如何防護(hù)ARP攻擊

　　ARP類型的攻擊最早用于盜取密碼之用，網(wǎng)內(nèi)中毒電腦可以偽裝成路由器，盜取用戶的密碼， 后來(lái)發(fā)展成內(nèi)藏于軟件，擾亂其他局域網(wǎng)用戶正常的網(wǎng)絡(luò)通信。那么如何防護(hù)ARP攻擊，下面我們一起來(lái)看看！

　　ARP攻擊僅能在以太網(wǎng)(局域網(wǎng)如：機(jī)房、內(nèi)網(wǎng)、公司網(wǎng)絡(luò)等)進(jìn)行。無(wú)法對(duì)外網(wǎng)(互聯(lián)網(wǎng)、非本區(qū)域內(nèi)的局域網(wǎng))進(jìn)行攻擊，下面學(xué)習(xí)啦小編來(lái)告訴你一些關(guān)于抵抗ARP攻擊的知識(shí)吧。

　　第一、建立MAC數(shù)據(jù)庫(kù)，把網(wǎng)吧內(nèi)所有網(wǎng)卡的MAC地址記錄下來(lái)，每個(gè)MAC和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫(kù)，以便及時(shí)查詢備案。

　　第二、建立DHCP服務(wù)器(建議建在網(wǎng)關(guān)上，因?yàn)镈HCP不占用多少CPU，而且ARP欺騙攻擊一般總是先攻擊網(wǎng)關(guān)，我們就是要讓他先攻擊網(wǎng)關(guān)，因?yàn)榫W(wǎng)關(guān)這里有監(jiān)控程序的，網(wǎng)關(guān)地址建議選擇192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的話讓他去攻擊空地址吧)，另外所有客戶機(jī)的IP地址及其相關(guān)主機(jī)信息，只能由網(wǎng)關(guān)這里取得，網(wǎng)關(guān)這里開(kāi)通DHCP服務(wù)，但是要給每個(gè)網(wǎng)卡，綁定固定唯一IP地址。一定要保持網(wǎng)內(nèi)的機(jī)器IP/MAC一一對(duì)應(yīng)的關(guān)系。這樣客戶機(jī)雖然是DHCP取地址，但每次開(kāi)機(jī)的IP地址都是一樣的。

　　第三、網(wǎng)關(guān)監(jiān)聽(tīng)網(wǎng)絡(luò)安全。網(wǎng)關(guān)上面使用TCPDUMP程序截取每個(gè)ARP程序包，弄一個(gè)腳本分析軟件分析這些ARP協(xié)議。ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)，滿足之一可視為攻擊包報(bào)警：第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配。或者，ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫(kù) MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警，查這些數(shù)據(jù)包(以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能偽造)，就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了。

　　第四、網(wǎng)關(guān)機(jī)器關(guān)閉ARP動(dòng)態(tài)刷新的過(guò)程，使用靜態(tài)路由，這樣的話，即使犯罪嫌疑人使用ARP欺騙攻擊網(wǎng)關(guān)的話，這樣對(duì)網(wǎng)關(guān)也是沒(méi)有用的，確保主機(jī)安全。

　　網(wǎng)關(guān)建立靜態(tài)IP/MAC捆綁的方法是：建立/etc/ethers文件，其中包含正確的IP/MAC對(duì)應(yīng)關(guān)系，格式如下：

　　192.168.2.32 08:00:4E:B0:24:47

　　然后再/etc/rc.d/rc.local

　　最后添加：arp -f

　　生效即可

　　第五、偷偷摸摸的走到那臺(tái)機(jī)器，看看使用人是否故意，還是被任放了什么木馬程序陷害的。如果后者，不聲不響的找個(gè)借口支開(kāi)他，拔掉網(wǎng)線(不關(guān)機(jī)，特別要看看Win98里的計(jì)劃任務(wù))，看看機(jī)器的當(dāng)前使用記錄和運(yùn)行情況，確定是否是在攻擊。

　　第六、使用防護(hù)軟件。ARP防火墻采用系統(tǒng)內(nèi)核層攔截技術(shù)和主動(dòng)防御技術(shù)，包含六大功能模塊可解決大部分欺騙、ARP攻擊帶來(lái)的問(wèn)題，從而保證通訊安全(保障通訊數(shù)據(jù)不被網(wǎng)管軟件/惡意軟件監(jiān)聽(tīng)和控制)、保證網(wǎng)絡(luò)暢通。

　　第七、具有ARP防護(hù)功能的網(wǎng)絡(luò)設(shè)備。由于ARP形式的攻擊而引發(fā)的網(wǎng)絡(luò)問(wèn)題是目前網(wǎng)絡(luò)管理，特別是局域網(wǎng)管理中最讓人頭疼的攻擊，他的攻擊技術(shù)含量低，隨便一個(gè)人都可以通過(guò)攻擊軟件來(lái)完成ARP欺騙攻擊，同時(shí)防范ARP形式的攻擊也沒(méi)有什么特別有效的方法。