给你支招，如何远离ARP攻击

　　ARP这个东西很令人头痛，很多中小型企业经常遭受到ARP断网攻击，每隔几分钟就断一次，找找宽带服务商又无法解决问题，让员工苦不堪言。经常性的断网，使得那些需要网络沟通、传输文件的工作根本无法正常进行，此外还给企业带来了机密文件被盗的风险。那么我们今天来分析一下ARP这究竟是什么？要如何防御？
　　其实上述的现象就是典型的ARP断网攻击，ARP攻击的主要表现形式就是网络瘫痪，即便马上进行修复，短时间内还会再度爆发。ARP攻击多数来自于ARP病毒，这些病毒一般是由用户误从互联网上下载，或是通过恶意网址进行传播的。普通的杀毒软件会反复查杀出新的病毒，即使重装系统，仍然还会被感染。
　　ARP攻击是针对以太网地址解析协议（ARP）的一种攻击技术。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行。无法对外网（互联网、非本区域内的局域网）进行攻击。
　　其实，ARP病毒并不是某种病毒的名称，而是对利用ARP协议漏洞进行传播的一类病毒的总称。通常此类病毒是通过路由欺骗和网关欺骗攻击局域网的，大多数该类病毒都是木马病毒，如以前曾大肆横行过的传奇游戏盗号木马，当局域网中的某台电脑运行了该病毒时，其他原来通过路由器上网的电脑将改为通过该中毒电脑上网。该木马会在局域网内发送大量的数据包，堵塞网内通讯，造成网络越来越慢，同时还会盗取用户的账号及密码，对企业机密信息的威胁很大。

　　ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
　　ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。
　　基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：
　　不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。
　　计算机不能正常上网，出现网络中断的症状。
　　因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。
　　在此，提醒企业用户一定要小心防范ARP病毒，一旦企业网络出现被ARP攻击的征兆，要立刻采取防护措施。正所谓“道高一尺。魔高一丈”，网络问题必定需要网络的方法去解决。对于普通的企业用户来说 ，可以从以下三点入手， 可以有效的解决ARP攻击问题：
　　1、提高终端电脑的安全性，及时更新本机操作系统和应用程序补丁，防止黑客利用这些漏洞来攻击用户，除此之外，可以根据需要安装一些企业级杀毒软件。
　　2、利用交换机防止ARP攻击，在交换机上绑定MAC地址与IP地址，为每台主机添加一条IP地址和MAC地址对应的关系静态地址表，这样，当用户发送数据包时，交换机会获得的IP和MAC与之前建立的映射表进行对比，如果相匹配则发送的包能通过，否则丢弃该数据包，从而有效防止ARP欺骗。
　　3、安装硬件防火墙。防毒墙是一种协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。某些先进的防火墙可以立刻阻断病毒后继续下载，同时利用防毒墙的日志系统定位并控制染毒电脑，以保障局域网的正常使用。
　　从以上的三个措施来看，还是有一定的效果。如果对于ARP攻击还有更好的防范措施，你不妨登陆编程学习网教育或关注公众号【编程学习网IT精品课程】和我们讨论交流。