ARP欺騙又稱ARP病毒或ARP攻擊，是針對以太網地址解析協(xié)議（ARP）的一種攻擊。此種攻擊可讓攻擊者取得局域網上的數(shù)據(jù)數(shù)據(jù)包甚至可篡改數(shù)據(jù)包，且可讓網絡上特定電腦或所有電腦無法正常連接。如何防范局域網內ARP欺騙呢？

　　ARP欺騙的原理如下：

　　假設這樣一個網絡，一個Hub接了3臺機器

　　HostA HostB HostC 其中

　　A的地址為：IP：192.168.10.1 MAC： AA-AA-AA-AA-AA-AA

　　B的地址為：IP：192.168.10.2 MAC： BB-BB-BB-BB-BB-BB

　　C的地址為：IP：192.168.10.3 MAC： CC-CC-CC-CC-CC-CC

　　正常情況下 C:arp -a

　　Interface： 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 CC-CC-CC-CC-CC-CC dynamic

　　現(xiàn)在假設HostB開始了罪惡的ARP欺騙：

　　B向A發(fā)送一個自己偽造的ARP應答，而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實是從B發(fā)送過來的，A這里只有192.168.10.3（C的IP地址）和無效的DD-DD-DD-DD-DD-DD mac地址，沒有和犯罪分子B相關的證據(jù)，哈哈，這樣犯罪分子豈不樂死了。

　　現(xiàn)在A機器的ARP緩存更新了：

　　C：》arp -a

　　Interface： 192.168.10.1 on Interface 0x1000003

　　Internet Address Physical Address Type

　　192.168.10.3 DD-DD-DD-DD-DD-DD dynamic

　　這可不是小事。局域網的網絡流通可不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸�，F(xiàn)在192.168.10.3的MAC地址在A上被改變成一個本不存在的MAC地址�，F(xiàn)在A開始Ping 192.168.10.3，網卡遞交的MAC地址是DD-DD-DD-DD-DD-DD，結果是什么呢？網絡不通，A根本不能Ping通C��！

　　所以，局域網中一臺機器，反復向其他機器，特別是向網關，發(fā)送這樣無效假冒的ARP應答信息包，NND，嚴重的網絡堵塞就開始了！網吧管理員的噩夢開始了。我的目標和任務，就是第一時間，抓住他。不過從剛才的表述好像犯罪分子完美的利用了以太網的缺陷，掩蓋了自己的罪行。但其實，以上方法也有留下了蛛絲馬跡。盡管，ARP數(shù)據(jù)包沒有留下HostB的地址，但是，承載這個ARP包的ethernet幀卻包含了HostB的源地址。而且，正常情況下ethernet數(shù)據(jù)幀中，幀頭中的MAC源地址/目標地址應該和幀數(shù)據(jù)包中ARP信息配對，這樣的ARP包才算是正確的。如果不正確，肯定是假冒的包，可以提醒！但如果匹配的話，也不一定代表正確，說不定偽造者也考慮到了這一步，而偽造出符合格式要求，但內容假冒的ARP數(shù)據(jù)包。不過這樣也沒關系，只要網關這里擁有本網段所有MAC地址的網卡數(shù)據(jù)庫，如果和Mac數(shù)據(jù)庫中數(shù)據(jù)不匹配也是假冒的ARP數(shù)據(jù)包。也能提醒犯罪分子動手了。

　　二、防范措施

　　1. 建立DHCP服務器（建議建在網關上，因為DHCP不占用多少CPU，而且ARP欺騙攻擊一般總是先攻擊網關，我們就是要讓他先攻擊網關，因為網關這里有監(jiān)控程序的，網關地址建議選擇192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的話讓他去攻擊空地址吧），另外所有客戶機的IP地址及其相關主機信息，只能由網關這里取得，網關這里開通DHCP服務，但是要給每個網卡，綁定固定唯一IP地址。一定要保持網內的機器IP/MAC一一對應的關系。這樣客戶機雖然是DHCP取地址，但每次開機的IP地址都是一樣的。

　　2. 建立MAC數(shù)據(jù)庫，把網吧內所有網卡的MAC地址記錄下來，每個MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫，以便及時查詢備案。

　　3. 網關機器關閉ARP動態(tài)刷新的過程，使用靜態(tài)路郵，這樣的話，即使犯罪嫌疑人使用ARP欺騙攻擊網關的話，這樣對網關也是沒有用的，確保主機安全。

　　網關建立靜態(tài)IP/MAC捆綁的方法是：建立/etc/ethers文件，其中包含正確的IP/MAC對應關系，格式如下：

　　192.168.2.32 08:00:4E:B0:24:47

　　然后再/etc/rc.d/rc.local最后添加：

　　arp -f 生效即可

　　4. 網關監(jiān)聽網絡安全。網關上面使用TCPDUMP程序截取每個ARP程序包，弄一個腳本分析軟件分析這些ARP協(xié)議。ARP欺騙攻擊的包一般有以下兩個特點，滿足之一可視為攻擊包報警：第一以太網數(shù)據(jù)包頭的源地址、目標地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配�；蛘撸珹RP數(shù)據(jù)包的發(fā)送和目標地址不在自己網絡網卡MAC數(shù)據(jù)庫內，或者與自己網絡MAC數(shù)據(jù)庫 MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時間報警，查這些數(shù)據(jù)包（以太網數(shù)據(jù)包）的源地址（也有可能偽造），就大致知道那臺機器在發(fā)起攻擊了。