ARP攻擊的解決方法

摘要：隨著計算機網絡的普及，現在我們工作生活都離不開計算機網絡，然而大家在使用過程中都會遇到形形色色的問題，其中ARP病毒攻擊就是典型的一種，它悄無聲息卻嚴重影響著大家的工作和生活，本文主要闡述ARP病毒攻擊原理和應對的一些策略，希望能夠幫助到遇到問題的用戶。

關鍵詞：ARP；病毒；PING；MAC

ARP攻擊是典型的一種利用IP協議規則進行網絡攻擊的病毒，IP協議是一個開放式的協議，正是因為開放導致一些不可避免的漏洞。在我們日常辦公中經常會遇到這類問題，網絡時斷時續，難以找到問題的源頭。嚴重干擾我們的日常辦公生活娛樂，而且排查也相對找不到頭緒。下面我就闡述一下ARP的基本工作原理和ARP攻擊的應對策略。

首先ARP（Address Resolution Protocol）是地址解析協議，主要作用是根據目標IP地址獲取目標物理MAC地址，從而完成設備之間的數據通訊，是一個非常重要的協議。而它的工作原理就是請求設備發出包含目標設備IP地址的ARP廣播報文，相同網段設備接受到報文后，目標設備作出回應，這樣請求設備就得到了ARP表項并記錄在設備上，因為IP網是一個開放式的網絡，靈活多變，為了適應這種時刻變化的網絡，設計者在設計的時候一般ARP表項保留300秒，過時就會自動刪除此表項。基于這個工作原理，就誕生了ARP欺騙的病毒，原理就是同一網段的其他設備發出偽裝目標主機的ARP回應報文，導致請求主機得到錯誤的ARP表項，從而導致通訊異常。而且一般來說ARP病毒都是偽裝成網關設備，從而導致整個網絡的癱瘓。

筆者根據10多年的工作經驗總結了一些ARP病毒排查和應對方法。 首先故障機不一定是自病毒機，我們通過故障機ping網關，和相同網段內的其他主機，如果網關不通，而其他主機能通則基本判定為ARP攻擊。以下是具體排查步驟：

第一步：我們在故障機上使用arp –a 的命令行，來查詢目前該主機的ARP表項，會得到目前和主機通訊的其他設備的ARP表項，如下圖

第二步：比對網關設備MAC地址和此ARP表項里的是否一致，如果不一致就能絕對判定是ARP攻擊搗的鬼。

第三步：查找ARP病毒機，根據上圖中查找出來的ARP表項，得到病毒機的MAC地址，根據此MAC地址可以在交換機上查詢MAC地址查找到具體的設備。然后查殺病毒，解決故障。

因為IP網絡是一張開放的網絡，我們不能全然避免病毒的入侵，因此我們可以采用在主機上靜態綁定ARP表項的方式來綁定網關的MAC地址，等于是打了一針疫苗，ARP病毒就對他不起作用了。具體方式如下：arp -s 網關IP 網關MAC。因為ARP表項有時間壽命，或者開關機后會自動清除，所以我們加了-s的永久參數，這樣ARP表項會一直保留在主機中，除非手工解除。這樣我們就一勞永逸的解決了ARP病毒攻擊的問題，唯一缺點是更換網關設備后需要手工解綁后重新綁定。

以上是我對ARP病毒攻擊的小小闡述和一些應對策略，希望能夠幫助一些網管人員，大家一起學習共同進步。為計算機網絡發展提供綿薄之力。

參考文獻：

[1]張小平. 基于ARP漏洞與ARP攻擊防范的研究[J]. 電子技術與軟件工程. 2013（18）

[2]蔣華，魏占禎，楊亞濤. 一種ARP攻擊及其相關的安全策略[J]. 北京電子科技學院學報. 2005（02） [3] 楊建強. 淺談ARP原理及ARP攻擊、判斷、防范技術[J]. 哈爾濱職業技術學院學報. 2011（01）

[4]鄭志勇，花的神明. 不再談ARP色變 ARP攻擊原理與防御[J]. 電腦迷. 2007（12） [5] 李寧. 局域網ARP攻擊的防御機制探索[J]. 電腦知識與技術. 2009（11）

[6]項寧，管群. ARP漏洞及其ARP攻擊防范[J]. 軟件導刊. 2009（11） [7] 周在龍. arp攻擊解析[J]. 科技信息. 2008（27）

[8]姚路，馬克. 一種檢測ARP攻擊算法[J]. 青海師范大學學報（自然科學版）. 2014（01） [9] 崔寧. ARP防攻擊技術的研究[J]. 電子技術與軟件工程. 2015（10）

[10]陳衛軍，劉躍軍. 針對ARP攻擊的網絡防范機制研究[J]. 安陽師范學院學報. 2008（02）