如何彻底解决ARP攻击？

方法步骤：

该局域网内有一台主机断网，经排查并无硬件影响，IP获取正常，但是时不时的掉线，PING外网时断时续，偶尔还提示IP地址冲突，判定为ARP攻击，然后查看改机的IP地址：使用快捷键win键+r输入cmd，点击确定。

2.在运行窗口中输入ipconfig /all，把查询到的IP地址和MAC地址记下，然后登陆路由器。

3.在路由器中依次点击DHCP服务器—客户端列表，根据刚刚记录的IP地址查看使用的客户端，如果该客户端与刚记录的MAC地址不同，那么说明攻击源为这台主机。

4.锁定攻击源之后首先对其进行隔离，可以物理隔离也可以路由器设置隔离，哪种方面使用哪种方法，一般局域网主机进行攻击都是由于中了病毒导致的，隔离之后对该主机进行彻查，如果实在无法扫描解决，那么就格式化后重装系统。

扩展资料

功能

地址解析协议由互联网工程任务组（IETF）在1982年11月发布的RFC 826中描述制定。 [1]  地址解析协议是IPv4中必不可少的协议，而IPv4是使用较为广泛的互联网协议版本（IPv6仍处在部署的初期）。

OSI模型把网络工作分为七层，IP地址在OSI模型的第三层，MAC地址在第二层，彼此不直接打交道。在通过以太网发送IP数据包时，需要先封装第三层（32位IP地址）、第二层（48位MAC地址）的报头，但由于发送时只知道目标IP地址，不知道其MAC地址，又不能跨第二、三层，所以需要使用地址解析协议。

使用地址解析协议，可根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址（MAC地址）信息，以保证通信的顺利进行。

参考资料百度百科：ARP

如今互联网的重要性越来越大，很多人也对一些知识很感兴趣，那么你知道arp攻击与防范吗?下面是我整理的一些关于arp攻击与防范的相关资料，供你参考。

arp攻击与防范：

一、要想防患arp攻击，那么我们要知道什么是arp?

ARP：地址解析协议，用于将32位的IP地址解析成48位的物理mac地址。

在以太网协议中，规定同一局域网中的主机相互通信，必须知道对方的物理地址(即mac地址)，而在tcp/ip协议中，网络层和传输层只关心目标主机的ip地址。这就导致在以太网中使用IP协议时，数据链路层的以太网协议接到上层的IP协议提供的数据中，只包含目的主机的IP地址。所以就需要一种协议，根据目的的IP地址，获得其mac地址。所以arp协议就应运而生。

另外，当发送主机和目的主机不在同一个局域网中时，即便知道目的主机的MAC地址，两者也不能直接通信，必须经过路由转发才可以。所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧，都将发往该路由器，通过它向外发送。这种情况称为ARP代理(ARP Proxy)。

二、arp攻击的原理

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内 其它 计算机的通信信息，并因此造成网内其它计算机的通信故障。

三、什么是ARP欺骗

在局域网中，黑客 经过收到ARP Request广播包，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。

四、arp的攻击方式：

1、ip地址冲突

Arp病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。大量的攻击数据包能令受害主机耗费大量的系统资源。

①单播型的IP地址冲突

数据链路层记录的目的物理地址为被攻击主机的物理地址，这样使得该arp数据包只能被受攻击主机所接收，而不被局域网内其他主机所接收，实现隐蔽式攻击。

②广播型的IP地址冲突

数据链路层记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接收到该arp数据包，虽然该arp数据包所记录的目的IP地址不是受攻击主机的IP地址，但是由于该arp数据包为广播数据包，这样受攻击主机也会收到。

2、arp泛洪攻击

攻击主机持续把伪造的mac-ip映射对发给受害的主机，对于局域网内的所有主机和网管进行广播，抢占网络带宽和干扰正常通信。

3、arp扫描攻击

Arp攻击者向局域网发送arp请求，从而获得正在运行主机的IP和MAC地址的映射对。攻击源通过对arp扫描获得所要攻击的IP和mac地址，从而为网络监听、盗取用户数据，实现隐蔽式攻击做准备。

4、虚拟主机攻击

黑客通过在网络内虚拟构建网卡，将自己虚拟成网络内的一台主机，拥有虚拟的物理地址和IP地址。使得占用局域网内的IP地址资源，使得正常运行的主机会发生IP地址冲突，并且大量的虚拟主机攻击会使得局域网内的主机无法正常获得IP地址。

5、ARP欺骗攻击

目的是向目标主机发送伪造的arp应答，并使目标主机接收应答中的IP与MAC间的映射，并以此更新目标主机缓存。从而影响链接畅通。其方式有：冒充主机欺骗网关，原理是截获网关数据和冒充网关欺骗主机，原理是伪造网关。

五、arp攻击防患 措施

1、在客户端静态绑定IP地址和MAC地址

进入命令行arp –a命令查看，获取本机的网关IP地址和网关mac地址

编写一个批处理内容为：

@echo off

arp -d

arp –s 网关的IP地址 自己的mac地址

保存放置到开机启动项里

2、设置arp服务器

指定局域网内部的一台机器作为arp服务器，专门保存且维护可信范围内的所有主机的IP地址与mac地址的映射记录。该服务器通过查阅自己的arp缓存的静态记录，并以被查询主机的名义相应局域网内部的arp请求，同时设置局域网内部其他主机只是用来自arp服务器的arp响应。

3、交换机端口设置

通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范 方法 。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。

不过，VLAN和交换机端口绑定的问题在于：

①没有对网关的任何保护，不管如何细分VLAN，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。

②把每一台电脑都牢牢地固定在一个交换机端口上，这种管理太死板了。这根本不适合移动终端的使用，从办公室到会议室，这台电脑恐怕就无法上网了。在无线应用下，又怎么办呢?还是需要其他的办法。

③实施交换机端口绑定，必定要全部采用高级的网管交换机、三层交换机，整个交换网络的造价大大提高。

因为交换网络本身就是无条件支持ARP操作的，就是它本身的漏洞 造成了ARP攻击的可能，它上面的管理手段不是针对ARP的。因此，在现有的交换网络上实施ARP防范措施，属于以子之矛攻子之盾。而且操作维护复杂，基本上是个费力不讨好的事情。

4、ARP个人防火墙

在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。

ARP个人防火墙也有很大缺陷：

①它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏 网络知识 的用户恐怕也无所适从。

②ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪”。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。

因此，ARP个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的措施，它是个人的，不是网络的。

5、安装监听软件

可以安装sniffer软件，监听网络中的arp包，由于ARP欺骗往往使用广播形式传播，即使在交换机环境下也明显能监听到某PC端正在狂发arp包，可以定位到arp病毒源主机。

6、反欺骗

通过命令设置一个错误的网关地址，反欺骗arp病毒，然后再添加一条静态路由，设置正确的网关用于正常的网络访问。

ARP 欺骗/攻击反复袭击，是近来网络行业普遍了解的现象，随着 ARP 攻击的不断升级，不同的解决方案在市场上流传。 这里我解释了 ARP 攻击防制的基本思想。我们认为读者如果能了解这个基本思想，就能自行判断何种防制方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。

不坚定的 ARP 协议

一般计算机中的原始的 ARP 协议，很像一个思想不坚定，容易被 其它 人影响的人， ARP 欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。 ARP 攻击的原理，互联网上很容易找到，这里不再覆述。原始的 ARP 协议运作，会附在局域网接收的广播包或是 ARP 询问包，无条件覆盖本机缓存中的 ARP /MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。

就像一个没有计划的快递员，想要送信给“张三”，只在马路上问“张三住那儿？”，并投递给最近和他说“我就是！”或“张三住那间！”，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行；但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。

我们再回来看 ARP 攻击和这个意志不坚定快递员的关系。常见 ARP 攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。

针对 ARP 攻击的防制 方法

1、利用 ARP echo传送正确的 ARP 讯息：通过频繁地提醒正确的 ARP 对照表，来达到防制的效果。

2、利用绑定方式，固定 ARP 对照表不受外来影响：通过固定正确的 ARP 对照表，来达到防制的效果。

3、舍弃 ARP 协议，采用其它寻址协议：不采用 ARP 作为传送的机制，而另行使用其它协议例如PPPoE方式传送。

以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。下面针对前两种方法加以说明。

PK 赛之“ ARP echo”

ARP echo是最早开发出来的 ARP 攻击解决方案，但随着 ARP 攻击的发展，渐渐失去它的效果。现在，这个方法不但面对攻击没有防制效果，还会降低局域网运作的效能，但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说， ARP echo的作法，等于是时时用电话提醒快递员正确的发送对象及地址，减低他被邻近的各种信息干扰的情况。

但是这种作法，明显有几个问题：第一，即使时时提醒，但由于快递员意志不坚定，仍会有部份的信件因为要发出时刚好收到错误的信息，以错误的方式送出去；这种情况如果是错误的信息频率特高，例如有一个人时时在快递员身边连续提供信息，即使打电话提醒也立刻被覆盖，效果就不好；第二，由于必须时时提醒，而且为了保证提醒的效果好，还要加大提醒的间隔时间，以防止被覆盖，就好比快递员一直忙于接听总部打来的电话，根本就没有时间可以发送信件，耽误了正事；第三，还要专门指派一位人时时打电话给快递员提醒，等于要多派一个人手负责，而且持续地提醒，这个人的工作也很繁重。

以 ARP echo方式对应 ARP 攻击，也会发生相似的情况。第一，面对高频率的新式 ARP 攻击， ARP echo发挥不了效果，掉线断网的情况仍旧会发生。 ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果，但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二， ARP echo手段必须在局域网上持续发出广播网络包，占用局域网带宽，使得局域网工作的能力降低，整个局域网的计算机及交换机时时都在处理 ARP echo广播包，还没受到攻击局域网就开始卡了。第三，必须在局域网有一台负责负责发 ARP echo广播包的设备，不管是路由器、服务器或是计算机，由于发包是以一秒数以百计的方式来发送，对该设备都是很大的负担。

常见的 ARP echo处理手法有两种，一种是由路由器持续发送，另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，被覆盖掉的机会很大，因此面对新型的 ARP 攻击防制效果小。因此，有些解决方法，就是拿 ARP 攻击的软件来用，只是持续发出正确的网关、服务器对照表，安装在服务器或是计算机上，由于服务器或是计算机运算能力较强，可以同一时间内发出更多广播包，效果较大，但是这种作法一则大幅影响局域网工作，因为整个局域网都被广播包占据，另则攻击软件通常会设定更高频率的广播包，误导局域网计算机，效果仍然有限。

此外， ARP echo一般是发送网关及私服的对照信息，对于防止局域网计算机被骗有效果，对于路由器没有效果，仍需作绑定的动作才可。

PK赛之“ ARP 绑定”

ARP echo的作法是不断提醒计算机正确的 ARP 对照表， ARP 绑定则是针对 ARP 协议“思想不坚定“的基本问题来加以解决。Qno侠诺技术服务人员认为， ARP 绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及地址记下来，再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表，因此完全不会受到有心人士的干扰，能有效地完成工作。在这种情况下，无论如何都可以防止因受到攻击而掉线的情况发生。

但是 ARP 绑定并不是万灵药，还需要作的好才有完全的效果。第一，即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；第二，必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。

双向绑定的解决方法，最为网管不喜欢的就是必须一台一台加以绑定，增加工作量。但是从以上的说明可知道，只有双向绑定才能有效果地解决 ARP 攻击的问题，而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫，可以较全面性地解决现在及未来 ARP 攻击的问题，网管为了一时的省事，而采取片面的 ARP echo解决方式，未来还是要回来解决这个问题。

另外，对于有自动通过局域网安装软件的网络，例如网吧的收费系统、无盘系统，都可以透过自动的批次档，自动在开机时完成绑定的工作，网管只要撰写一个统一的批次文件程序即可，不必一一配置。这些信息可以很容易地在互联网上通过搜索找到或者是向Qno侠诺的技术服务人员索取即可。

现阶段较佳解决方案——双向绑定

以上以思想不坚定的快递员情况，说明了常见的 ARP 攻击防制方法。 ARP 攻击利用的就是 ARP 协议的意志不坚，只有以培训的方式让 ARP 协议的意志坚定，明白正确的工作方法，才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法，但是没有能从快递员意志不坚的特点着手，就好像只管不教，最终大家都很累，但是效果仍有限。

Qno侠诺的技术服务人员建议，面对这种新兴攻击，取巧用省事的方式准备，最后的结果可能是费事又不管用，必须重新来过。 ARP 双向绑定虽然对网管带来一定的工作量，但是其效果确是从根本上有效，而且网管也可参考自动批次档的作法，加快配置自动化的进行，更有效地对抗 ARP 攻击。

>>>下一页更多精彩“路

---