ARP攻击

ARP定义　　

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，对应于数据链路层，负责将某个IP地址解析成对应的MAC地址。
基本功能
　　ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。 　　ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
ARP攻击的局限性
　　ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行。无法对外网（互联网、非本区域内的局域网）进行攻击。

ARP攻击原理　　

    ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 　　
ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 　　
    某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP攻击的演化

初期： 　　
这种有目的的发布错误ARP广播包的行为，被称为ARP欺骗。ARP欺骗，最初为黑客所用，成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。 　
中期：ARP恶意攻击 　　
后来，有人利用这一原理，制作了一些所谓的“管理软件”，例如网络剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。 　　
特别是在网吧中，或者因为商业竞争的目的、或者因为个人无聊泄愤，造成恶意ARP攻击泛滥。 　　
随着网吧经营者摸索出禁用这些特定软件的方法，这股风潮也就渐渐平息下去了。 　　
现在：综合的ARP攻击 　　
最近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。 　　
首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主，最有效的攻击方式是DDOS攻击。但是随着防范能力的提高，病毒制造者将目光投向局域网，开始尝试ARP攻击，例如最近流行的威金病毒，ARP攻击是其使用的攻击手段之一。 　　
相对病毒而言，盗号程序对网吧运营的困惑更大。盗号程序是为了窃取用户帐号密码数据而进行ARP欺骗，同时又会影响的其他电脑上网。

遭受ARP攻击后现象　　

    ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。 　　
    ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。 　　
    基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象： 　　
1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。 　　
2.计算机不能正常上网，出现网络中断的症状。 　　
因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

对ARP攻击的防护

防护原理
　　防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。 　　首先，你要知道，如果一个错误的记录被插入ARP或者IP route表，可以用两种方式来删除。 　　
a. 使用arp –d host_entry  ARP断网攻击
b. 自动过期，由系统删除 　　这样，可以采用以下的一些方法：
1）. 减少过期时间 　　#ndd –set /dev/arp arp_cleanup_interval 60000 　　#ndd -set /dev/ip ip_ire_flush_interval 60000 　　60000=60000毫秒 默认是300000 　　加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现ARP请求和回复，请不要在繁忙的网络上使用。 　　
2）. 建立静态ARP表 　　这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。 　　test.nsfocus.com 08:00:20:ba:a1:f2 　　user. nsfocus.com 08:00:20:ee:de:1f 　　使用arp –f filename加载进去，这样的ARP映射将不会过期和被新的ARP数据刷新，除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个arp文件。这个方法，不适合于经常变动的网络环境。 　　
3）．禁止ARP 　　可以通过ipconfig interface –arp 完全禁止ARP，这样，网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表，如果不在ARP表中的计算机 ，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效可行的。 　　但目前的ARP病毒层出不穷,已经不能单纯的依靠传统的方法去防范,比如简单的绑定本机ARP表,我们还需要更深入的了解ARP攻击原理,才能够通过症状分析并解决ARP欺骗的问题。
解决ARP最根本的办法
　　ARP欺骗和攻击问题，是企业网络的心腹大患。关于这个问题的讨论已经很深入了，对ARP攻击的机理了解的很透彻，各种防范措施也层出不穷。 　　但问题是，现在真正摆脱ARP问题困扰了吗？从用户那里了解到，虽然尝试过各种方法，但这个问题并没有根本解决。原因就在于，目前很多种ARP防范措施，一是解决措施的防范能力有限，并不是最根本的办法。二是对网络管理约束很大，不方便不实用，不具备可操作性。三是某些措施对网络传输的效能有损失，网速变慢，带宽浪费，也不可取。 　　
    本文通过具体分析一下普遍流行的四种防范ARP措施，去了解为什么ARP问题始终不能根治。并进一步分析在免疫网络的模式下，对ARP是如何彻底根除的，为什么只有免疫网络能够做到。
个人用户的防护方法
　　首先要明确ARP攻击仅能在局域网内进行，没有路由器的家庭用户可以不必考虑 　　
1.安装ARP防火墙 　　
如今大部分安全辅助软件均内置ARP防火墙，著名的有：360安全卫士（内置）、金山贝壳ARP专杀、金山卫士 　　
2.安装杀毒软件 　　
杀毒软件可以有效的防止ARP病毒进入机器 　　
3.已经中毒的处理方法 　　
由于中毒后网速会减慢，杀软失效。所以我们应该用专门的专杀杀毒后安装杀毒软件保护系统 　　
必须注意！！！ARP病毒大多捆绑木马下载者，不要以为ARP病毒对自己工作没有太大影响就可以忽略！！！