企业撞上ARP泛洪攻击，这样处理才丝滑

网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者，带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络，特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播，导致网络随机掉线甚至整体瘫痪，通讯被窃听，信息被篡改等严重后果，那么你知道ARP的攻击原理以及防御措施吗？

 什么是ARP

地址解析协议ARP（Address Resolution Protocol）是用来将IP地址解析为MAC地址的协议。

在局域网中，当主机或其它三层网络设备有数据要发送给另一台主机或三层网络设备时，它需要知道对方的网络层地址（即IP地址）。

但是仅有IP地址是不够的，因为IP报文必须封装成帧才能通过物理网络发送，因此发送方还需要知道接收方的物理地址（即MAC地址），这就需要一个从IP地址到MAC地址的映射。

ARP即可以实现将IP地址解析为MAC地址。主机或三层网络设备上会维护一张ARP表，用于存储IP地址和MAC地址的关系。一般ARP表项包括动态ARP表项和静态ARP表项。

一、动态ARP

动态ARP表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被静态ARP表项覆盖。

ARP地址解析过程：

动态ARP通过广播ARP请求和单播ARP应答这两个过程完成地址解析。

1.首先，Host_1会查找自己本地缓存的ARP表，确定是否包含Host_3对应的ARP表项。如果Host_1在ARP表中找到了Host_3对应的MAC地址，则Host_1直接利用ARP表中的MAC地址，对数据报文进行帧封装，并将数据报文发送给Host_3。如果Host_1在ARP表中找不到Host_3对应的MAC地址，则先缓存该数据报文，并以广播方式发送一个ARP请求报文。如图1中所示，OP字段为1表示该报文为ARP请求报文，ARP请求报文中的源MAC地址和源IP地址为Host_1的MAC地址和IP地址，目的MAC地址为全0的MAC地址，目的IP地址为Host_3的IP地址。有关ARP报文格式的详细介绍请参见ARP报文格式。

2.Router_1收到ARP请求报文后，将该ARP请求报文在同一广播域内转发。

3.同一广播域内的主机Host_2和Host_3都能接收到该ARP请求报文，但只有被请求的主机（即Host_3）会对该ARP请求报文进行处理。Host_3比较自己的IP地址和ARP请求报文中的目的IP地址，当两者相同时进行如下处理：将ARP请求报文中的源IP地址和源MAC地址（即Host_1的IP地址和MAC地址）存入自己的ARP表中。之后以单播方式发送ARP应答报文给Host_1，ARP应答报文内容如图1中所示，OP字段为2表示该报文为ARP应答报文，源MAC地址和源IP地址为Host_3的MAC地址和IP地址，目的MAC地址和目的IP地址为Host_1的MAC地址和IP地址。

4.Router_1收到ARP应答报文后，将该ARP应答报文转发给Host_1。Host_1收到ARP应答报文后，将Host_3的MAC地址加入到自己的ARP表中以用于后续报文的转发，同时将数据报文进行帧封装，并将数据报文发送给Host_3。

二、静态ARP

静态ARP表项是由网络管理员手工建立的IP地址和MAC地址之间固定的映射关系。静态ARP表项不会被老化，不会被动态ARP表项覆盖。

正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习，生成的动态ARP表项可以被老化，可以被更新。但是当网络中存在ARP攻击时，设备中动态ARP表项可能会被更新成错误的ARP表项，或者被老化，造成合法用户通信异常。静态ARP表项不会被老化，也不会被动态ARP表项覆盖，可以保证网络通信的安全性。静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址，此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系，从而保护了本端设备和对端设备间的正常通信。一般在网关设备上配置静态ARP表项。

三、免费ARP

设备主动使用自己的IP地址作为目的IP地址发送ARP请求，此种方式称免费ARP。

免费ARP有如下作用：

l IP地址冲突检测：当设备接口的协议状态变为Up时，设备主动对外发送免费ARP报文。正常情况下不会收到ARP应答，如果收到，则表明本网络中存在与自身IP地址重复的地址。如果检测到IP地址冲突，设备会周期性的广播发送免费ARP应答报文，直到冲突解除。

l 用于通告一个新的MAC地址：发送方更换了网卡，MAC地址变化了，为了能够在动态ARP表项老化前通告网络中其他设备，发送方可以发送一个免费ARP。

l 在VRRP备份组中用来通告主备发生变换：发生主备变换后，MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。

什么是ARP安全？

了解了ARP基本工作原理之后，再来看看如何保障ARP安全。

在网络中，常见的ARP攻击方式主要包括：

 •ARP泛洪攻击，也叫拒绝服务攻击DoS（Denial of Service），主要存在这样两种场景：

 ■设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。

■攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARP Miss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU（Central Processing Unit）负荷过重。

•ARP欺骗攻击，是指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，造成用户或网络的报文通信异常。

首先诊断是否为ARP病毒攻击

1. 当发现上网明显变慢，或者突然掉线时，我们可以用 arp -a 命令来检查ARP表：（点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮，在窗口中输入“arp -a”命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。这时可以通过“arp -d”清除arp列表，重新访问。

2. 利用ARP防火墙类软件（如：360ARP防火墙、AntiARPSniffer等）。

如何判断交换机是否受到ARP攻击以及处理方式

1. 如果网络受到了ARP攻击，可能会出现如下现象：

• 用户掉线、频繁断网、上网慢、业务中断或无法上网。

• 设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。

• Ping有时延、丢包或不通。

局域网内的机器遭到ARP病毒欺骗攻击，如果找到源头的机器，将其病毒或木马杀掉，局域网内机器就会恢复正常，那么如何才能快速定位到攻击的源头机器呢?

1. 用arp -a命令。当发现上网明显变慢，或者突然掉线时，我们可以用arp -a命令来检查ARP表。如果发现网关的MAC地址发生了改变，或者发现有很多IP地址指向同一个MAC地址，那么肯定就是ARP攻击所致。

2. 如果网卡是处于混杂模式或者ARP请求包发送的速度大或者ARP请求包总量非常大，判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集工作。

3、通过路由器的“系统历史记录”查看。由于ARP攻击的木马程序发作的时候会发出大量的数据包导致局域网通讯阻塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP攻击的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

这个消息代表了用户的MAC地址发生了变化，在ARP攻击木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)，同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP攻击（ARP攻击的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址）。

 

ARP的几种攻击方式

1. 简单的诈骗攻击

这是对比多见的攻击，经过发送伪造的ARP包来诈骗路由和方针主机，让方针主机认为这是一个合法的主机，便完成了诈骗，这种诈骗多发生在同一网段内，因为路由不会把本网段的包向外转发，当然完成不一样网段的攻击也有办法，便要经过ICMP协议来告诉路由器从头挑选路由。

2. 根据ARP的DOS

这是新呈现的一种攻击办法，D.O.S又称拒绝服务攻击，当大量的衔接请求被发送到一台主机时，因为主机的处理才能有限，不能为正常用户提供服务，便呈现拒绝服务。这个过程中假如运用ARP来躲藏自己，在被攻击主机的日志上就不会呈现真实的IP攻击，也不会影响到本机。

3. MAC Flooding

这是一个对比风险的攻击，能够溢出交流机的ARP表，使全部网络不能正常通讯。

4. 交流环境的嗅探

在开始的小型局域网中咱们运用HUB来进行互连，这是一种广播的办法，每个包都会经过网内的每台主机，经过运用软件，就能够嗅谈到全部局域网的数据。现在的网络多是交流环境，网络内数据的传输被锁定的特定方针。既已断定的方针通讯主机，在ARP诈骗的根底之上，能够把自己的主机伪形成一个中心转发站来监听两台主机之间的通讯。

ARP攻击的危害 

ARP 攻击行为存在以下危害：

① 会造成网络连接不稳定，引发用户通信中断，导致严重的经济损失。

② 利用 ARP 欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的帐号和口令，造成被攻击者重大利益损失。

怎么防护ARP攻击

针对ARP攻击，我们可以采取以下防御措施来提高网络安全性：

1、动态ARP检测与缓存清理：实时监测网络中的ARP活动，检测异常ARP请求和响应。定期清理设备的ARP缓存，删除不再使用的ARP条目，以防止旧的欺骗信息继续生效。

2、静态ARP绑定：在路由器和终端设备上实施IP-MAC绑定，限制网络设备只能与绑定的对应设备进行通信，减少受到ARP攻击的可能性。

3、网络隔离：将不同安全等级的设备隔离在不同的网络段，防止ARP攻击跨网段传播。

4、网络加密：使用加密协议保护数据传输，防止攻击者在网络中窃取敏感信息。

5、ARP防御工具：部署专门的ARP防御工具，实时监测和检测ARP欺骗攻击，并采取相应的防御措施，例如自动封锁攻击者MAC地址，提高网络的安全性。

6、入侵检测系统（IDS）和入侵防御系统（IPS）：部署IDS和IPS可以及时发现并阻止ARP攻击行为，有效保护网络安全。

7、更新安全补丁：及时更新设备和操作系统的安全补丁，修复可能被攻击利用的漏洞，提高网络的整体安全性。

8、网络教育与意识提升：加强网络安全意识教育，让网络用户了解ARP攻击的威胁和防御措施，避免随意点击不明链接，不下载未经验证的软件，防止受到钓鱼等攻击。

综合运用上述防御措施，可以有效降低ARP攻击的成功率，提升网络的安全性不过遇到一些比较难防护的ARP攻击，还是建议能用更好的解决方案。

高防服务器

自主化管理平台：灵活管理资产，拥有强大的实时可视化监控、一键自主重装等功能，保障业务系统高效运行。

德迅卫士（主机安全防火墙）：系统层主机安全软件，为用户远程提供二次验证体系等。一键后台优化服务器权限、威胁组件、威胁端口。

Web云防护（一站式网站安全加速）：防SQL注入、XSS跨站，后门隔离保护、Webshell上传、非法HTTP协议请求。

特点与优势

DDoS清洗

近源清洗多种流量清洗部署方案，无损防御各种DDoS攻击

CC攻击防御

5s发现恶意请求，10s快速阻断攻击，事前拦截、事后溯源、全方位防黑

Web应用防火墙

防SQL注入、XSS跨站，后门隔离保护、Webshell上传、非法HTTP协议请求。

海量DDoS清洗:大防护带宽，平均延迟小于50ms，从容应对大流量攻击。

全方位防护:全面支持SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood、DNS Flood、HTTP Flood、CC攻击等常见攻击类型的防护。

指纹式防御算法：防御游戏空连接、慢连接、恶意踢人攻击，采用IP信誉库、IP+Co-okie、IP+Key防御CC攻击，全球僵尸网络库攻击溯源

结语

ARP本省不能形成多大的损害，一旦被联系使用，其风险性就不可估量，因为ARP自身的疑问，使得防备ARP的攻击很棘手，经常检查当时的网络状况，监控流量对一个站长来说是个很好的风气