APR攻击

ARP 定义

　　 ARP （ Address Resolution Protocol ，地址解析协议）是一个位于 TCP/IP 协议栈中的底层协议，负责将某个 IP 地址解析成对应的 MAC 地址。

　　 ARP 协议的基本功能就是通过目标设备的 IP 地址，查询目标设备的 MAC 地址，以保证通信的进行。

　　 ARP 攻击原理

　　 ARP 攻击就是通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗，能够在网络中产生大量的 ARP 通信量使网络阻塞，攻击者只要持续不断的发出伪造的 ARP 响应包就能更改目标主机 ARP 缓存中的 IP-MAC 条目，造成网络中断或中间人攻击。

　　 ARP 攻击主要是存在于局域网网络中，局域网中若有一台计算机感染 ARP 木马，则感染该 ARP 木马的系统将会试图通过 “ARP 欺骗 ” 手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

　　遭受 ARP 攻击后现象

　　 ARP 欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网， IE 浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法 ping 通网关），重启机器或在 MS-DOS 窗口下运行命令 arp -d 后，又可恢复上网。

　　 ARP 欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取 QQ 密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

　　基于 ARP 协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的 ARP 数据包，数据包内包含有与当前设备重复的 Mac 地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到 ARP 攻击的计算机会出现两种现象：

　　 1. 不断弹出 “ 本机的 0-255 段硬件地址与网络中的 0-255 段地址冲突 ” 的对话框。

　　 2. 计算机不能正常上网，出现网络中断的症状。

　　因为这种攻击是利用 ARP 请求报文进行 “ 欺骗 ” 的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

　　对 ARP 攻击的防护

　　防止 ARP 攻击是比较困难的 , 修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。

　　首先，你要知道，如果一个错误的记录被插入 ARP 或者 IP route 表，可以用两种方式来删除。

　　 a. 使用 arp �Cd host_entry

　　 b. 自动过期，由系统删除

　　这样，可以采用以下的一些方法：

　　 1 ） . 减少过期时间

　　 #ndd �Cset /dev/arp arp_cleanup_interval 60000

　　 #ndd -set /dev/ip ip_ire_flush_interval 60000

　　 60000=60000 毫秒 默认是 300000

　　加快过期时间，并不能避免攻击，但是使得攻击更加困难，带来的影响是在网络中会大量的出现 ARP 请求和回复，请不要在繁忙的网络上使用。

　　 2 ） . 建立静态 ARP 表

　　这是一种很有效的方法，而且对系统影响不大。缺点是破坏了动态 ARP 协议。可以建立如下的文件。

　　 test.nsfocus.com 08:00:20:ba:a1:f2

　　 user. nsfocus.com 08:00:20:ee:de: 1f

　　使用 arp �Cf filename 加载进去，这样的 ARP 映射将不会过期和被新的 ARP 数据刷新，除非使用 arp �Cd 才能删除。但是一旦合法主机的网卡硬件地址改变，就必须手工刷新这个 arp 文件。这个方法，不适合于经常变动的网络环境。

　　 3 ）．禁止 ARP

　　可以通过 ipconfig interface �Carp 完全禁止 ARP ，这样，网卡不会发送 ARP 和接受 ARP 包。但是使用前提是使用静态的 ARP 表，如果不在 ARP 表中的计算机 ，将不能通信。这个方法不适用与大多数网络环境，因为这增加了网络管理的成本。但是对小规模的安全网络来说，还是有效可行的。

　　但目前的 ARP 病毒层出不穷 , 已经不能单纯的依靠传统的方法去防范 , 比如简单的绑定本机 ARP 表 , 我们还需要更深入的了解 ARP 攻击原理 , 才能够通过症状分析并解决 ARP 欺骗的问题 , 这里引用一篇关于分析最新 ARP 病毒 : 黑金的文章 . 通过文章 , 大家可以更好的了解先进 ARP 欺骗的发展趋势 :http://www.allhack.cn/viewthread.php?tid=72&extra=page%3D1