如何反ARP攻击、防止ARP断网攻击

如何反ARP攻击、防止ARP断网攻击 作者:大厦 日期:2013/12/4 当前，在企事业单位局域网中，经常出现ARP断网攻击导致的局域网掉线和断网现象，严重干扰了公司网络的正常运转。那么如何才能有效防止ARP断网攻击呢, 办法一、部署专门的ARP攻击防护系统，发动ARP攻击的电脑并反击ARP攻击行为 当前国内有专门的反ARP攻击的软件，可以有效应对ARP攻击行为。例如“聚生网管”、“大势至内网安全卫士”等等，不仅可以检测出局域网ARP攻击源主机，让网管员知道究竟是那台电脑发动了ARP攻击，而且还可以发起反击，隔离局域网发动ARP攻击的电脑，使之无法上网，甚至还无法和局域网其他电脑通讯，这样自然ARP攻击行为就会失效。因此，通过专门的网络安全软件是比较有效应对局域网ARP攻击行为的。如下图所示: 图:聚生网管的ARP攻击防护功能 图:大势至内网安全卫士ARP防护功能 此外，“聚生网管”软件还可以有效管理局域网电脑上网行为，可以禁止局域网P2P下载(尤其是可以完全禁止迅雷下载、限制BT下载)、控制局域网网络游戏、限制网购、禁止炒股、限制聊天、控制局域网网速、禁止上班看视频(如PPS、PPlive„„)、监控网页访问等功能，可以有效管理员工上网行为，防止员工不适当的上网行为引发的网络安全事件;而“大势至内网安全卫士”则还可以禁止局域网电脑修改IP地址、禁止修改MAC地址、禁止代理上网、限制外来电脑接入(网络准入管理)、禁止私自安装无线路由器、检测局域网手机和平板电脑等功能，从而全面保护局域网网络安全。有兴趣的网友可以下载测试。 方法二、将局域网电脑进行网关静态绑定，从而可以有效防止ARP断网攻击。 1、XP、Windows2003等操作系统的网关ARP静态绑定 步骤一: 在能正常上网时，进入MS-DOS窗口(开始-运行-CMD,回车)，输入命令:arp ,a，查看网关的IP对应的正确MAC地址， 并将其记录下来。 注意:如果已经不能上网，则先运行一次命令arp ,d将arp缓存中的内容删空，计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线)，再运行arp ,a。 步骤二: 如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。 要想手工绑定，可在MS-DOS窗口下运行以下命令: arp ,s 网关IP 网关MAC 例如:假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp ,a后输出如下: Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态(dynamic)的，因此是可被改变的。 被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。 手工绑定的命令为: arp ,s 192.168.1.1 00-01-02-03-04-05 (注意:不必用手输入，你可以直接复制，DOS命令下复制方法:右键点击，选择标记，然后拖动光标从网关的mac地址直到IP地址，然后右键点击一下即可复制，然后输入arp -s ，然后在空格后面右键点击，选择“粘贴”， 即可成功复制，回车即可) 绑定完，可再用arp ,a查看arp缓存: Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时，类型变为静态(static)，就不会再受攻击影响了。 但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。如果想永久绑定，就需要创建一个脚本。打开一个文本文件，复制下面的内容，然后保存为.bat文件，放到开机启动项即可。如下: @echo off arp -s192.168.1.1 00-01-02-03-04-05 end 2、Windows 7、2008、Win8系统网关ARP静态绑定的方法 在Windows 7操作系统下，如果是非管理员登录操作系统(如user)，则运行聚生网管系统需要做网关的ARP静态绑定，否则可能导致运行聚生网管系统的控制机自身无法上网。 在Windows 7之前的操作系统，如XP,直接执行arp -s 命令即可绑定IP和MAC地址，但是在Win7下会遇到不能运行arp -s 进行静态mac绑定的情况，提示“ARP 项添加失败: 拒绝访问。”(英文版提示:The ARP entry addition failed:Access is denied. )。 Win7下绑定IP和MAC地址操作和XP有所差别，Win7用户这时候就需要用netsh命令了。具体操作如下: 1、首先以管理员身份运行CMD打开命令行程序，方法:开始-程序-附件-命令提示符，点击右键选择“以管理员身份运行” ) 2、CMD中输入:netsh i i show in (注意:中间都有一个空格) 显示:(电脑中网卡的数量不同，网卡的安装次数会影响以下显示内容) 图1，查看上网连接的Idx序号 3、然后查询你上网网关的IP和MAC地址，执行ARP –A，回车即可，如下图: 图2:查看上网网关IP和MAC地址 3、在图1显示的内容中找到你用来上网连接的Idx那个号码，在下面命令中使用 (假如你上网的网卡是“本地链接”所以Idx为 11)。然后在命令提示符窗口输入以下命令(网关的IP和MAC地址根据图2获得): netsh -c "i i" add neighbors 11 "192.168.1.1" "00-19-5b-14-f7-40"，然后回车 4、然后在命令提示符输入运行 arp -a 就可以看到绑定好的网关处于静态了，如下图所示: 图:查看ARP是否绑定成功 5、如过想解除绑定在CMD命令行程序里输入netsh i i reset 回车就可以，不过需要重启才能生效。 综上所述，企业局域网防止ARP攻击、防范ARP断网攻击的方法很多，比如还有一些人可能会安装ARP防火墙来应对ARP欺骗，也是一种比较有效的方法，但是由于ARP防火墙会不断向路由器发送ARP缓冲报文，这样会无形中加大路由器的负担，因此不建议企业用户局域网使用。