试论如何防范ARP攻击

亲爱的同学们，今天为你准备了如何防范ARP攻击，相信能够帮助更多的朋友们，特整理了本文供大家参考阅读。

宁夏马莲台电厂的网络是典型的三层交换，采用了思科的设备，核心层是一台Cisco 6500 , 汇聚层是两台Cisco 6500，分别连接生产楼和生活区的设备,在生产区楼里如集控室、化验楼、燃供楼、检修间、除灰楼、小车库都挂着Cisco 3550作为接入层。全厂一共有200多台计算机通过交换机连成一个局域网。

马莲台电厂网络拓扑图

2、网络故障现象

局域网内的计算机出现外部网站访问速度缓慢，甚至无法打开的现象，客户端用户频繁出现断网并发现IP冲突。最严重的时候出现部分生产楼网络瘫痪。

3、故障分析：

3.1故障原因查找

在开始不能上网的计算机上运行arp –a，说明：10.216.96.3是网关地址，后面的00-00-0c-07-0a-01是网关的物理地址。此物理地址默认情况下是不会发生改变的，如果发现物理地址不是此地址说明自己已经受到了arp病毒的攻击 。

查找过程：

(1)、执行arp –a 列出了：

10.216.96.18 00-0F-EA-11-00-5E

10.216.96.3 00-0F-EA-11-00-5E (网关)

由于之前我们已经知道网关的正确物理地址是00-00-0c-07-0a-01，此时却变成了00-0F-EA-11-00-5E，说明10.216.96.18正在利用arp进行欺骗，冒充网关。

(2)、执行arp –d 清除ARP列表信息。重新运行arp –a看数据类表的可疑IP地址是否存在，不存在说明此IP地址正常;存在，说明该机器肯定有ARP病毒。

(3) 使用tracert命令

在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 61.135.179.148(外网IP地址)。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。

3.2 ARP攻击原理分析

ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗，和对内网PC的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址，并按照一定的频率不断更新学习进行，使真实的地址信息无法通过更新保存在路由器中，造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制，当局域网内某台主机已经感染ARP欺骗的木马程序，就会欺骗局域网内所有主机和路由器，让所有上网的流量都必须经过病毒主机。