针对ARP病毒攻击防治的进阶经验总结(上)

　　基本ARP介绍

　　ARP “Address Resolution Protocol”(地址解析协议)，局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　ARP协议的工作原理：在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如表所示。

　　我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么?”网络上其它主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。

　　基本ARP病毒防制法

　　通过对 ARP工作原理得知，如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话，网络就肯定会出现大面积的掉线问题，这样的情况就是典型的 ARP攻击，对遭受ARP攻击的判断，其方法很容易，你找到出现问题的电脑点开始运行进入系统的DOS操作。ping路由器的LAN IP丢包情况。输入ping 192.168.1.1(网关IP地址)，如下图：

　　内网ping路由器的LAN IP丢几个包，然后又连上，这很有可能是中了ARP攻击。为了进一步确认，我们可以通过查找ARP表来判断。输入ARP -a命令，显示如下图：

　　可以看出192.168.1.1地址和192.168.252地址的IP的 MAC地址都是00-0f-3d-83-74-28,很显然，这就是 ARP欺骗造成的。

　　在理解了ARP之后，ARP欺骗攻击以及如何判断此类攻击，我们简单介绍一下如何找到行之有效的防制办法来防止这类攻击对网络造成的危害。