关于一般局域网如何应对ARP攻击

   想必作为企业内网的管理者们，最头痛的就是遇到ARP攻击了吧。很多新手往往对此头痛不已，但又无能为力。毕竟这并不是什么病毒，要是病毒的话，好歹一般用杀毒软件也能干掉。不过我们也不用灰心，办法总还是有的。

   谈到ARP攻击，我们首先要弄清楚所谓ARP是什么，以及它的工作原理。ARP协议全名是Address Resolution Protocol，也就是地址解析协议。这是一种以太网等数据链路层的基础协议，它是专门负责IP地址与硬件物理地址（就是我们常说的mac地址）之间相互映射的。所谓ARP的工作是这样的：首先， 当主机或者网络设备需要解析一个IP 地址对应的MAC 地址时，会广播发送ARP 请求报文。其次，主机或者网络设备接收到ARP 请求后，会进行应答。同时，根据请求发送者的IP 地址和MAC 地址的对应关系建立ARP 表项。最后，发起请求的主机或者网络设备接收到应答后，同样会将应答报文中发送者的IP 地址和MAC 地址的映射关系记录下来，生成ARP 表项。而ARP工具则是通过将自身伪装成网关来想网络中不停发送广播进行欺骗。

    在OSI七层中的数据链路层中，实际被传输的是数据帧。数据帧在传输当中包含了很多内容，其中就涉及到前面提到的发送方的IP地址与mac地址，这组信息是我们在应对ARP攻击时首先要注意的。既然在这里是谈如何应对ARP攻击，那么就只谈这些，而不会去长篇大论的去讲OSI七层的划分或是数据帧的具体组成，索性直接去说用什么方法最快搞定烦人的ARP攻击。好了，既然我们知道发送方的IP地址与mac地址是一组关键数据，那么我们怎么来获取呢？那就用我们经常可以听到的所谓抓包工具，例如：Wireshark、,WinNetCap等，这些都是抓包经常用到的利器。通过这些工具，我们就可以看到总会有那么一个地址在不停的向着网络中的所有其它地址，在不停的发送广播，来告诉大家“我就是某某某”（其实通俗一些的说，就是在告诉所有人，我就是给你们分配IP地址的网关）。这个时候，我们就可以通过抓包工具，来看到那个发ARP广播的家伙自己的IP地址和mac地址。这时你就可以判断出，那个家伙究竟是不是伪装成网关四处骗人的家伙了（至少你自己提供DHCP服务网关的Lan口mac地址你总是知道的吧，别说你不知道哦。而且那家伙无论怎么伪装IP地址，可mac地址是轻易无法伪装的）。当你知道了那个骗子的mac地址后，就可以下手去收拾那家伙了。如果你之前就做好了IP地址的静态分配，并且进行了逐一备注，那么恭喜你，你马上就能冲过去痛下杀手了。不过，如果你之前犯懒什么都没做的话............呵呵，你个悲剧娃，你就自己慢慢逐一排查去吧。当然啦，也有一个治标不治本的方法，那就是直接给那个地址断网。别说你不会哦，OMG，好吧，如果你手头的设备没有那个功能，亦或是你根本就不会弄，那么至少你可以下载个网络剪刀手一类的工具吧，用那个去给丫断网。想必就算那家伙不来主动找你问为毛不能上网了，至少也能让你的网络中暂时不再有人捣乱了。

    唉...........我又犯懒了，写这么点就有些懒得继续写太多了。上面也只谈到了最常见的攻击方式，不过像是泛洪什么的就没说，甚至也将两种攻击方式合并成一种来举例，不过应对方法都是一样的啦。 其实吧，总之面对ARP攻击这类烦人的东西，最好还是先以预防为主，尽量都做静态分配IP，并且全部实名备案，然后进行ARP绑定。当然啦，如果你在设置DHCP分配IP地址，和你做ARP绑定时出现了设置不一致的低级错误时，也会在类似360ARP防火墙一类的工具中被不停提示出现遭到ARP攻击。至于什么双向绑定，我的个人建议还是放弃吧。毕竟在PC终端上手动绑定一次（主要是指windows系统），重启后就会失效。可要是在启动项里添加个绑定的批处理吧，却经常容易被某些手欠的使用者自己删除掉，或是被蛋疼的各别优化软件给“优化”掉。所以啦，踏踏实实做好自己能做的，剩下就是一旦抓到那个病毒源头，好好收拾那厮。而如果要是遇到有人还手动修改网卡的mac地址导致网络故障，那么就下狠手揍得连他妈都认不出来他。然后嘛............这个世界就会变得清净了O(∩_∩)O





                                                                                        （真）老猫于2013年度最后一个周末蛋疼随笔