局域网arp攻击局域网中ARP攻击如何彻底解决

什么是局域网arp攻击

360ARP防火墙，可以缓解一下攻击，最好的办法是访问路由器，在其中设置IP地址和Mac地址绑定，这样ARP攻击就无效了。

局域网arp攻击是什么?

局域网内部的ARP攻击是指什么? 　　ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。

　　基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

一般情况下，受到ARP攻击的计算机会出现两种现象: 　　1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

　　2.计算机不能正常上网，出现网络中断的症状。

　　因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。

因此普通的防火墙很难抵挡这种攻击。

局域网ARP攻击怎么办

ARP病毒也叫ARP地址欺骗类病毒，这是一类特殊的病毒。

该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

　　ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。

以下六个步骤，即可有效防范ARP病毒： 　　1、做好IP－MAC地址的绑定工作（即将IP地址与硬件识别地址绑定），在交换机和客户端都要绑定，这是可以使局域网免疫ARP病毒侵扰的好办法。

　　2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁，这样可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。

　　MS06-014 中文版系统补丁下载地址： 　　/china//security/bulletin/MS06-014.mspx 　　MS07-017 中文版系统补丁下载地址： 　　/china//security/bulletin/MS07-017.mspx 　　3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。

禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。

　　4、在网络正常时候保存好全网的IP－MAC地址对照表，这样在查找ARP中毒电脑时很方便。

　　5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。

　　6、安装杀毒软件，及时升级病毒库，定期全网杀毒。

局域网中ARP攻击如何彻底解决

【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

【快速查找】在WebUIà系统状态à系统信息à系统历史记录中，看到大量如下的信息: MAC SPOOF 192.168.16.200 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。

同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。

如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址)。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址: /upload/nbtscan.rar)工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。

输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例: 假设查找一台MAC地址为“000d870d585f”的病毒主机。

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

2)在Windows开始à运行à打开，输入cmd(windows98输入mand”)，在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入)，回车。

　 3)通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决办法】 采用双向绑定的方法解决并且防止ARP欺骗。

1、在PC上绑定安全网关的IP和MAC地址： 1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。

2）编写一个批处理文件rarp.bat内容如下： @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windowsà开始à程序à启动”中。

3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。

Windows2000的默认启动目录为“C:Documents and SettingsAll Users「开始」菜单程序启动”。

2、在安全网关上绑定用户主机的IP和MAC地址： 在WebUIà高级配置à用户管理中将局域网每台主机均作绑定。