此文章主要介紹的是ARP欺騙攻擊原理與對(duì)其防治的實(shí)際操作方法，在實(shí)際操作中你是否遇到到以下的事情，即“網(wǎng)管，怎么又掉線了？！”每每聽(tīng)到客戶的責(zé)問(wèn)，網(wǎng)管員頭都大了。其實(shí)，此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。

ARP欺騙攻擊已經(jīng)成了破壞網(wǎng)吧經(jīng)營(yíng)的罪魁禍?zhǔn)祝蔷W(wǎng)吧老板和網(wǎng)管員的心腹大患。

從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。

第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

一般來(lái)說(shuō)，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積掉線。有些網(wǎng)管員對(duì)此不甚了解，出現(xiàn)故障時(shí)，認(rèn)為PC沒(méi)有問(wèn)題，交換機(jī)沒(méi)掉線的“本事”，電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時(shí)，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問(wèn)題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

作為網(wǎng)吧路由器的廠家，對(duì)防范ARP欺騙不得已做了不少份內(nèi)、份外的工作。一、在寬帶路由器中把所有PC的IP-MAC輸入到一個(gè)靜態(tài)表中，這叫路由器IP-MAC綁定。二、力勸網(wǎng)管員在內(nèi)網(wǎng)所有PC上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，這叫PC機(jī)IP-MAC綁定。一般廠家要求兩個(gè)工作都要做，稱其為IP-MAC雙向綁定。

方法是有效的，但工作很繁瑣，管理很麻煩。每臺(tái)PC綁定本來(lái)就費(fèi)力，在路由器中添加、維護(hù)、管理那么長(zhǎng)長(zhǎng)的一串列表，更是苦不堪言。一旦將來(lái)擴(kuò)容調(diào)整，或更換網(wǎng)卡，又很容易由于疏忽造成混亂。如果您有所擔(dān)心，那么不妨選用欣向網(wǎng)吧路由IXP機(jī)種，它可以使您寬心一些。因?yàn)樾老蚵酚善鞲静恍枰狪P-MAC綁定，沒(méi)有那長(zhǎng)長(zhǎng)的一串地址表。對(duì)付ARP，您只要做PC的單向綁定就可以了。該路由能夠有效拒絕ARP對(duì)網(wǎng)關(guān)的欺騙，它是先天免疫的！

欣向路由的ARP先天免疫取決于它的二個(gè)有力的技術(shù)措施。一是獨(dú)特的NAT處理機(jī)制，二是網(wǎng)關(guān)的主動(dòng)防范機(jī)制。

產(chǎn)品對(duì)NAT的處理不同于通用協(xié)議棧的方式，它在原有的網(wǎng)絡(luò)協(xié)議基礎(chǔ)上，進(jìn)行了強(qiáng)化、保護(hù)和擴(kuò)容。雖然NAT是標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，但實(shí)現(xiàn)方法可以各顯其能，保證殊途同歸就行。ARP欺騙只對(duì)公開(kāi)的、通用的系統(tǒng)起作用，它利用了通用系統(tǒng)工作方式上的漏洞，而對(duì)NAT實(shí)現(xiàn)機(jī)制卻無(wú)能為力，因?yàn)镹AT設(shè)計(jì)了強(qiáng)有力的保護(hù)字段。這就是欣向路由能夠?qū)RP先天免疫的原理。

另外，為對(duì)抗假冒網(wǎng)關(guān)的ARP欺騙，產(chǎn)品設(shè)計(jì)了網(wǎng)關(guān)的ARP廣播機(jī)制，它以一個(gè)可選定的頻次，向內(nèi)網(wǎng)宣布正確的網(wǎng)關(guān)地址，維護(hù)網(wǎng)關(guān)的正當(dāng)權(quán)益。在暫時(shí)無(wú)法及時(shí)清除ARP病毒，網(wǎng)管員還沒(méi)有做PC上的IP-MAC綁定時(shí)，它能在一定程度上維持網(wǎng)絡(luò)的運(yùn)行，避免災(zāi)難性后果，贏取系統(tǒng)修復(fù)的時(shí)間。這就是ARP主動(dòng)防范機(jī)制。

不過(guò)，如果不在PC上綁定IP-MAC，雖然有主動(dòng)防范機(jī)制，但網(wǎng)絡(luò)依然在帶病運(yùn)行。因?yàn)檫@種ARP是內(nèi)網(wǎng)的事情，是不通過(guò)路由器的。讓路由器插手只能做到對(duì)抗，不能根絕。ARP太猖獗時(shí)，就會(huì)發(fā)生時(shí)斷時(shí)續(xù)的故障，那是主動(dòng)防范機(jī)制在與ARP欺騙進(jìn)行拉鋸式的斗爭(zhēng)。

為此，產(chǎn)品還專門(mén)提供了一個(gè)ARP欺騙偵測(cè)、定位、防范的工具軟件，免費(fèi)發(fā)放給所有的網(wǎng)吧，幫助網(wǎng)管員們發(fā)現(xiàn)ARP欺騙的存在，為清除ARP欺騙源提供工作輔佐，并加入了欣向主動(dòng)防范機(jī)制，有效對(duì)付ARP欺騙。

盡管如此，仍然提醒廣大的網(wǎng)吧網(wǎng)管員，為了一勞永逸，還是費(fèi)點(diǎn)力為每臺(tái)PC做IP-MAC綁定吧，這樣可以徹底根除ARP欺騙帶來(lái)的煩惱。況且，路由只需要單向綁定，已經(jīng)為您省去了另一半更繁瑣的工作，并且設(shè)置時(shí)不需要重啟路由器斷網(wǎng)。路由器本身不怕ARP，您再做好PC上的綁定，讓PC也不怕ARP，雙管齊下，您的網(wǎng)吧就可以高枕無(wú)憂了。

以上的相關(guān)內(nèi)容就是對(duì)ARP欺騙攻擊原理與防治的的介紹，望你能有所收獲。

【編輯推薦】

1. 七種簡(jiǎn)易方法助你抵御ARP欺騙攻擊
2. 華為交換機(jī)防止同網(wǎng)段ARP欺騙攻擊配置案例
3. ARP欺騙攻擊原理也可以這樣理解
4. 局域網(wǎng)受到ARP欺騙攻擊的解決辦法
5. 局域網(wǎng)中受ARP欺騙攻擊后的解決方法