ARP

前言：

        事件的起因是因为监考，没错，就是监考，ping不上服务器，老师来了说是因为ARP攻击，然后问题来了，什么是ARP？什么又是ARP攻击？且听我细细道来。

ARP（地址解析协议）

地址解析协议，即ARP（AddressResolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

工作过程

ARP

地址解析协议是建立在网络中各个主机互相信任的基础上的，它的诞生使得网络能够更加高效的运行，但其本身也存在缺陷：ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。[5] ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。

Arp欺骗种类

ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

如何发现自己电脑时候被攻击了？

⒈用户频繁断网、上网时感觉网络经常掉线，重新开机或修复本地连接（或先停用再启用）后网络恢复正常但几分钟后网络再次中断，甚至客户端无法登陆，但是在某一闲时或半夜某一人上网时自己可以上！

⒉IE浏览器在使用过程中频繁出错或自动关闭网页。甚至只有发送没有接收的数据包！

⒊一些常用软件经常出现故障或非正常自动关闭，但是在上网人数较少或某一时段正常的！

（PS 4.因为是在监考的时候遇到的，所以我觉得还可以加上链接服务器的时候ping不同服务器，首先看网线，其次怀疑ARP。）

如何清除arp病毒？

1、检查本机的“ ARP欺骗”木马染毒进程

点选“进程”标签。察看其中是否有一个名为“ MIR0.dat”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。

2、检查网内感染“ ARP欺骗”木马染毒的计算机

1）在“开始”“运行”输入cmd后确定。

2）在弹出的命令提示符框中输入并执行以下命令ipconfig

3）记录网关 IP地址，即“ Default Gateway”对应的值，例如“ 10.17.1.1”。

4）再输入并执行以下命令：arp–a

5）在“ Internet Address”下找到上步记录的网关 IP地址，记录其对应的物理地址，即“ Physical Address”值，例如“ 00-05-e8-1f-35-54”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

3、静态ARP绑定网关

步骤一：

在能正常上网时，进入MS-DOS窗口，输入命令：arp－a，查看网关的IP对应的正确MAC地址，并将其记录下来。

注意：如果已经不能上网则输入一次命令arp－d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp－a。

步骤二：

如果计算机已经有网关的正确MAC地址，而不能上网。只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。

要想手工绑定，可在MS-DOS窗口下运行以下命令：

arp－s网关IP网关MAC

如何防御？

⒈金山ARP防火墙beta。

双向拦截ARP攻击、支持Vista、初级用户零设置+丰富的高级设置、安装免重启、低资源占用。

⒉ 360ARP防火墙

防范从我做起

⒈查杀病毒和木马。采用杀毒软件（需更新至最新病毒库）、采用最新木马查杀软件进行在安全模式下彻底查杀（计算机启动时时按F8可进入安全模式）。

⒉不使用不良网管软件。

⒊不使用软件更改自己的mac地址。

⒋发现别人恶意攻击或有中毒迹象（例如发现arp攻击地址为某台计算机的mac地址），及时告知和制止。

关于ARP的一些简单命令，可以直接用win+r,输入cmd，再次输入arp,即可看到下面这些简单命令，想要更多了解还需要自己去寻找。

总结：

     

     这次是在监考中遇到，才联想到以前自己在机房一直设置ARP什么的原因，相信有不少同学见过APR攻击了，不信？打开你电脑中的APR防火墙，看一下拦截日志，兴许你就有点感觉了（PS：没有也别来找我，我不会帮你尝试的。。）