ARP定義

    　ARP（Address Resolution Protocol，地址解析協議）是一(yī)個位于TCP/IP協議棧中(zhōng)的底層協議，對應于數據鏈路層，負責将某個IP地址解析成對應的MAC地址。

　　ARP協議的基本功能就是通過目标設備的IP地址，查詢目标設備的MAC地址，以保證通信的進行。

　　ARP（AddressResolutionProtocol）是地址解析協議，是一(yī)種将IP地址轉化成物(wù)理地址的協議。從IP地址到物(wù)理地址的映射有兩種方式：表格方式和非表格方式。ARP具體(tǐ)說來就是将網絡層（IP層，也就是相當于OSI的第三層）地址解析爲數據連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。

ARP攻擊原理

　　ARP攻擊就是通過僞造IP地址和MAC地址實現ARP欺騙，能夠在網絡中(zhōng)産生(shēng)大(dà)量的ARP通信量使網絡阻塞，攻擊者隻要持續不斷的發出僞造的ARP響應包就能更改目标主機ARP緩存中(zhōng)的IP-MAC條目，造成網絡中(zhōng)斷或中(zhōng)間人攻擊。

　　ARP攻擊主要是存在于局域網網絡中(zhōng)，局域網中(zhōng)若有一(yī)台計算機感染ARP木馬，則感染該ARP木馬的系統将會試圖通過“ARP欺騙”手段截獲所在網絡内其它計算機的通信信息，并因此造成網内其它計算機的通信故障。

　　某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址後，就會進行數據傳輸。如果未找到，則A廣播一(yī)個ARP請求報文（攜帶主機A的IP地址Ia——物(wù)理地址Pa），請求IP地址爲Ib的主機B回答物(wù)理地址Pb。網上所有主機包括B都收到ARP請求，但隻有主機B識别自己的IP地址，于是向A主機發回一(yī)個ARP響應報文。其中(zhōng)就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP緩存。接着使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動态的。

ARP攻擊的演化

　　初期：

　　這種有目的的發布錯誤ARP廣播包的行爲，被稱爲ARP欺騙。ARP欺騙，最初爲黑客所用，成爲黑客竊取網絡數據的主要手段。黑客通過發布錯誤的ARP廣播包，阻斷正常通信，并将自己所用的電腦僞裝成别人的電腦，這樣原本發往其他電腦的數據，就發到了黑客的電腦上，達到竊取數據的目的。

　　中(zhōng)期：ARP惡意攻擊

　　後來，有人利用這一(yī)原理，制作了一(yī)些所謂的“管理軟件”，例如網絡剪刀手、執法官、終結者等，這樣就導緻了ARP惡意攻擊的泛濫。往往使用這種軟件的人，以惡意破壞爲目的，多是爲了讓别人斷線，逞一(yī)時之快。

　　特别是在網吧中(zhōng)，或者因爲商(shāng)業競争的目的、或者因爲個人無聊洩憤，造成惡意ARP攻擊泛濫。

　　随着網吧經營者摸索出禁用這些特定軟件的方法，這股風潮也就漸漸平息下(xià)去(qù)了。

　　現在：綜合的ARP攻擊

　　最近這一(yī)波ARP攻擊潮，其目的、方式多樣化，沖擊力度、影響力也比前兩個階段大(dà)很多。

　　首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網絡以廣域網爲主，最有效的攻擊方式是DDOS攻擊。但是随着防範能力的提高，病毒制造者将目光投向局域網，開(kāi)始嘗試ARP攻擊，例如最近流行的威金病毒，ARP攻擊是其使用的攻擊手段之一(yī)。

　　相對病毒而言，盜号程序對網吧運營的困惑更大(dà)。盜号程序是爲了竊取用戶帳号密碼數據而進行ARP欺騙，同時又(yòu)會影響的其他電腦上網。

遭受ARP攻擊後現象

　　ARP欺騙木馬的中(zhōng)毒現象表現爲：使用局域網時會突然掉線，過一(yī)段時間後又(yòu)會恢複正常。比如客戶端狀态頻(pín)頻(pín)變紅，用戶頻(pín)繁斷網，IE浏覽器頻(pín)繁出錯，以及一(yī)些常用軟件出現故障等。如果局域網中(zhōng)是通過身份認證上網的，會突然出現可認證，但不能上網的現象（無法ping通網關），重啓機器或在MS-DOS窗口下(xià)運行命令arp -d後，又(yòu)可恢複上網。

　　ARP欺騙木馬隻需成功感染一(yī)台電腦，就可能導緻整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導緻同一(yī)局域網内的其他用戶上網出現時斷時續的現象外(wài)，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬号去(qù)做金錢交易，盜竊網上銀行賬号來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大(dà)的不便和巨大(dà)的經濟損失。

　　基于ARP協議的這一(yī)工(gōng)作特性，黑客向對方計算機不斷發送有欺詐性質的ARP數據包，數據包内包含有與當前設備重複的Mac地址，使對方在回應報文時，由于簡單的地址重複錯誤而導緻不能進行正常的網絡通信。一(yī)般情況下(xià)，受到ARP攻擊的計算機會出現兩種現象：

　　1.不斷彈出“本機的0-255段硬件地址與網絡中(zhōng)的0-255段地址沖突”的對話(huà)框。

　　2.計算機不能正常上網，出現網絡中(zhōng)斷的症狀。

　　因爲這種攻擊是利用ARP請求報文進行“欺騙”的，所以防火(huǒ)牆會誤以爲是正常的請求數據包，不予攔截。因此普通的防火(huǒ)牆很難抵擋這種攻擊。

　　對ARP攻擊的防護

　　防止ARP攻擊是比較困難的,修改協議也是不大(dà)可能。但是有一(yī)些工(gōng)作是可以提高本地網絡的安全性。

　　首先，你要知(zhī)道，如果一(yī)個錯誤的記錄被插入ARP或者IP route表，可以用兩種方式來删除。

　　a. 使用arp –d host_entry

　　b. 自動過期，由系統删除

　　這樣，可以采用以下(xià)的一(yī)些方法：

　　1）. 減少過期時間

　　#ndd –set /dev/arp arp_cleanup_interval 60000

　　#ndd -set /dev/ip ip_ire_flush_interval 60000

　　60000=60000毫秒 默認是300000

　　加快過期時間，并不能避免攻擊，但是使得攻擊更加困難，帶來的影響是在網絡中(zhōng)會大(dà)量的出現ARP請求和回複，請不要在繁忙的網絡上使用。

　　2）. 建立靜态ARP表

　　這是一(yī)種很有效的方法，而且對系統影響不大(dà)。缺點是破壞了動态ARP協議。可以建立如下(xià)的文件。

　　test.nsfocus.com 08:00:20:ba:a1:f2

　　user. nsfocus.com 08:00:20:ee:de:1f

　　使用arp –f filename加載進去(qù)，這樣的ARP映射将不會過期和被新的ARP數據刷新，除非使用arp –d才能删除。但是一(yī)旦合法主機的網卡硬件地址改變，就必須手工(gōng)刷新這個arp文件。這個方法，不适合于經常變動的網絡環境。

　　3）．禁止ARP

　　可以通過ipconfig interface –arp 完全禁止ARP，這樣，網卡不會發送ARP和接受ARP包。但是使用前提是使用靜态的ARP表，如果不在ARP表中(zhōng)的計算機 ，将不能通信。這個方法不适用與大(dà)多數網絡環境，因爲這增加了網絡管理的成本。但是對小(xiǎo)規模的安全網絡來說，還是有效可行的。

　　但目前的ARP病毒層出不窮,已經不能單純的依靠傳統的方法去(qù)防範,比如簡單的綁定本機ARP表,我(wǒ)們還需要更深入的了解ARP攻擊原理,才能夠通過症狀分(fēn)析并解決ARP欺騙的問題。

　　解決ARP最根本的辦法

　　ARP欺騙和攻擊問題，是企業網絡的心腹大(dà)患。關于這個問題的讨論已經很深入了，對ARP攻擊的機理了解的很透徹，各種防範措施也層出不窮。

　　但問題是，現在真正擺脫ARP問題困擾了嗎(ma)？從用戶那裏了解到，雖然嘗試過各種方法，但這個問題并沒有根本解決。原因就在于，目前很多種ARP防範措施，一(yī)是解決措施的防範能力有限，并不是最根本的辦法。二是對網絡管理約束很大(dà)，不方便不實用，不具備可操作性。三是某些措施對網絡傳輸的效能有損失，網速變慢(màn)，帶寬浪費(fèi)，也不可取。

　　本文通過具體(tǐ)分(fēn)析一(yī)下(xià)普遍流行的四種防範ARP措施，去(qù)了解爲什麽ARP問題始終不能根治。并進一(yī)步分(fēn)析在免疫網絡的模式下(xià)，對ARP是如何徹底根除的，爲什麽隻有免疫網絡能夠做到。

　　上篇：四種常見防範ARP措施的分(fēn)析

　　一(yī)、雙綁措施

　　雙綁是在路由器和終端上都進行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，僞造網關和截獲數據，都具有約束的作用。這是從ARP欺騙原理上進行的防範措施，也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。

　　但雙綁的缺陷在于3點：

　　1、 在終端上進行的靜态綁定，很容易被升級的ARP攻擊所搗毀，病毒的一(yī)個ARP –d命令，就可以使靜态綁定完全失效。

　　2、 在路由器上做IP-MAC表的綁定工(gōng)作，費(fèi)時費(fèi)力，是一(yī)項繁瑣的維護工(gōng)作。換個網卡或更換IP，都需要重新配置路由。對于流動性電腦，這個需要随時進行的綁定工(gōng)作，是網絡維護的巨大(dà)負擔，網管員(yuán)幾乎無法完成。

　　3、 雙綁隻是讓網絡的兩端電腦和路由不接收相關ARP信息，但是大(dà)量的ARP攻擊數據還是能發出，還要在内網傳輸，大(dà)幅降低内網傳輸效率，依然會出現問題。

　　因此，雖然雙綁曾經是ARP防範的基礎措施，但因爲防範能力有限，管理太麻煩，現在它的效果越來越有限了。

　　二、ARP個人防火(huǒ)牆

　　在一(yī)些殺毒軟件中(zhōng)加入了ARP個人防火(huǒ)牆的功能，它是通過在終端電腦上對網關進行綁定，保證不受網絡中(zhōng)假網關的影響，從而保護自身數據不被竊取的措施。ARP防火(huǒ)牆使用範圍很廣，有很多人以爲有了防火(huǒ)牆，ARP攻擊就不構成威脅了，其實完全不是那麽回事。

　　ARP個人防火(huǒ)牆也有很大(dà)缺陷：

　　1、它不能保證綁定的網關一(yī)定是正确的。如果一(yī)個網絡中(zhōng)已經發生(shēng)了ARP欺騙，有人在僞造網關，那麽，ARP個人防火(huǒ)牆上來就會綁定這個錯誤的網關，這是具有極大(dà)風險的。即使配置中(zhōng)不默認而發出提示，缺乏網絡知(zhī)識的用戶恐怕也無所适從。

　　2 、ARP是網絡中(zhōng)的問題，ARP既能僞造網關，也能截獲數據，是個“雙頭怪”。在個人終端上做ARP防範，而不管網關那端如何，這本身就不是一(yī)個完整的辦法。ARP個人防火(huǒ)牆起到的作用，就是防止自己的數據不會被盜取，而整個網絡的問題，如掉線、卡滞等，ARP個人防火(huǒ)牆是無能爲力的。

　　因此，ARP個人防火(huǒ)牆并沒有提供可靠的保證。最重要的是，它是跟網絡穩定無關的措施，它是個人的，不是網絡的。

　　三、VLAN和交換機端口綁定

　　通過劃分(fēn)VLAN和交換機端口綁定，以圖防範ARP，也是常用的防範方法。做法是細緻地劃分(fēn)VLAN，減小(xiǎo)廣播域的範圍，使ARP在小(xiǎo)範圍内起作用，而不至于發生(shēng)大(dà)面積影響。同時，一(yī)些網管交換機具有MAC地址學習的功能，學習完成後，再關閉這個功能，就可以把對應的MAC和端口進行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中(zhōng)被截獲數據的風險解除了。這種方法确實能起到一(yī)定的作用。

　　不過，VLAN和交換機端口綁定的問題在于：

　　1、沒有對網關的任何保護，不管如何細分(fēn)VLAN，網關一(yī)旦被攻擊，照樣會造成全網上網的掉線和癱瘓。

　　2、把每一(yī)台電腦都牢牢地固定在一(yī)個交換機端口上，這種管理太死闆了。這根本不适合移動終端的使用，從辦公室到會議室，這台電腦恐怕就無法上網了。在無線應用下(xià)，又(yòu)怎麽辦呢？還是需要其他的辦法。

　　3、實施交換機端口綁定，必定要全部采用高級的網管交換機、三層交換機，整個交換網絡的造價大(dà)大(dà)提高。

　　因爲交換網絡本身就是無條件支持ARP操作的，就是它本身的漏洞造成了ARP攻擊的可能，它上面的管理手段不是針對ARP的。因此，在現有的交換網絡上實施ARP防範措施，屬于以子之矛攻子之盾。而且操作維護複雜(zá)，基本上是個費(fèi)力不讨好的事情。

　　四、PPPoE

　　網絡下(xià)面給每一(yī)個用戶分(fēn)配一(yī)個帳号、密碼，上網時必須通過PPPoE認證，這種方法也是防範ARP措施的一(yī)種。PPPoE撥号方式對封包進行了二次封裝，使其具備了不受ARP欺騙影響的使用效果，很多人認爲找到了解決ARP問題的終極方案。

　　問題主要集中(zhōng)在效率和實用性上面：

　　1、PPPoE需要對封包進行二次封裝，在接入設備上再解封裝，必然降低了網絡傳輸效率，造成了帶寬資(zī)源的浪費(fèi)，要知(zhī)道在路由等設備上添加PPPoE Server的處理效能和電信接入商(shāng)的PPPoE Server可不是一(yī)個數量級的。

　　2、PPPoE方式下(xià)局域網間無法互訪，在很多網絡都有局域網内部的域控服務器、DNS服務器、郵件服務器、OA系統、資(zī)料共享、打印共享等等，需要局域網間相互通信的需求，而PPPoE方式使這一(yī)切都無法使用，是無法被接受的。

　　3、不使用PPPoE，在進行内網訪問時，ARP的問題依然存在，什麽都沒有解決，網絡的穩定性還是不行。

　　因此，PPPoE在技術上屬于避開(kāi)底層協議連接，眼不見心不煩，通過犧牲網絡效率換取網絡穩定。最不能接受的，就是網絡隻能上網用，内部其他的共享就不能在PPPoE下(xià)進行了。

　　通過對以上四種普遍的ARP防範方法的分(fēn)析，我(wǒ)們可以看出，現有ARP防範措施都存在問題。這也就是ARP即使研究很久很透，但依然在實踐中(zhōng)無法徹底解決的原因所在了。

　　下(xià)篇：免疫網絡是解決ARP最根本的辦法

　　道高一(yī)尺魔高一(yī)丈，網絡問題必定需要網絡的方法去(qù)解決。目前，欣全向推廣的免疫網絡就是徹底解決ARP問題的最實際的方法。

　　從技術原理上，徹底解決ARP欺騙和攻擊，要有三個技術要點。

　　1、終端對網關的綁定要堅實可靠，這個綁定能夠抵制被病毒搗毀。

　　2、接入路由器或網關要對下(xià)面終端IP-MAC的識别始終保證唯一(yī)準确。

　　3、網絡内要有一(yī)個最可依賴的機構，提供對網關IP-MAC最強大(dà)的保護。它既能夠分(fēn)發正确的網關信息，又(yòu)能夠對出現的假網關信息立即封殺。

　　免疫網絡在這三個問題上，都有專門的技術解決手段，而且這些技術都是廠家欣全向的技術專利。下(xià)面我(wǒ)們會詳細說明。現在，我(wǒ)們要先做一(yī)個免疫網絡結構和實施的簡單介紹。

　　免疫網絡就是在現有的路由器、交換機、網卡、網線構成的普通交換網絡基礎上，加入一(yī)套安全和管理的解決方案。這樣一(yī)來，在普通的網絡通信中(zhōng)，就融合進了安全和管理的機制，保證了在網絡通信過程中(zhōng)具有了安全管控的能力，堵上了普通網絡對安全從不設防的先天漏洞。

　　實施一(yī)個免疫網絡不是一(yī)個很複雜(zá)的事，代價并不大(dà)。它要做的僅僅是用免疫牆路由器或免疫網關，替換掉現有的寬帶接入設備。在免疫牆路由器下(xià)，需要自備一(yī)台服務器24小(xiǎo)時運行免疫運營中(zhōng)心。免疫網關不需要，已自帶服務器。這就是方案的所需要的硬件調整措施。硬件的價位，從1000多元到10萬元，針對各種不同的企業需求，大(dà)、中(zhōng)、小(xiǎo)、微型企業都能各取所需，選擇的範圍非常廣泛。

　　軟性的網絡調整是IP規劃、分(fēn)組策略、終端自動安裝上網驅動等配置和安裝工(gōng)作，以保證整個的安全管理功能有效地運行。其實這部分(fēn)工(gōng)作和網管員(yuán)對網絡日常的管理沒有太大(dà)區别。

　　疫網絡具有強大(dà)的網絡基礎安全和管理功能，對ARP的防範僅是其十分(fēn)之一(yī)不到的能力。但本文談的是ARP問題，所以我(wǒ)們需要回過頭來，具體(tǐ)地解釋免疫網絡對ARP欺騙和攻擊防範的機理。至于免疫網絡更多的強大(dà)，可以後續研究。

　　前述治理ARP問題的三個技術要點，終端綁定、網關、機構三個環節，免疫網絡分(fēn)别采用了專門的技術手段。

　　1、 終端綁定采用了看守式綁定技術。免疫網絡需要每一(yī)台終端自動安裝驅動，不安裝或卸載就不能上網。在驅動中(zhōng)的看守式綁定，就是把正确的網關信息存貯在非公開(kāi)的位置加以保護，任何對網關信息的更改，由于看守程序的嚴密監控，都是不能成功的，這就完成了對終端綁定牢固可靠的要求。

　　2、 免疫牆路由器或免疫網關的ARP先天免疫技術。在NAT轉發過程中(zhōng)，由于加入了特殊的機制，免疫牆路由器根本不理會任何對終端IP-MAC的ARP申告，也就是說，誰都無法欺騙網關。與其他路由器不同，免疫牆路由器沒有使用IP-MAC的列表進行工(gōng)作，當然也不需要繁瑣的路由器IP-MAC表綁定和維護操作。先天免疫，就是不用管也具有這個能力。

　　3、 保證網關IP-MAC始終正确的機構，在免疫網絡中(zhōng)是一(yī)套安全機制。首先，它能夠做到把從路由器中(zhōng)取到的真實網關信息，分(fēn)發到每一(yī)個網内終端，而安裝有驅動的終端，隻接受這樣的信息，其他信息不能接受，保證了網關的唯一(yī)正确性。其次，在每一(yī)台終端，免疫驅動都會攔截病毒發出的錯誤網關傳播，不使其流竄到網絡内，把ARP欺騙和攻擊從根源上切斷。

　　從以上三個措施來看，免疫網絡确實真正解決了困擾已久的ARP問題，技術上是嚴謹的，應用上是可行的，成本也是相對低廉。所以，與常見的四種ARP防範辦法比較，免疫網絡是解決ARP最根本的辦法。