如何应对局域网ARP攻击？

        两个月没能上网，可把我给愁坏了。今天房东说设备已经弄好了，能上网。

        把我给笑的啊……插线以后防火墙一直提示：

        行啊，你们刚开始就跟我玩阴的！这下可好，QQ也不能登录了，啥都干不了啦。其实这并不是什么高手所为，随便下载一个局域网控制软件就OK了。不管他怎么弄，反正我一定要上网。方法呢有很多。大家能够对应自己的实际情况来选择。

        1、捆绑MAC和IP地址。

        这是最简单的方法啦，能够杜绝IP地址盗用现象。如果是通过交换机连接，可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。我跟房东说了要他把我的IP、MAC绑到路由器，他说他不懂。我就无语了啊，随后跟了一句：你不懂我懂！呵呵，拿来路由器密码之后就填到arp映射表了。嘿嘿，暗暗高兴了！

        2、修改MAC地址，欺骗ARP欺骗技术。

        这招叫做将计就计。你攻击我，那我扔你一个稻草人让你去攻击吧。所以最稳妥的一个办法就是修改机器的MAC 地址，只要把MAC 地址改为别的，就可以欺骗过ARP欺骗，从而达到突破封锁的目的。呵呵，更改MAC地址的软件也有很多，比如说 Mac Makeup。以后我会做给大家看的。

        3、使用ARP服务器。

        使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台ARP 服务器不被攻击。这一招对我来说不怎么实用，因为要是想让房东去掏钱，简直比登天还难！

        4、交换机端口设置。

        (1)端口保护(类似于端口隔离)：ARP 欺骗技术需要交换机的两个端口直接通讯，端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯，需要通过转发才能相互通讯。

        (2)数据过滤：如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤，根据预设条件，对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL，每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤，扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤，异词检查伪装MAC 地址的帧。这一招也可以，只不过房东买的路由器是飞鱼星的，不咋样！

        5、禁止网络接口做ARP解析。

        在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击)，可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如： ARP �Cs XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如：Unix ， NT 等，都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统，其静态ARP 表项不会被动态刷新，所以不需要“禁止相应网络接口做ARP 解析”，即可对抗ARP 欺骗攻击。

        这是WindowsXP中arp -s命令例子。arp -a这条命令是用来检测哪台主机对自己发arp包，如果有的话，这条IP就是攻击者的主机。

        小段建议大家采用绑定网关地址的方法解决并且防止ARP欺骗。

        1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd，然后在其中输入ipconfig/all，然后继续输入arp - a 可以查看网关的MAC 地址。

        2) 编写一个批处理文件.bat( 文件名可以任意) 内容如下:

@echo off
arp - d
arp - s 192.168.1.118 00-15-AF-9F-54-30

        将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。

        3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。

        4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:\Documents and Settings\All Users\「开始」菜单\ 程序\ 启动) 。

        5) 最后重新启动一下电脑就可以。

        静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。

        在应对ARP 攻击的时候，除了利用上述的各种技术手段，还应该注意不要把网络安全信任关系建立在IP 基础上或MAC 基础上，最好设置静态的MAC->IP 对应表不要让主机刷新你设定好的转换表，除非很有必要，否则停止使用ARP，将ARP 做为永久条目保存在对应表中。

        哈哈，上网自由自在喽！