ARP定義

ARP（address Resolution Protocol， 地址解析協議）是一個位于TCP/IP協議棧中的底層協議， 負責將某個IP地址解析成對應的MAC地址。

ARP攻擊、ARP病毒的原理

ARP攻擊、ARP病毒的原理就是通過廣播機制向局域網的其他電腦廣播一個偽造的網關的IP地址和MAC地址對照表， 局域網其他電腦的受到這個偽造的信息之后就會更新自己的ARP表。 這樣， 當被控制的電腦向外發送報文時雖然會根據正確的網關的IP地址發包， 但是實際上卻發送到了一個錯誤的MAC地址上， 導致數據報文無法發送出去， 從而出現無法上網、掉線的情況。 同時， ARP攻擊還有更進一步的攻擊方式， 就是發送偽造整個局域網的IP地址對應的MAC地址， 這樣局域網所有的電腦的ARP表格存儲的網關、其他電腦的IP和MAC地址對應關系都發生變化， 這樣被攻擊的電腦不但不能訪問公網， 而且還不能訪問局域網， 就好似每個電腦都被隔離一樣。 上述這兩種ARP攻擊方式會給局域網帶來巨大的危害。 當前一些局域網攻擊軟件， 如局域網終結者、網絡執法官、網絡剪刀手都是采用這種攻擊方式。

因此， 有效地防止ARP病毒、防御ARP攻擊是當前網絡管理中一個非常重要的課題。

如何防止ARP攻擊、ARP病毒？

當前國內有一些形形色色的防止ARP攻擊的解決方案， 例如當前流行的ARP防火墻。 其實現原理就是讀取本機ARP緩存表里面的網關的IP和對應的MAC地址， 然后加以靜態綁定， 不再接受廣播收到的ARP信息， 但是這種防御機制有很大的弊端， 因為可能在ARP防火墻在讀取ARP緩存表之前， 本機已經被ARP攻擊了， 就是ARP緩存表里面存儲的網關的MAC地址本來就是錯誤的， 這樣使得ARP防火墻讀取到的網關的MAC地址就是錯誤的， 所以不但不能防御ARP攻擊， 還可能直接導致本機無法上網。 同時， ARP防火墻的機制， 也只能防御ARP攻擊中的“網關欺騙”。 但是隨著ARP攻擊水平的不斷提高， 他們可以轉而攻擊局域網的路由器、防火墻等網關設備， 這種攻擊也就是常見的“會話劫持”， 從而同樣會導致局域網的電腦出現斷網、掉線等情況。 這種情況下， ARP防火墻形同虛設， 沒有任何作用了。

針對當前ARP攻擊的復雜性， 大勢至(北京)軟件工程有限公司公司（官方網址：http://www.grablan.com/）推出了新一代的聚生網管系統， 通過在局域網內的ARP信息進行深度的檢測， 可以實時探測局域網內的ARP廣播情況， 一旦發現局域網內有ARP攻擊行為， 聚生網管系統會自動識別ARP欺騙的攻擊源主機， 并將相關信息輸出給網絡管理員；同時， 聚生網管系統還會自動啟用ARP欺騙免疫機制， 向局域網的電腦廣播正確的網關的IP和MAC地址， 并可以在特定情況下為被控制的電腦提供代理上網機制， 以保證局域網被控制電腦的上網一直保持暢通狀態， 將ARP攻擊、ARP欺騙、ARP病毒的危害降低到最小。