這些天我的服務(wù)器幾乎天天都被人ARP欺騙攻擊， 網(wǎng)頁被掛木馬， 實在煩死了， 深圳的龍崗電信機房實在是夠惡心的， 不得已， 我只好尋找一些防范ARP攻擊的方法， 目前發(fā)現(xiàn)可以使用靜態(tài)地址法和使用專用軟件的方法來防范ARP欺騙攻擊。

　　靜態(tài)地址法指的是， 在本地服務(wù)器上， 將路由器的MAC地址設(shè)置為靜態(tài)的方式來阻止別人對我的ARP攻擊， 如果你也越到了類似的ARP欺騙攻擊， 也可以參考這個方法進行設(shè)置。

　　首先， 找到路由器真實的MAC地址， 在沒有被攻擊的條件下， 輸入命令arp -a 網(wǎng)關(guān)的IP地址， 就可以找到， 其中Physical Address里就是網(wǎng)關(guān)MAC地址， 顯示類似00-07-e9-0a-77-93， 其類型Type通常為動態(tài)dynamic。 我們的目的是要將其設(shè)置為靜態(tài)static。

　　接著， 使用arp -d命令刪除目前的arp列表， 再使用arp -s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址， 將其設(shè)置為靜態(tài)static。

　　這時候， 系統(tǒng)的ARP就會變成靜態(tài)了， 但是如果服務(wù)器重新啟動， 這些設(shè)置就消失了， 因此， 編輯一個BAT文件， 內(nèi)容為以上的arp -s的內(nèi)容， 將其加到“啟動”菜單中， 然后修改Windows注冊表使得Windows可以自動登錄， 這樣每次啟動都會自動設(shè)置靜態(tài)的ARP了。

　　如果感覺操作起來麻煩， 或者使用上面的方法依舊無法阻止ARP攻擊， 那么可以使用第二種方法， 使用專門的ARP防火墻軟件來阻止別人的ARP攻擊。 目前主要的ARP防火墻產(chǎn)品有免費的奇虎360antiarp， 其他大多都是收費的ARP防火墻， 根據(jù)我的使用感受， 有一個叫antiarp的商用軟件功能還是比較豐富的， 軟件價格是每臺服務(wù)器199元。 在服務(wù)器上安裝這個軟件之后， 除了可以自動預(yù)防ARP攻擊之外， 還可以使用這個ARP防火墻軟件查找出ARP攻擊者的IP地址。 知道了攻擊者的IP地址后， 大家就可以將其截圖后發(fā)給IDC機房， 要求機房關(guān)閉那臺ARP服務(wù)器， 通常情況下機房會關(guān)閉病毒服務(wù)器， 如果機房不關(guān)閉服務(wù)器， 那就去公安局報案， 指控電信機房散布病毒。

　　對于那些托管服務(wù)器卻不做好安全設(shè)定的人， 我勸他們先學(xué)好計算機知識后再托管服務(wù)器， 否則以后肯定會吃大虧。 對于那些主動在服務(wù)器上使用arp病毒工具的人， 我鄙視他們， 祝他們好自為之。

　　附錄：ARP相關(guān)背景知識(來自欣向ARP工具)

　　ARP欺騙原理：

　　在局域網(wǎng)中， 通信前必須通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)。 ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義， 但是當初ARP方式的設(shè)計沒有考慮到過多的安全問題， 給ARP留下很多的隱患， ARP欺騙就是其中一個例子。 而ARP欺騙攻擊就是利用該協(xié)議漏洞， 通過偽造MAC地址實現(xiàn)ARP欺騙的攻擊技術(shù)。

　　在同一局域網(wǎng)內(nèi)的電腦都是通過MAC地址進行通訊的。 方法為， PC和另一臺設(shè)備通訊， PC會先尋找對方的IP地址， 然后在通過ARP表(ARP表里面有所以可以通訊IP和IP所對應(yīng)的MAC地址)調(diào)出相應(yīng)的MAC地址。 通過MAC地址與對方通訊。 也就是說在內(nèi)網(wǎng)中各設(shè)備互相尋找和用來通訊的地址是MAC地址， 而不是IP地址。

　　網(wǎng)內(nèi)的任何一臺機器都可以輕松的發(fā)送ARP廣播， 來宣稱自己的IP和自己的MAC.這樣收到的機器都會在自己的ARP表格中建立一個他的ARP項， 記錄他的IP和MAC地址。 如果這個廣播是錯誤的其他機器也會接受。 有了這個方法欺騙者只需要做一個軟件， 就可以在局域網(wǎng)內(nèi)進行ARP欺騙攻擊了。

　　ARP的發(fā)現(xiàn)：

　　ARP的通病就是掉線， 在掉線的基礎(chǔ)上可以通過以下幾種方式判別， 1.一般情況下不需要處理1分鐘之內(nèi)就可以回復(fù)正常上網(wǎng)。 因為ARP欺騙是由時限， 過了期限就會自動的回復(fù)正常。 而且現(xiàn)在大多數(shù)路由器都會在很短時間內(nèi)不停廣播自己的正確ARP， 使受騙的機器回復(fù)正常。 但是如果出現(xiàn)攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP， 1秒有個幾百上千的)， 他是不斷的通過非常大量ARP欺騙來阻止內(nèi)網(wǎng)機器上網(wǎng)， 即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。 2.打開被騙機器的DOS界面， 輸入ARP -A命令會看到相關(guān)的ARP表， 通過看到的網(wǎng)關(guān)的MAC地址可以去判別是否出現(xiàn)ARP欺騙， 但是由于時限性， 這個工作必須在機器回復(fù)正常之前完成。 如果出現(xiàn)欺騙問題， ARP表里面會出現(xiàn)錯誤的網(wǎng)關(guān)MAC地址， 和真實的網(wǎng)關(guān)MAC一對黑白立分。