[修订]解决ARP攻击造成的局域网断网问题

[修订]解决ARP攻击造成的局域网断网问 无线局域网内的ARP攻击引起的上网掉线的原因和解决方法 在家庭和公司的宽带局域网中，经常会遇到的就是ARP病毒攻击，最常见的症状是电脑老是掉线，网页经常打不开，QQ无法登陆之类的现象。就是能浏览网页也会很卡，这不是无线路由器出故障了，也不是网速问题，大多都是遇到ARP攻击了，这对上网的体验影响很大，对业务以来网络的公司来说更是意味着金钱的损失。下面就来给大家解释一下原因和相应的解决办法，顺带也说说ARP攻击的演化。 首先，我们先来了解一下什么是ARP攻击。 ARP攻击，是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。 ARP攻击的演化 初期: 这种有目的的发布错误ARP广播包的行为，被称为ARP欺骗。ARP欺骗，最初为黑客所用，成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。 中期:ARP恶意攻击 后来，有人利用这一原理，制作了一些所谓的“管理软件”，例如网络剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。 特别是在网吧中，或者因为商业竞争的目的、或者因为个人无聊泄愤，造成恶意ARP攻击泛滥。 随着网吧经营者摸索出禁用这些特定软件的方法，这股风潮也就渐渐平息下去了。 现在:综合的ARP攻击 最近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。 首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主，最有效的攻击方式是DDOS攻击。但是随着防范能力的提高，病毒制造者将目光投向局域网，开始尝试ARP攻击，例如最近流行的威金病毒，ARP攻击是其使用的攻击手段之一。 相对病毒而言，盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗，同时又会影响的其他电脑上网。 在企事业单位中，越来越频繁使用局域网共享上网，但有时候会因为一台电脑中病毒或者其他原因，引发ARP攻击，造成整个局域网内所有电脑上网很慢。 遭受ARP攻击后现象 ARP欺骗木马的中毒现象现为:使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象(无法ping通网关)，重启机器或在MS-DOS窗口下运行命令arp -d后，又可 恢复上网。 ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。 基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象: 1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。 2.计算机不能正常上网，出现网络中断的症状。 因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。 也就是说ARP病毒不太好清理掉，因为搞不清楚是哪一台电脑中病毒。但借助360安全卫士可以有效解决这个问题 1. 下载安装360安全卫士，这个软件比较常见。 2. 在软件主界面上方选择“功能大全”。 3. 在弹出的窗口中，选择“360木马防火墙”。 4.如果没有“360木马防火墙”，可在当前窗口的右下角选择“添加小工具” 找到“360木马防火墙”之后，点击右侧的“添加”即可。 5. 打开“360木马防火墙”，在当前界面找到“”局域网防护(ARP)，可看见默认是关闭的。 6. 鼠标按住“已关闭”按钮不丢，往左拖动，它会变成绿色的“已开启”。 7. 此时，电脑会自动安装一些东西，然后重启电脑。这个时候我们不用进行其他操作。 8. 重启电脑时候，再也不会被其他电脑ARP攻击，自己的网络也会正常使用。 到这里，需要大家注意的是ARP个人防火墙也有很大缺陷: 、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗， 1 有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏网络知识的用户恐怕也无所适从。 2 、ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪”。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。 因此，ARP个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的，它是个人的，不是网络的。 解决ARP最根本的办法 首先要明确ARP攻击仅能在局域网内进行，没有路由器的家庭用户可以不必考虑。 1.安装ARP防火墙 如今大部分安全辅助软件均内置ARP防火墙，著名的有:360安全卫士(内置)、金山贝壳ARP专杀、金山卫士。 2.安装杀毒软件 杀毒软件可以有效的防止ARP病毒进入机器。 3.已经中毒的处理方法 由于中毒后网速会减慢，杀软失效。所以我们应该用专门的专杀杀毒后安装杀毒软件保护系统。 必须注意～ARP病毒大多捆绑木马下载者，不要以为ARP病毒对自己工作没有太大影响就可以忽略～