什么是 ARP 病毒 ARP 协议本身并不是病毒,只是很多木马程序、病毒都采用了该协议,这些木马病毒也经常出现在游戏 的外挂中 在一般的网络中,路由器和 PC 均带有 ARP 缓存,因此这两类设备最容易受到 ARP 攻击如同路由器受 到 ARP 攻击时数据包不能到达 PC 一样,上网 PC 受到 ARP 攻击时,数据包也不会发送到路由器上,而 是发送到一个错误的地方,当然也就无法通过路由器上网了 ARP 欺骗攻击的症状 计算机网络连接正常,有时候 PC 无法访问外网,重新启动路由器又好了,过一会又不行了; 用户私密信息(如 、网游等帐号)被窃取; 局域网内的 ARP 广播包巨增,使用 ARP 查询时发现不正常的 MAC 地址,或者是错误的 MAC 地址,还 有一个 MAC 地址对应多个 IP 的情况; 局域网内出现网络拥塞,甚至一些网络设备当机 ARP 欺骗攻击的原理 ARP 欺骗攻击的包一般有以下两个特点: 第一, 以太网数据包头的源地址、目标地址和 ARP 数据包的协议地址不匹配; 第二, ARP 数据包的发送和目标地址不在自己网络网卡 MAC 数据库内,或者与自己网络 MAC 数据库 MAC/IP 不匹配。
简单的来打个比方来说,APR 欺骗攻击类似于: ARP 欺骗攻击网关,路人甲到邮局冒充自己是路人乙,在邮局将路人乙的包裹领走了,而路人乙去邮局 领包裹的时候,邮局没有办法给出包裹; ARP 欺骗攻击 PC ,路人甲主动告诉路人乙自己是邮局工作人员,让路人乙把需要邮寄的包裹交给了路人 甲,回头路人甲把包裹占为己有,并不会为路人乙邮寄包裹 ARP 欺骗攻击的解决办法 针对 ARP 欺骗攻击的防御,飞鱼星科技于 2005 年率先提出针对 ARP 欺骗攻击的主动防御理念,目前国 内同类产品也以类似方式防御,即:******路由器 ARP 信息主动广播密度,从而减少 PC 遭受 ARP 欺骗 攻击的可能 现在市面上某些产品或软件加强了 ARP 主动广播的密度,意图通过高密度广播达到减缓或抑制内网 PC 遭受 ARP 欺骗的目的,但实际运用效果来看,加强广播密度的做法:一方面,高密度的内网广播,给网 络带来了繁重的负担,甚至产生广播风暴,导致整个网络的瘫痪;另一方面,如果内网中毒过重,那单纯 依靠某台设备的高密度广播也是有限的,随着内网中毒 PC 数量的增加,ARP 欺骗攻击广播势必会压过 路由器或软件主动广播的密度,从而断网问题仍然悬而未决,用户怨声载道。
因此,为减少网络广播压力,有效抑制网络广播风暴,飞鱼星工程师推荐用户采用双向 IP/MAC 地址绑定 的方式来解决和防止 ARP 欺骗攻击所导致网络的时断时续 1、在 PC 上绑定路由器的 IP 和 MAC 地址: 方法一、安装智能网关 IP/MAC 地址绑定软件 推荐使用:“ 网关智能绑定精灵 正式版 2.0” ,通过该软件的下载和安装,PC 重启后自动绑定网关 IP/MAC 地址,软件还提供两个附加 IP/MAC 地址的手动绑定策略(支持绑定服务器等附加绑定),针对 本地 ARP 信息变更,提供报警提示服务 下载地址: 提供) 方法二、手动绑定网关 IP/MAC (1)首先,获得路由器的内网的 MAC 地址(例如,飞鱼星高性能宽带路由器局域网口的 IP 地址为: 192.168.160.1,MAC 地址为:00-3c-01-50-3f-66) (2)用记事本编写一个批处理文件 Varp.bat 内容如下: @echo offarp -d arp -s 192.168.160.1 00-3c-01-50-3f-66 (将文件中的网关 IP 地址和 MAC 地址更改为您自己的网关局域网口的 IP 地址和 MAC 地址即可。
将“Varp.bat”批处理软件拖动(移动)到“ 开始”“ 程序”“启动”中 2、在路由器上绑定内网所有 PC 的 IP 和 MAC 地址: 以飞鱼星 Volans-4920GP 高性能宽带路由器为例,在设备配置页面“网络安全”的“IP-MAC 绑定” 中的“扫 描 MAC”,扫描到的未绑定主机通过“>>>” 功能键添加扫描地址至绑定列表中如图一所示) (图一) 双向地址绑定结合飞鱼星高性能宽带路由器完善的攻击防御体系,让您的网络更安全,更稳定如图二 所示)。