：使用ping命令ping网络中的另一台主机，然后再使用ARP-a或者是ARP-na的命令可以查看到刚刚ping的那台网络中的主机的IP

和MAC地址的映射关系。注意，使用此方法获得的ARP信息不代表网络一定为混杂形式。假如网关路由工作正常，且有合法的公网地址

sled10:~#ARP-na

(41)at00:01:01:02:02:39[ether]oneth0

(50)at00:E0:4C:3A:1D:BC[ether]oneth0

()at00:14:78:A1:7F:78[ether]oneth0

sled10:~#

可以访问广域网的情况下：

使用ping命令ping广域网上的一个域名

＞正常的现象：

PING(58)56(84)bytesofdata.

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=1ttl=51time=1183ms

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=2ttl=51time=1458ms

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=3ttl=51time=1287ms

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=4ttl=51time=1185ms

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=5ttl=51time=934ms

＞非正常情况：

分析ARP欺骗的原理

PINGqq(4)56(84)bytesofdata.

From41:ICMP_seq=237RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=237ttl=53time=25.6ms

From41:ICMP_seq=238RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=238ttl=53time=25.3ms

From41:ICMP_seq=239RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=239ttl=53time=25.6ms

From41:ICMP_seq=240RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=240ttl=53time=25.8ms

From41:ICMP_seq=241RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=241ttl=53time=26.0ms

From41:ICMP_seq=242RedirectHost(Newnexthop:)

From41:ICMP_seq=240RedirectHost(Newnexthop:)

上面的pingqq后，从局域网的返回一条ICMP包。

＞＞＞

64bytesfrom5:ICMP_seq=239ttl=53time=25.6ms

接着，从广域网返回一条ICMP包。

注意，正常的的情况下ping广域网的域名或IP地址应该只会收到广域网地址返回的ICMP包。

同时反覆的高频率的从局域网的一台主机返回的ICMP包属于非正常的情况。

.......................................................................................................

From41:ICMP_seq=240RedirectHost(Newnexthop:)

Redirect:['ri:di'rekt]

a.再直接的

v.重新传入,重新寄送

英英解释:

动词redirect:

.......................................................................................................

注意！！

上面的英文解释是“再连接的〞，也就是说每次ping广域网的一个域名都会先收到这个局域网内的机器的ICMP包。

这个ICMP包是“再连接的〞，也就是说不是始终连接的。只有当有网络恳求时才会“再次连接〞，而不需要访问网络时就断开了连接或者说连接不起作

用。每次访问网络都需要和这台局域网中的机器连接，每发送一个ping包到广域网的一个域名〔主机〕都要通过这台局域网中的主机，每收到广域网的一

个域〔地址〕的ICMP包之前都必须通过这台局域网中的机器。都要通过这台局域网中的主机。那么这台主机就相当于网关了。但是，实际的网关并不是这

台主机。

正常工作的网关，不会出出如此高频率的“重新传入〞、“再次连接〞。

合理的解释：本机的ARP缓存正在被高频率的刷新。

造本钱机的ARP缓存高频率刷新的原因就在于局域网中的这台主机使用了不断的高频率的向局域网中发送ARP包，不断的高频率的向网络中的机器告白：“

大家好！我就是网关，你们跟着我就可以有吃有喝了。〞发贴者dengguo时间：下午6:380评论标签：ARP欺骗网吧频繁掉线〔ARP〕与解决方法如今频繁掉线的网吧很多.但为何掉线.许多网管朋友.不是很清楚.网吧掉线的原因很多.如今我给大家讲一下如今很流行的一种木马.<传奇网吧杀手>.根本上东北地区的网吧都被这一木马弄的身心疲惫.但是如今有解决的方法了.中病毒特征:网吧不定时的掉线.(重启路由后正常),网吧局域网内有个别机器掉线.

木马分析:传奇杀手木马,是通过ARP欺骗,来或取局域网内发往外网的数据.从而截获局域内一些网游的用户名和密码.木马解析:中木马的机器能虚拟出一个路由器的MAC地址和路由器的IP.当病毒发作时,局域网内就会多出一个路由器的MAC地址.内网在发往外网的数据时,误认为中木马的机器是路由器,从而把这些数据发给了虚拟的路由器.真正路由器的MAC地址被占用.内网的数据发出不去.所以就掉线了.解决方法:守先你下载一个网络执法官,他可以监控局域网内所有机器的MAC地址和局域网内的IP地址.在设置网络执法官时.你必须将网络执法官的IP段设置和你内网的IP段一样.比方说:你的内网IP是你的设置时也要设置------54.设置完后,你就会看到你的内网中的MAC地址和IP地址.从而可以看出哪台机器中了木马.(在多出的路由器MAC地址和IP地址和内网机器的IP地址,MAC地址一样的说明中了传奇网吧杀手)要是不知道路由器的MAC地址,在路由器的设置界面可以看到.发现木马后.你还要下载瑞星2006最新版的杀病毒软件(3月15日之后的病毒库).在下载完之后必须在平安形式下查杀(这是瑞星反病毒专家的见意)反复查杀(一般在四次就可以了)注意查完后杀病毒软件不要卸载掉.观查几天(这是我个人的经历.在卸后第三天病毒还会死灰复燃,我想可能是注册表里还有他的隐藏文件.在观查几天后正常就可以卸载掉了.注:复原精灵和冰点对网吧传奇杀手木马不起做用.(传奇杀手木马不会感染局域网.不要用硬盘对克,对克跟本不起任何做用.而且还会感染到母盘上.切记!)最好主机安装上网络执法官,这样可以时时监控局域网内的动态,发现木马后可以及时做出对策)

下面是传奇网吧杀手木马的文件:

文件名：文件途径：病毒名：

ZT.exec:\windows\programFiles\浩方对战平台病毒名：

a[1].exe>>b.exec:\documentsandsttings\sicent\localsettings\TemporaryInternetFiles\content.IE5\Q5g5g3uj

病毒名(各位朋友.瑞星杀毒软件文件过大邮箱发送不了.请大家下载瑞星个人版杀毒软件我如今给大家提供注册码.希望大家原谅.)

SN=P5V6EH-61FHJK-9G0SS7-C4D200

ID=5B3C5BJ4Y125

〔网络执法官可以批量MAC捆绑，到执法官的局域网MAC界面，全选后单击右键会出现批量MAC捆绑．做完捆绑以后，ARP要是在次攻击时他会报警，出现的假MAC是为非法．网络执法官会终止他的一切操作．〕这样可以解决ARP在次攻击．发贴者dengguo时间：下午6:310评论标签：ARP攻击策略,ARP欺骗ARP攻击与防护完全手册最近在论坛上经常看到关于ARP病毒的问题，于是在Google上搜索ARP关键字！结果出来N多关于这类问题的讨论。想再学习ARP下相关知识，所以对目前网络中常见的ARP问题进展了一个总结。如今将其贴出来，希望和大家一起讨论！

一、ARP概念

咱们谈ARP之前，还是先要知道ARP的概念和工作原理，理解了原理知识，才能更好去面对和分析处理问题。

1.1ARP概念知识

ARP，全称AddressResolutionProtocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联络，同时对上层提供效劳。

IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进展直接通信，必需要知道目的主机的MAC地址。但这个目的MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址〔MAC地址〕，以保证通信的顺利进展。

1.2ARP工作原理

首先，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，假如有﹐就直接将数据包发送到这个MAC地址；假如没有，就向本地网段发起一个ARP恳求的播送包，查询此目的主机对应的MAC地址。此ARP恳求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP恳求后，会检查数据包中的目的IP是否和自己的IP地址一致。假如不一样就忽略此数据包；假如一样，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，假如ARP表中已经存在该IP的信息，那么将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开场数据的传输。假如源主机一直没有收到ARP响应数据包，表示ARP查询失败。

例如：

A的地址为：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址为：IP：MAC:BB-BB-BB-BB-BB-BB

根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP恳求播送〔谁是，请告诉〕，当B收到该播送，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答〔在BB-BB-BB-BB-BB-BB〕。

1.3ARP通讯形式

通讯形式〔PatternAnalysis〕：在网络分析中，通讯形式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯形式。更有些时候，一样的协议在不同的企业应用中也会出现不同的通讯形式。ARP在正常情况下的通讯形式应该是：恳求->应答->恳求->应答，也就是应该一问一答。

二、常见ARP攻击类型

个人认为常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。

2.1ARP扫描〔ARP恳求风暴〕

通讯形式〔可能〕：

恳求->恳求->恳求->恳求->恳求->恳求->应答->恳求->恳求->恳求...

描绘：

网络中出现大量ARP恳求播送包，几乎都是对网段内的所有主机进展扫描。大量的ARP恳求播送可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。

出现原因〔可能〕：

病毒程序，侦听程序，扫描程序。

假如网络分析软件部署正确，可能是我们只镜像了交换机上的局部端口，所以大量ARP恳求是来自与非镜像口连接的其它主机发出的。

假如部署不正确，这些ARP恳求播送包是来自和交换机相连的其它主机。

2.2ARP欺骗

ARP协议并不只在发送了ARP恳求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进展更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议设计者当初没考虑到的！

欺骗原理

假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描绘：

A的地址为：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址为：IP：MAC:BB-BB-BB-BB-BB-BB

C的地址为：IP：MAC:CC-CC-CC-CC-CC-CC

正常情况下A和C之间进展通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是〔C的IP地址〕，MAC地址是BB-BB-BB-BB-BB-BB〔C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了〕。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存〔A被欺骗了〕，这时B就假装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四〔A的IP地址〕，MAC地址是BB-BB-BB-BB-BB-BB〔A的MAC地址本来应该是AA-AA-AA-AA-AA-AA〕，当C收到B伪造的ARP应答，也会更新本地ARP缓存〔C也被欺骗了〕，这时B就假装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：〕。这就是典型的ARP欺骗过程。

注意：一般情况下，ARP欺骗的某一方应该是网关。

两种情况

ARP欺骗存在两种情况：一种是欺骗主机作为“中间人〞，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。

◆第一种：窃取数据〔嗅探〕

通讯形式：

应答->应答->应答->应答->应答->恳求->应答->应答->恳求->应答...

描绘：

这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进展欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听〞了。

出现原因〔可能〕：

木马病毒

嗅探

人为欺骗

◆第二种：导致断网

通讯形式：

应答->应答->应答->应答->应答->应答->恳求…

描绘：

这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进展欺骗，这样A本质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进展欺骗。

对于伪造地址进展的欺骗，在排查上比拟有难度，这里最好是借用TAP设备〔呵呵，这个东东好似有点贵勒〕，分别捕获单向数据流进展分析！

出现原因〔可能〕：

木马病毒

人为破坏

一些网管软件的控制功能

三、常用的防护方法

搜索网上，目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。呵呵，我们来理解下这三种方法。

3.1静态绑定

最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。

欺骗是通过ARP的动态实时的规那么欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进展IP和MAC的静态绑定，这样双向绑定才比拟保险。

方法：

对每台主机进展IP和MAC地址静态绑定。

通过命令，arp-s可以实现“arp–sIPMAC地址〞。

例如：“arp–sAA-AA-AA-AA-AA-AA〞。

假如设置成功会在PC上面通过执行arp-a可以看到相关的提示：InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAstatic(静态)

一般不绑定,在动态的情况下：

InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAdynamic(动态)

说明：对于网络中有很多主机，500台，1000台...，假如我们这样每一台都去做静态绑定，工作量是非常大的。。。。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比拟费事的！

3.2使用ARP防护软件

目前关于ARP类的防护软件出的比拟多了，大家使用比拟常用的ARP工具主要是欣向ARP工具，Antiarp等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络播送正确的ARP信息。我们还是来简单说下这两个小工具。

欣向ARP工具

俺使用了该工具，它有5个功能：

A.IP/MAC清单

选择网卡。假如是单网卡不需要设置。假如是多网卡需要设置连接内网的那块网卡。

IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。

之后的功能都需要这个表格的支持，假如出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。

B.ARP欺骗检测

这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影效劳器，等需要内网机器访问的机器IP。

(补充)“ARP欺骗记录〞表如何理解：

“Time〞：发现问题时的时间；

“sender〞：发送欺骗信息的IP或MAC；

“Repeat〞：欺诈信息发送的次数；

“ARPinfo〞：是指发送欺骗信息的详细内容.如下面例子：

timesenderRepeatARPinfo22:22:2221433isat00:0e:03:22:02:e8

这条信息的意思是：在22:22:22的时间,检测到由发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：的MAC地址是00:0e:03:22:02:e8。

翻开检测功能，假如出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100％的准确。所有请不要以暴力解决某些问题。

C.主动维护

这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。他的原理就在网络内不停的播送制定的IP的正确的MAC地址。

“制定维护对象〞的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的播送IP，尽量少的播送频率。一般设置1次就可以，假如没有绑定IP的情况下，出现ARP欺骗，可以设置到50－100次，假如还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定方法。

D.欣向路由器日志

搜集欣向路由器的系统日志，等功能。

E.抓包

类似于网络分析软件的抓包，保存格式是.cap。

这个软件界面比拟简单，以下为我搜集该软件的使用方法。

A.填入网关IP地址，点击［获取网关地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，假如您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP对应的MAC地址.

B.IP地址冲突

如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用AntiARPSniffer可以防止此类攻击。

C.您需要知道冲突的MAC地址，Windows会记录这些错误。查看详细方法如下：

右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入AntiARPSniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig/all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，假如更改失败请与我联络。假如成功将不再会显示地址冲突。

注意:假如您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。

3.3具有ARP防护功能的路由器

这类路由器以前听说的很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。

ARP的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。如今大多数路由器都会在很短时间内不停播送自己的正确ARP信息，使受骗的主机回复正常。但是假如出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断播送正确的包也会被他大量的错误信息给吞没。

可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？假如攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！

面对上面的疑问，我们仔细想想，假如网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些播送信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP播送会造成网络资源的浪费和占用。假如该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP播送包，对分析也会造成一定的影响。发贴者dengguo时间：下午6:280评论标签：ARP攻击,ARP防护局域网ARP欺骗排查解决报告上周四下午，单位网络故障，无法翻开网页，关掉防火墙，路由器，重新起动，故障消失，这种事情由来已久，因为网络设计初期问题......

周五出现网络时断时续现象，一本科生告诉我可能是“ARP欺骗〞所致，在DOS下，输入：arp-a发现网关MAC地址与一台IP为的主机MAC一样，找到该机后，断掉，网络恢复。

本以为事情就这么过去了，然而：

周一上班又出现网络时断时续、网速慢、上不去网……众人纷纷报告，搞得我相当郁闷，情急之下发现重新起动电脑故障就消失了，于是简单要求照做。晚上在家查找了相关资料，知道遇到ARP欺骗这种事情不好搞，并且找到了应急对策：

1、对网关做IP-MAC绑定

2、用MAC扫描器得到网内上网主机的IP-MAC对，记录下来以备后用

周二上班前做了网关地址绑定。一上午至下班前一小时无事，但我知道，这个ARP欺骗主机像幽灵躲在暗处，时刻窥探发动攻击的最正确时刻，不把它揪出来，早晚是个事儿！如今它没有出现，可能是因为故障主机的人没来不在单位，根本没开机！果然，下班前一个小时故障再次出现！然而单位70几台上网主机三个楼层，怎么查？！有人提出一个房间一个房间的断网排查，我否认的这种干扰正常工作秩序的方案，决定重新研究新对策。下载了一个AntiArpSniffer的工具进行监控，晚上回家在不安中睡去……

周三，也就是今天早上到单位，在两台监控的主机上发现如下“欺骗机MAC地址：00-11-**--**-**-2D〞〔由于此地址为物理网卡地址，具有全球唯一性，故隐去真实值〕，软件还报告了发生欺骗的时间和大概36次的欺骗次数！但却没有查出IP地址。8点半用MAC扫描器进展全网扫描，却未发现上述MAC地址。9点15分，有机器报告不能上网，到现场，运行栏输入：arp–d不用关机重起，可以上网，更确定是ARP病毒所致。10点05分再次用MAC扫描器，突然闪现了IP与MAC地址对应的主机！！！火速联络机主，对方反响这几天上网速度很慢，正想重装系统。告知事发原因，并验明他昨天上午到下班前一小时确实不在单位没有开机的事实，与网络自他归来后变得不稳定现象完全符合！经对方查验其MAC地址确实与扫描出的欺骗主机地址一致！！！事主重新格式化重装系统……

虽然找出了源头并采取的相应措施，但内心始终忐忑，网络平安任重道远啊……

一切尽在观察中……

处理步骤小结：

1、应急处理不能上网的主机，在运行栏里执行命令：arp–d

2、用AntiArpSniffer3.5监测网络

3、用MAC扫描器找出主机IP地址

4、根据IP地址找到电脑，格式化，重装系统。

5、OVER

建议：

对整个网络做IP-MAC绑定。发贴者dengguo时间：下午6:280评论标签：局域网ARP欺骗彻底解决局域网ARP攻击一般ARP攻击的对治方法

如今最常用的根本对治方法是“ARP双向绑定〞。

由于ARP攻击往往不是病毒造成的，而是合法运行的程序〔外挂、网页〕造成的，所杀毒软件多数时候束手无策。

所谓“双向绑定〞，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。

“ARP双向绑定〞可以防御细微的、手段不高明的ARP攻击。ARP攻击程序假如没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功；假如攻击手段不剧烈，也欺骗不了路由器，这样我们就可以防住50％ARP攻击。

但是如今ARP攻击的程序往往都是合法运行的，所以可以合法的更改电脑的ARP表项。在如今ARP双向绑定流行起来之后，攻击程序的作者也进步了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进展双向绑定已经不可以应付凶狠的ARP攻击了，仍然很容易出现掉线。

于是我们在路由器中参加了“ARP攻击主动防御〞的功能。这个功能是在路由器ARP绑定的根底上实现的，原理是：当网内受到错误的ARP播送包攻击时，路由器立即播送正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题----当ARP攻击很频密的时候，就需要路由器发送更频密的正确包去消除影响。虽然不掉线了，但是却出现了上网“卡〞的问题。

所以，我们认为，依靠路由器实现“ARP攻击主动防御〞，也只可以解决80％的问题。

为了彻底消除ARP攻击，我们在此根底上有增加了“ARP攻击源攻击跟踪〞的功能。对于剩下的强悍的ARP攻击，我采用“日志〞功能，提供信息方便用户跟踪攻击源，这样用户通过临时切断攻击电脑或者封杀发出攻击的程序，可以解决问题。

彻底解决ARP攻击

事实上，由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目的，当ARP攻击包已经到达路由器的时候，影响已经照成。所以由路由器来承当防御ARP攻击的任务只是权宜之计，并不能很好的解决问题。

我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心〞――交换机下手。由于任何ARP包，都必须经由交换机转发，才能到达被攻击目的，只要交换机据收非法的ARP包，哪么ARP攻击就不能造成任何影响。

我们提出一个真正严密的防止ARP攻击的方案，就是在每台接入交换机上面实现ARP绑定，并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户，在局域网内完全消除了ARP攻击。

因为需要每台交换机都具有ARP绑定和相关的平安功能，这样的方案无疑价格是昂贵的，所以我们提供了一个折衷方案。

经济方案

我们只是中心采用可以大量绑定ARP和进展ARP攻击防御的交换机――Netcore7324NSW，这款交换机可以做到ARP绑定条目可以到达1000条，因此根本上可以对整网的ARP进展绑定，同时能杜绝任何非法ARP包在主交换机进展传播。

这样假如在强力的ARP攻击下，我们观察到的现象是：ARP攻击只能影响到同一个分支交换机上的电脑，这样可能被攻击到的范围就大大缩小了。当攻击发生时，不可能造成整个网络的问题。

在此根底上，我们再补充“日志〞功能和“ARP主动防御〞功能，ARP攻击也可以被完美的解决。

ARP攻击最新动态

最近一段时间，各网吧发现的ARP攻击已经晋级，又一波ARP攻击的高潮降临。

这次ARP攻击发现的特征有：

1、速度快、效率高，大概在10－20秒的时间内，可以造成300台规模的电脑掉线。

2、不易发现。在攻击完成后，立即停顿攻击并更正ARP信息。假如网内没有日志功能，再去通过ARP命令观察，已经很难发现攻击痕迹。

3、可以破解最新的XP和2000的ARP补丁，微软提供的补丁很明显在这次攻击很脆弱，没有作用。

4、介质变化，这次攻击的来源来自私服程序本身〔不是外挂〕和P2P程序。发贴者dengguo时间：下午6:250评论标签：ARP协议,ARP文章,ARP欺骗局域网arp地址欺骗解决方法【故障原因】

局域网内有人使用ARP欺骗的木马程序〔比方：魔兽世界，天堂，劲舞团等盗号的软件，某些外挂中也被恶意加载了此程序〕。

【故障原理】

要理解故障原理，我们先来理解一下ARP协议。

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址〔即MAC地址〕的。ARP协议对网络平安具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，可以在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“AddressResolutionProtocol〞〔地址解析协议〕的缩写。在局域网中，网络中实际传输的是“帧〞，帧里面是有目的主机的MAC地址的。在以太网中，一个主机要和另一个主机进展直接通信，必需要知道目的主机的MAC地址。但这个目的MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析〞就是主机在发送帧前将目的IP地址转换成目的MAC地址的过程。ARP协议的根本功能就是通过目的设备的IP地址，查询目的设备的MAC地址，以保证通信的顺利进展。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。

主机IP地址MAC地址Aaa-aa-aa-aa-aa-aa

Bbb-bb-bb-bb-bb-bb

Ccc-cc-cc-cc-cc-cc

Ddd-dd-dd-dd-dd-dd我们以主机A〔〕向主机B〔〕发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目的IP地址。假如找到了，也就知道了目的MAC地址，直接把目的MAC地址写入帧里面发送就可以了；假如在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个播送，目的MAC地址是“FF.FF.FF.FF.FF.FF〞，这表示向同一网段内的所有主机发出这样的询问：的MAC地址是什么？〞网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：的MAC地址是bb-bb-bb-bb-bb-bb〞。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内假如表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

从上面可以看出，ARP协议的根底就是信任局域网内所有的人，那么就很容易实如今以太网上的ARP欺骗。对目的A进展欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。假如进展欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D可以接收到A发送的数据包了么，嗅探成功。

A对这个变化一点都没有意识到，但是接下来的事情就让A产生了疑心。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

做“maninthemiddle〞，进展ARP重定向。翻开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假设D发送ICMP重定向的话就中断了整个方案。

D直接进展整个包的修改转发，捕获到A发送给C的数据包，全部进展修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘假设再次进展对C的ARP欺骗。如今D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。

【故障现象】

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网如今转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，假如用户已经登陆了效劳器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录效劳器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理才能的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停顿运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

【HiPER用户快速发现ARP欺骗木马】

在路由器的“系统历史记录〞中看到大量如下的信息〔440以后的路由器软件版本中才有此提示〕：

MACOld00:01:6c:36:d1:7f

MACNew00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开场运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址〔即所有信息的MACNew地址都一致为病毒主机的MAC地址〕，同时在路由器的“用户统计〞中看到所有用户的MAC地址信息都一样。

假如是在路由器的“系统历史记录〞中看到大量MACOld地址都一致，那么说明局域网内曾经出现过ARP欺骗〔ARP欺骗的木马程序停顿运行时，主机在路由器上恢复其真实的MAC地址〕。

【在局域网内查找病毒主机】

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址，假如有〞ARP攻击〞在做怪，可以找到装有ARP攻击的PC的IP/和MAC地址。

命令：“nbtscan-r/24〞〔搜索整个网段,即〕；或“nbtscan5-137〞搜索5-137网段，即。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假设查找一台MAC地址为“000d870d585f〞的病毒主机。

1〕将压缩包中的nbtscan.exe和cygwin1.dll解压缩放到c:下。

2〕在Windows开场—运行—翻开，输入cmd〔windows98输入“command〞〕，在出现的DOS窗口中输入：〔这里需要根据用户实际网段输入〕，回车。

3〕通过查询IP--MAC对应表，查出“000d870d585f〞的病毒主机的IP地址为“23〞。

【解决思路】

1、不要把你的网络平安信任关系建立在IP根底上或MAC根底上，〔rarp同样存在欺骗的问题〕，理想的关系应该建立在IP+MAC根底上。

2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。

3、除非很有必要，否那么停顿使用ARP，将ARP做为永久条目保存在对应表中。

4、使用ARP效劳器。通过该效劳器查找自己的ARP转换表来响应其他机器的ARP播送。确保这台ARP效劳器不被黑。

5、使用"proxy"代理IP的传输。

6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的途径。〔静态配置路由ARP条目〕，注意，使用交换集线器和网桥无法阻止ARP欺骗。

7、管理员定期用响应的IP包中获得一个rarp恳求，然后检查ARP响应的真实性。

8、管理员定期轮询，检查主机上的ARP缓存。

9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丧失。

【HiPER用户的解决方案】

建议用户采用双向绑定的方法解决并且防止ARP欺骗。

1、在PC上绑定路由器的IP和MAC地址：

1〕首先，获得路由器的内网的MAC地址〔例如HiPER网关地址的MAC地址为0022aa0022aa〕。

2〕编写一个批处理文件rarp.bat内容如下：@echooff

arp-d

arp-s5400-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windows--开场--程序--启动〞中。

3〕假如是网吧，可以利用收费软件效劳端程序〔pubwin或者万象都可以〕发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\DocumentsandSettingsAllUsers「开场」菜单程序启动〞。

2、在路由器上绑定用户主机的IP和MAC地址〔440以后的路由器软件版本支持〕：

在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。发贴者dengguo时间：下午6:250评论标签：ARP欺骗,ARP欺骗攻击,ARP缓存局域网受到ARP欺骗攻击的解决方法【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和平安网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过平安网关上网如今转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，假如用户已经登陆了传奇效劳器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇效劳器，这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理才能的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停顿运行时，用户会恢复从平安网关上网，切换过程中用户会再断一次线。【快速查找】在WebUIà系统状态à系统信息à系统历史记录中，看到大量如下的信息:MACOld00:01:6c:36:d1:7fMACNew00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开场运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MACNew地址都一致为病毒主机的MAC地址)。同时在平安网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。假如是在WebUIà系统状态à系统信息à系统历史记录中看到大量MACOld地址都一致，那么说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停顿运行时，主机在平安网关上恢复其真实的MAC地址)。在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址::///upload/nbtscan.rar)工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址，假如有〞传奇木马〞在做怪，可以找到装有木马的PC的IP/和MAC地址。命令:“nbtscan-r/24〞(搜索整个网段,即-54);或“nbtscan5-137〞搜索5-137网段，即。输出结果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例:假设查找一台MAC地址为“000d870d585f〞的病毒主机。1)将压缩包中的nbtscan.exe和cygwin1.dll解压缩放到c:\下。2)在Windows开场à运行à翻开，输入cmd(windows98输入“command〞)，在出现的DOS窗口中输入:C:\nbtscan-r/24(这里需要根据用户实际网段输入)，回车。3)通过查询IP--MAC对应表，查出“000d870d585f〞的病毒主机的IP地址为“23〞。【解决方法】采用双向绑定的方法解决并且防止ARP欺骗。1、在PC上绑定平安网关的IP和MAC地址：1〕首先，获得平安网关的内网的MAC地址〔例如HiPER网关地址的MAC地址为0022aa0022aa〕。2〕编写一个批处理文件rarp.bat内容如下：@echooffarp-darp-s5400-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。将这个批处理软件拖到“windowsà开场à程序à启动〞中。3〕假如是网吧，可以利用收费软件效劳端程序〔pubwin或者万象都可以〕发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\DocumentsandSettings\AllUsers「开场」菜单程序启动〞。2、在平安网关上绑定用户主机的IP和MAC地址：在WebUIà高级配置à用户管理中将局域网每台主机均作绑定。发贴者dengguo时间：下午6:240评论标签：ARP欺骗,防范ARP攻击局域网ARP欺骗的应对一、故障现象及原因分析

情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内〔指某一网段，比方：这一段〕所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让本来流向网关的流量改道流向病毒主机，造成受害者正常上网。

情况二、局域网内有某些用户使用了ARP欺骗程序〔如：网络执法官,QQ盗号软件等〕发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

关于APR欺骗的详细原理请看我搜集的资料ARP欺骗的原理

二、故障诊断

假如用户发现以上疑似情况，可以通过如下操作进展诊断：

点击“开场〞按钮->选择“运行〞->输入“arp–d〞->点击“确定〞按钮，然后重新尝试上网，假如能恢复正常，那么说明此次掉线可能是受ARP欺骗所致。

注：arp-d命令用于去除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。

三、故障处理

1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件去除病毒。

2、被害者：(1)绑定网关mac地址。详细方法如下：

1〕首先，获得路由器的内网的MAC地址〔例如网关地址的MAC地址为0022aa0022aa〕。2〕编写一个批处理文件AntiArp.bat内容如下：将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进展绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开场--程序--启动〞中。这样开机时这个批处理就被执行了。

(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。

AntiArp软件会在提示框内出现病毒主机的MAC地址

四，找出ARP病毒源

第一招：使用Sniffer抓包

在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。假如发现有某个IP不断发送

ARPRequest恳求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。

第二招：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了的这个IP，那么可以断定这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。假如有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。假如某台主机〔例如上面的〕既不是网关也不是效劳器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：。假定设置的缺省网关为，在跟踪一个外网地址时，第一跳却是，那么，就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人〞的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。发贴者dengguo时间：下午6:230评论标签：ARP欺骗,局域网黑客技术-ARP欺骗本来不打算写这接下的一系列讨论欺骗的文章〔方案中有arp欺骗、icmp欺骗、路由rip欺骗、ip地址欺骗等〕，这主要是自己有些担忧有些人会给网管增加日常工作量，但是想想还是写的好，因为通常在你猛打完补丁后，你可能觉得你的系统平安了，但是，实际上，打补丁只是平安措施里的一个很根本的步骤而已，通常一个hacker要进入你的系统，他所要做的并不是你打补丁就可以防止的，象这些欺骗都要求你必须掌握相当的网络底层知识和合理安排物理布线才可阻止得了的。特别是多种手法混用的时候，特别要说明的是：有些人往往以为会使用某些工具入侵就