前段時間，俠諾科技針對“ARP病毒防制方案”進行簡單介紹，得到了廣大用戶和業界的關注與好評。近期，俠諾科技的技術工程師在工作又得到了新的發現，為了進一步讓大家了解并防制ARP，特推出了ARP攻擊防制進階篇，與用戶們共同探討、研究。

要了解ARP欺騙攻擊, 我們首先要了解ARP協議以及它的工作原理，以更好的來防范和排除ARP攻擊的帶來的危害。本文為大家帶來進階的ARP攻擊防制方法。

基本ARP介紹

ARP “Address Resolution PRotocol”（地址解析協議），局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。所謂“地址解析”就是主機在發送幀前將目標ip地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

ARP協議的工作原理：在每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，如表所示。

我們以主機A（192.168.1.5）向主機B（192.168.1.1）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。假如找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發送就可以了；假如在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發出這樣的詢問：“192.168.1.1的MAC地址是什么？”網絡上其它主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表。

基本ARP病毒防制法

通過對 ARP工作原理得知，假如系統ARP緩存表被修改不停的通知路由器一系列錯誤的內網IP或者干脆偽造一個假的網關進行欺騙的話，網絡就肯定會出現大面積的掉線問題，這樣的情況就是典型的 ARP攻擊，對遭受ARP攻擊的判定，其方法很輕易，你找到出現問題的電腦點開始運行進入系統的DOS操作。ping路由器的LAN IP丟包情況。輸入ping 192.168.1.1（網關IP地址），如下圖：

圖片一 QQread.com 推出各大專業服務器評測 linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器 聯想服務器 浪潮服務器 曙光服務器 同方服務器 華碩服務器 寶德服務器

內網ping路由器的LAN IP丟幾個包，然后又連上，這很有可能是中了ARP攻擊。為了進一步確認，我們可以通過查找ARP表來判定。輸入ARP -a命令，顯示如下圖：

圖片二

可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很顯然，這就是 ARP欺騙造成的。

在理解了ARP之后，ARP欺騙攻擊以及如何判定此類攻擊，我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網絡造成的危害。

Qno俠諾工程師的一般處理辦法分三個步驟來完成。

1、激活防止ARP病毒攻擊

進入路由器的防火的基本配置欄將“防止ARP病毒攻擊”在這一行的“激活”并確定。

2、對每臺pc上綁定網關的IP和其MAC地址

在每臺PC機上進入dos操作，輸入arp –s 192.168.1.1(網關IP) 00-0f-3d-83-74-28(網關MAC),Enter后完成每臺PC機的綁定。

針對網絡內的其它主機用同樣的方法輸入相應的主機IP以及MAC地址完成IP與MAC綁定。但是此動作，假如重起了電腦，作用就會消失，所以可以把此命令做成一個批處理文件，放在操作系統的啟動里面，批處理文件可以這樣寫：

@echo off

arp -d

arp -s路由器LAN IP 路由器LAN MAC

3、在路由器端綁定用戶IP/MAC地址：

在DHCP功能中對IP/MAC進行綁定，Qno路由器提供了一個顯示新加入的IP地址的功能，通過這個功能可以一次查找到網絡內部的所有PC機的IP/MAC的對應列表，我們可以通過“√”選的功能選擇綁定IP/MAC。

進階ARP病毒防制

單靠這樣的操作基本可以解決問題，但是Qno俠諾的技術工程師建議通過進一步通過一些手段來進一步控制ARP的攻擊。

1、病毒源，對病毒源頭的機器進行處理，殺毒或重新裝系統。此操作比較重要，解決了ARP攻擊的源頭PC機的問題，可以保證內網免受攻擊。

2、網吧治理員檢查局域網病毒，安裝殺毒軟件（金山毒霸/瑞星，必須要更新病毒代碼），對機器進行病毒掃描。

3、給系統安裝補丁程序，通過Windows Update安裝好系統補丁程序(要害更新、安全更新和Service Pack)。

4、給系統治理員帳戶設置足夠復雜的強密碼，最好能是12位以上，字母+數字+符號的組合；也可以禁用/刪除一些不使用的帳戶。

5、經常更新殺毒軟件（病毒庫），設置答應的可設置為天天定時自動更新。安裝并使用網絡防火墻軟件，網絡防火墻在防病毒過程中也可以起到至關重要的作用，能有效地阻擋自來網絡的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁，不妨通過使用網絡防火墻等其它方法來做到一定的防護。

6、關閉一些不需要的服務，條件答應的可關閉一些沒有必要的共享，也包括C$、D$等治理共享。完全單機的用戶也可直接關閉Server服務。

7、不要隨便點擊打開QQ、MSN等聊天工具上發來的鏈接信息，不要隨便打開或運行生疏、可疑文件和程序，如郵件中的生疏附件，外掛程序等。

ARP攻擊防制是一個任重而道遠的過程，必須高度重視這個問題，而且不能大意馬虎，我們可以采取以上Qno俠諾技術工程師的建議隨時警惕ARP攻擊，以減少受到的危害，提高工作效率，降低經濟損失。

若碰到相關的或者其它技術上的問題，您可以隨時登錄www.qno.cn網站，我們的專業工程師有設有專業路由技術論壇，在那里您將得到更具體、更專業的解答與幫助。