如何防止ARP攻击防arp攻击路由器 _经验分享

如何有效的防止ARP攻击
关于这个问题的讨论已经很深入了，对ARP攻击的机理了解的很透彻，各种防范措施也层出不穷。但问题是，现在真正摆脱ARP问题困扰了吗？从用户那里了解到，虽然尝试过各种方法，但这个问题并没有根本解决。原因就在于，目前很多种ARP防范措施，一是解决措施的防范能力有限，并不是最根本的办法。二是对网络管理约束很大，不方便不实用，不具备可操作性。三是某些措施对网络传输的效能有损失，网速变慢，带宽浪费，也不可取。本文通过具体分析一下普遍流行的四种防范ARP措施，去了解为什么ARP问题始终不能根治。上篇：四种常见防范ARP措施的分析一、双绑措施双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。但双绑的缺陷在于3点：1、在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP–d命令，就可以使静态绑定完全失效。2、在路由器上做IP-MAC表的绑定工作，费时费力，是一项繁琐的维护工作。换个网卡或更换IP，都需要重新配置路由。对于流动性电脑，这个需要随时进行的绑定工作，是网络维护的巨大负担，网管员几乎无法完成。3、双绑只是让网络的两端电脑和路由不接收相关ARP信息，但是大量的ARP攻击数据还是能发出，还要在内网传输，大幅降低内网传输效率，依然会出现问题。因此，虽然双绑曾经是ARP防范的基础措施，但因为防范能力有限，管理太麻烦，现在它的效果越来越有限了。二、ARP个人防火墙在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。ARP个人防火墙也有很大缺陷：1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏网络知识的用户恐怕也无所适从。2、ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪” 。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。因此，ARP个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的措施，它是个人的，不是网络的。三、VLAN和交换机端口绑定通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。不过，VLAN和交换机端口绑定的问题在于：1、没有对网关的任何保护，不管如何细分VLAN，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。2、把每一台电脑都牢牢地固定在一个交换机端口上，这种管理太死板了。这根本不适合移动终端的使用，从办公室到会议室，这台电脑恐怕就无法上网了。在无线应用下，又怎么办呢？还是需要其他的办法。3、实施交换机端口绑定，必定要全部采用高级的网管交换机、三层交换机，整个交换网络的造价大大提高。因为交换网络本身就是无条件支持ARP操作的，就是它本身的漏洞造成了ARP攻击的可能，它上面的管理手段不是针对ARP的。因此，在现有的交换网络上实施ARP防范措施，属于以子之矛攻子之盾。而且操作维护复杂，基本上是个费力不讨好的事情。四、PPPoE网络下面给每一个用户分配一个帐号、密码，上网时必须通过PPPoE认证，这种方法也是防范ARP措施的一种。PPPoE拨号方式对封包进行了二次封装，使其具备了不受ARP欺骗影响的使用效果，很多人认为找到了解决ARP问题的终极方案。问题主要集中在效率和实用性上面：1、PPPoE需要对封包进行二次封装，在接入设备上再解封装，必然降低了网络传输效率，造成了带宽资源的浪费，要知道在路由等设备上添加PPPoE Server的处理效能和电信接入商的PPPoE Server可不是一个数量级的。2、PPPoE方式下局域网间无法互访，在很多网络都有局域网内部的域控服务器、DNS服务器、邮件服务器、OA系统、资料共享、打印共享等等，需要局域网间相互通信的需求，而PPPoE方式使这一切都无法使用，是无法被接受的。3、不使用PPPoE，在进行内网访问时，ARP的问题依然存在，什么都没有解决，网络的稳定性还是不行。因此，PPPoE在技术上属于避开底层协议连接，眼不见心不烦，通过牺牲网络效率换取网络稳定。最不能接受的，就是网络只能上网用，内部其他的共享就不能在PPPoE下进行了。通过对以上四种普遍的ARP防范方法的分析，我们可以看出，现有ARP防范措施都存在问题。这也就是ARP即使研究很久很透，但依然在实践中无法彻底解决的原因所在了。下篇：免疫网络是解决ARP最根本的办法道高一尺魔高一丈，网络问题必定需要网络的方法去解决。目前，欣全向推广的免疫网络就是彻底解决ARP问题的最实际的方法。从技术原理上，彻底解决ARP欺骗和攻击，要有三个技术要点。1、终端对网关的绑定要坚实可靠，这个绑定能够抵制被病毒捣毁。2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。3、网络内要有一个最可依赖的机构，提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息，又能够对出现的假网关信息立即封杀。免疫网络在这三个问题上，都有专门的技术解决手段，而且这些技术都是厂家欣全向的技术专利。下面我们会详细说明。现在，我们要先做一个免疫网络结构和实施的简单介绍。免疫网络就是在现有的路由器、交换机、网卡、网线构成的普通交换网络基础上，加入一套安全和管理的解决方案。这样一来，在普通的网络通信中，就融合进了安全和管理的机制，保证了在网络通信过程中具有了安全管控的能力，堵上了普通网络对安全从不设防的先天漏洞。免疫网络的结构实施一个免疫网络不是一个很复杂的事，代价并不大。它要做的仅仅是用免疫墙路由器或免疫网关，替换掉现有的宽带接入设备。在免疫墙路由器下，需要自备一台服务器24小时运行免疫运营中心。免疫网关不需要，已自带服务器。这就是方案的所需要的硬件调整措施。软性的网络调整是IP规划、分组策略、终端自动安装上网驱动等配置和安装工作，以保证整个的安全管理功能有效地运行。其实这部分工作和网管员对网络日常的管理没有太大区别。免疫网络的监控中心免疫网络具有强大的网络基础安全和管理功能，对ARP的防范仅是其十分之一不到的能力。但本文谈的是ARP问题，所以我们需要回过头来，具体地解释免疫网络对ARP欺骗和攻击防范的机理。至于免疫网络更多的强大，可以后续研究。前述治理ARP问题的三个技术要点，终端绑定、网关、机构三个环节，免疫网络分别采用了专门的技术手段。1、终端绑定采用了看守式绑定技术。免疫网络需要每一台终端自动安装驱动，不安装或卸载就不能上网。在驱动中的看守式绑定，就是把正确的网关信息存贮在非公开的位置加以保护，任何对网关信息的更改，由于看守程序的严密监控，都是不能成功的，这就完成了对终端绑定牢固可靠的要求。2、免疫墙路由器或免疫网关的ARP先天免疫技术。在NAT转发过程中，由于加入了特殊的机制，免疫墙路由器根本不理会任何对终端IP-MAC的ARP申告，也就是说，谁都无法欺骗网关。与其他路由器不同，免疫墙路由器没有使用IP-MAC的列表进行工作，当然也不需要繁琐的路由器IP-MAC表绑定和维护操作。先天免疫，就是不用管也具有这个能力。
如何防止ARP攻击
每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp
-a可以查看当前的ARP缓存表.以下是本机的ARP表
：
C:\Documents
and
Settings\cnqing>arp
-a
Interface:
192.168.0.1
on
Interface
0x1000003
Internet
Address
Physical
Address
Type
192.168.0.1
00-03-6b-7f-ed-02
dynamic
其中代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP
-S
IP
MAC.
执行arp
-s
192.168.0.1
00-03-6b-7f-ed-02后,我们再次查看ARP缓存表.
C:\Documents
and
Settings\cnqing>arp
-a
Interface:
192.168.0.1
on
Interface
0x1000003
Internet
Address
Physical
Address
Type
192.168.0.1
00-03-6b-7f-ed-02
static
此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.
此时我们就可以自己写一个批处理文件，文件内容如下：
@echo
off
arp
-d
arp
-s
192.168.0.1
00-03-6b-7f-ed-02
写好之后我们把它存储为
rarp.bat，再把此文件放到开始菜单-程序-启动栏，这样每次启动机器时，就自动执行此批处理文件。菜单-程序-启动栏默认目录：C:\Documents
and
Settings\All
Users\「开始」菜单\程序\启动
如何彻底防arp攻击
防范ARP的方法有以下几种：
①保证电脑不接收欺骗包
②保证电脑收到欺骗包之后不相信
③如果网络设备能够识别这种欺骗包，并且提前丢弃掉，则电脑/手机端就不会被欺骗；
④如果网络设备没有拦截这种欺骗包，则电脑/手机端需要做安全防御，然后再丢弃。
参考资料：网页链接

arp攻击与防范
如今互联网的重要性越来越大，很多人也对一些知识很感兴趣，那么你知道arp攻击与防范吗?下面是我整理的一些关于arp攻击与防范的相关资料，供你参考。
arp攻击与防范：
一、要想防患arp攻击，那么我们要知道什么是arp?
ARP：地址解析协议，用于将32位的IP地址解析成48位的物理mac地址。
在以太网协议中，规定同一局域网中的主机相互通信，必须知道对方的物理地址(即mac地址)，而在tcp/ip协议中，网络层和传输层只关心目标主机的ip地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层的IP协议提供的数据中，只包含目的主机的IP地址。所以就需要一种协议，根据目的的IP地址，获得其mac地址。所以arp协议就应运而生。
另外，当发送主机和目的主机不在同一个局域网中时，即便知道目的主机的MAC地址，两者也不能直接通信，必须经过路由转发才可以。所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧，都将发往该路由器，通过它向外发送。这种情况称为ARP代理(ARP Proxy) 。
二、arp攻击的原理
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。
三、什么是ARP欺骗
在局域网中，黑客经过收到ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。
四、arp的攻击方式：
1、ip地址冲突
Arp病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。大量的攻击数据包能令受害主机耗费大量的系统资源。
①单播型的IP地址冲突
数据链路层记录的目的物理地址为被攻击主机的物理地址，这样使得该arp数据包只能被受攻击主机所接收，而不被局域网内其他主机所接收，实现隐蔽式攻击。
②广播型的IP地址冲突
数据链路层记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接收到该arp数据包，虽然该arp数据包所记录的目的IP地址不是受攻击主机的IP地址，但是由于该arp数据包为广播数据包，这样受攻击主机也会收到。
2、arp泛洪攻击
攻击主机持续把伪造的mac-ip映射对发给受害的主机，对于局域网内的所有主机和网管进行广播，抢占网络带宽和干扰正常通信。
3、arp扫描攻击
Arp攻击者向局域网发送arp请求，从而获得正在运行主机的IP和MAC地址的映射对。攻击源通过对arp扫描获得所要攻击的IP和mac地址，从而为网络监听、盗取用户数据，实现隐蔽式攻击做准备。
4、虚拟主机攻击
黑客通过在网络内虚拟构建网卡，将自己虚拟成网络内的一台主机，拥有虚拟的物理地址和IP地址。使得占用局域网内的IP地址资源，使得正常运行的主机会发生IP地址冲突，并且大量的虚拟主机攻击会使得局域网内的主机无法正常获得IP地址。
5、ARP欺骗攻击
目的是向目标主机发送伪造的arp应答，并使目标主机接收应答中的IP与MAC间的映射，并以此更新目标主机缓存。从而影响链接畅通。其方式有：冒充主机欺骗网关，原理是截获网关数据和冒充网关欺骗主机，原理是伪造网关。
五、arp攻击防患措施
1、在客户端静态绑定IP地址和MAC地址
进入命令行arp –a命令查看，获取本机的网关IP地址和网关mac地址
编写一个批处理内容为：
@echo off
arp -d
arp –s 网关的IP地址自己的mac地址
保存放置到开机启动项里
2、设置arp服务器
指定局域网内部的一台机器作为arp服务器，专门保存且维护可信范围内的所有主机的IP地址与mac地址的映射记录。该服务器通过查阅自己的arp缓存的静态记录，并以被查询主机的名义相应局域网内部的arp请求，同时设置局域网内部其他主机只是用来自arp服务器的arp响应。
3、交换机端口设置
通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。
不过，VLAN和交换机端口绑定的问题在于：
①没有对网关的任何保护，不管如何细分VLAN，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。
②把每一台电脑都牢牢地固定在一个交换机端口上，这种管理太死板了。这根本不适合移动终端的使用，从办公室到会议室，这台电脑恐怕就无法上网了。在无线应用下，又怎么办呢?还是需要其他的办法。
③实施交换机端口绑定，必定要全部采用高级的网管交换机、三层交换机，整个交换网络的造价大大提高。
因为交换网络本身就是无条件支持ARP操作的，就是它本身的漏洞造成了ARP攻击的可能，它上面的管理手段不是针对ARP的。因此，在现有的交换网络上实施ARP防范措施，属于以子之矛攻子之盾。而且操作维护复杂，基本上是个费力不讨好的事情。
4、ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。
ARP个人防火墙也有很大缺陷：
①它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏网络知识的用户恐怕也无所适从。
②ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪” 。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。
因此，ARP个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的措施，它是个人的，不是网络的。
5、安装监听软件
可以安装sniffer软件，监听网络中的arp包，由于ARP欺骗往往使用广播形式传播，即使在交换机环境下也明显能监听到某PC端正在狂发arp包，可以定位到arp病毒源主机。
6、反欺骗
通过命令设置一个错误的网关地址，反欺骗arp病毒，然后再添加一条静态路由，设置正确的网关用于正常的网络访问。

怎么防arp攻击
方法一：
首先安装arptables:
sudo apt-get install arptables
然后定义规则：
sudo arptables -A INPUT --src-mac ! 网关物理地址 -j DROP
sudo arptables -A INPUT -s ! 网关IP -j DROP
sudo arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT
不过这样就有一点不好，局域网内的资源不能用！
sudo arptables -F
当然我们可以做个脚本，每次开机的时候自动运行！~sudo gedit /etc/init.d/arptables，内容如下：
#! /bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
arptables -A INPUT --src-mac ! 网关物理地址 -j DROP
arptables -A INPUT -s ! 网关IP -j DROP
arptables -A OUTPUT --destination-mac ff:ff:ff:ff:ff:ff -j ACCEPT
然后给arptables加个execution的属性，
sudo chmod 755 /etc/init.d/arptables
再把arptables设置自动运行，
sudo update-rc.d arptables start 99 S .
用sysv-rc-conf直接设置
方法二：
手工绑定arp
1、先使用arp和 arp -a查看一下当前ARP缓存列表
[root@ftpsvr ~]# arp
AddressHWtypeHWaddressFlags MaskIface
192.168.1.234ether00:04:61:AE:11:2BCeth0
192.168.1.145ether00:13:20:E9:11:04Ceth0
192.168.1.1ether00:02:B3:38:08:62Ceth0
说明：
Address：主机的IP地址
Hwtype：主机的硬件类型
Hwaddress：主机的硬件地址
Flags Mask：记录标志，”C”表示arp高速缓存中的条目，”M”表示静态的arp条目。
[root@ftpsvr ~]# arp -a
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0
2、新建一个静态的mac–>ip对应表文件：ip-mac，将要绑定的IP和MAC 地下写入此文件，格式为 ip mac 。
[root@ftpsvr ~]# echo ‘192.168.1.1 00:02:B3:38:08:62 ‘ > /etc/ip-mac
[root@ftpsvr ~]# more /etc/ip-mac
192.168.1.1 00:02:B3:38:08:62
3、设置开机自动绑定
[root@ftpsvr ~]# echo ‘arp -f /etc/ip-mac ‘ >> /etc/rc.d/rc.local
4、手动执行一下绑定
[root@ftpsvr ~]# arp -f /etc/ip-mac
5、确认绑定是否成功
[root@ftpsvr ~]# arp
AddressHWtypeHWaddressFlags MaskIface
192.168.0.205ether00:02:B3:A7:85:48Ceth0
192.168.1.234ether00:04:61:AE:11:2BCeth0
192.168.1.1ether00:02:B3:38:08:62CMeth0
[root@ftpsvr ~]# arp -a
? (192.168.0.205) at 00:02:B3:A7:85:48 [ether] on eth0
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:02:B3:38:08:62 [ether] PERM on eth0
从绑定前后的ARP缓存列表中，可以看到网关（192.168.1.1）的记录标志已经改变，说明绑定成功
ARP攻击，如何防御？
这个问题十分有趣，下面我来回答一下对该问题的看法。

ARP欺骗和攻击问题，是企业网络的心腹大患。关于这个问题的讨论已经很深入了，对ARP攻击的机理了解的很透彻，各种防范措施也层出不穷。

双绑措施
对偶绑定是指在路由器和终端上对ip - mac绑定的一种测量方法，可以用来绑定ARP、伪网关和拦截数据的两端。这是一种预防措施，从ARP欺骗的原则，是最常用的方法。它是有效的对抗最常见的ARP欺骗。
ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙功能，它是通过终端对网关的绑定，保证不受网络中假网关的影响，从而保护他们的数据不被窃取。ARP防火墙被广泛使用。很多人认为有防火墙。ARP攻击不是威胁。
VLAN和交换机端口绑定
它也常用来通过分隔VLAN和交换端口绑定来防止ARP 。方法是对VLAN进行仔细的分割，减少广播域的范围，使ARP在小范围内发挥作用，而不会产生广泛的影响。同时，部分网络交换机在完成学习后，有MAC地址学习功能，然后关闭功能，可以将相应的MAC绑定和端口设置为避免使用ARP病毒攻击篡改自己的地址。也就是说，从ARP攻击中截取数据的风险被解除了。这种方法确实起作用。
总结：由于交换网络本身是对ARP操作的无条件支持，导致ARP攻击的是其自身的弱点，而ARP攻击不是针对ARP的。因此，在现有的交流网络上实施ARP预防措施，属于儿童之矛。而维持复杂性的操作基本上是一项费力不讨好的任务。

【如何防止ARP攻击防arp攻击路由器】关于防arp攻击和防arp攻击路由器的内容就分享到这儿！更多实用知识经验，尽在 www.hubeilong.com

如何防止ARP攻击 防arp攻击路由器

如何防止ARP攻击防arp攻击路由器