什么是ARP？如何防范ARP欺骗

 

什么是ARP?
    ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

什么是ARP欺骗?
    从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
    第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

 

ARP攻击是什么原理 有什么影响？（以上没看懂，就往这开始看）
您的网络是否经常断线，是否经常发生IP冲突？

您是否担心通讯数据受到监控（如MSN、QQ、EMAIL）？

您的服务器是否经常遭受ARP欺骗，被黑客植入木马？

您是否深受各种ARP攻击软件之苦（如网络执法官、网络剪刀手、局域网终结者）？

以上各种问题的根源都是ARP欺骗（ARP攻击）。在没有ARP欺骗之前，数据流向是这样的：网关<->本机。ARP欺骗之后，数据流向是这样的：网关<->攻击者（“网管”）<->本机，本机与网关之间的所有通讯数据都将流经攻击者（“网管”），所以“任人宰割”就在所难免了。
处理办法

通用的处理流程

1.先保证网络正常运行

方法一：编辑一个***.bat文件内容如下：

 

arp.exe s **.**.**.**（网关ip） **** ** ** ** **（ 网关MAC地址） end

让网络用户点击就可以了!

 

办法二：编辑一个注册表问题，键值如下：

 

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "MAC"="arp s 网关IP地址网关MAC地址"

然后保存成Reg文件以后在每个客户端上点击导入注册表。

2.找到感染ARP病毒的机器

a、在电脑上ping一下网关的IP地址，然后使用ARP －a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。

b、使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。

c、使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。