软硬结合对抗ARP欺骗

网络上利用ARP欺骗传播病毒、盗取网银信息的木马程序越来越多，盗取金额竟上亿元，防范ARP欺骗已成燃眉之急。

从去年下半年开始，国内许多校园网、企业网、网吧都出现了网络时通时断的现象。安装有防病毒软件的计算机打开任何网站都会报网页中存在病毒，查看网页源代码就会发现有类似<script>http://xxxxx.xxx/xx.js</script>的含病毒脚本代码。粗看以为网站网页被黑，但实际并不是这样，用网管软件监测会发现，局域网的许多IP地址竟对应着同一MAC地址——这在正常情况下是绝不可能的，网络中肯定有ARP攻击。

在局域网中，同一子网中的两台计算机通信的建立实际上是通过MAC地址来完成的，所以两台计算机通信前必须将IP地址转换MAC地址，这个过程是由ARP协议完成的。ARP欺骗有两种攻击：一种是对路由器（网关）的欺骗，另一种是对内网计算机的欺骗。当然也可能两种攻击同时进行。不管怎么样，欺骗广播发送后，计算机和路由器之间发送的数据包就可能被送到错误的MAC地址上。从表面上来看，就是上不了网或打开的网站都有病毒。上网的计算机若没有及时更新系统补丁，就很容易感染病毒，网络用户的安全信息也很容易被盗。由此可看出ARP欺骗对局域网计算机安全影响巨大，已成为目前影响网络正常运行的主要因素。

由于ARP欺骗是利用了网络连接建立原理设计上的缺陷，所以从根本上解决的方案估计没有，但要恢复局域网中计算机的正常上网，阻断欺骗机对网络的影响还是有办法的。根据ARP欺骗的原理，要防止ARP欺骗必须阻止计算机和路由器的ARP缓存表被非法篡改。目前较为有效的方法是MAC地址双向绑定。即路由器上绑定客户机IP-MAC地址对照信息，客户机上绑定路由器IP-MAC地址对照信息。对于客户机上的MAC地址绑定相对较容易，使用下面的批处理并加入计算机的启动项中就可完成。

ARP－d
ARP－s 网关IP网关MAC

然而这种方法只能在计算机启动时实施一次MAC地址绑定，效果可能有限。互联网上也有专门用于防范ARP欺骗的软件，如Ani ARP Sniffer、360ARP防火墙等，这类软件的防范原理是自动检测实时防篡改的MAC地址绑定。

对于路由器上的MAC地址绑定相对较繁琐，需要事先知道客户机的IP及MAC地址信息，不同品牌的路由器绑定的操作方法也不相同。这种方法比较适用规模较小、变化不大的计算机网络。路由器MAC地址绑定后，当客户机网卡变动后就要更新对应的路由器绑定数据，否则就不能上网，所以维护也较繁琐。同样若用WIN2000/2003的路由功能，则可以用下面的批处理实现MAC地址绑定。

ARP－d
ARP－s 计算机AIP地址　计算机A网关MAC地址
ARP－s  计算机BIP地址　计算机B网关MAC地址
……

鉴于ARP欺骗的流行，不少网络设备厂商推出号称具有防范ARP欺骗的安全网关、路由器产品，其防范原理是定期向内部网络广播正确的网关IP-MAC地址对照信息。这种产品应该说具有一定的防护作用，但在欺骗攻击较多时，也会失去它的作用，且这类网络设备和MAC地址欺骗木马一起不断向网络发送广播数据包，占用了很大的网络带宽，会大大降低网络的连接速度，故不推荐采用。

笔者认为，ARP欺骗是由感染ARP欺骗病毒计算机发起的，运用上边介绍的方法只能从表面上解决客户机的故障，问题的关键并没有解决。要及时找到中毒计算机，,将其从网络隔离，清除ARP欺骗病毒并做好防病毒工作，这才是维护网络正常运作的关键。