ARP防攻击命令手册
ARP防攻击命令手册
目录
1简介 (3)
1.1概述 (3)
1.2ARP洪攻击和欺骗 (3)
1.2.1ARP洪攻击简述 (3)
1.2.2ARP防洪攻击简述 (3)
1.2.3ARP欺骗简述 (3)
1.2.4ARP防欺骗 (4)
2配置ARP (5)
3典型配置 (10)
1简介
1.1概述
ARP(Address Resolution Protocol),即地址解析协议,基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。
1.2ARP洪攻击和欺骗
1.2.1ARP洪攻击简述
由于ARP协议的缺陷,通常的网络设备对ARP的请求都会做检测处理,来决定丢弃或响应,这样就给攻击者一个漏洞,只要在网内制造大量的ARP请求包来请求网关地址,网关接受到ARP请求后会做出响应,由于请求量非常大,极大的耗费了网关的CPU,导致网关工作故障,且网内物理线路上被大量的ARP垃圾报文占用,导致网络拥塞,甚至瘫痪,这是典型的ARP洪攻击。
1.2.2ARP防洪攻击简述
目前对ARP防攻击的技术主要是针对攻击源做限制,网关设备设置ARP防攻击阈值,当某一时间段内网关设备接收到的ARP报文超过阈值时,即记录下该源MAC地址,对该MAC 进行限制,阻断一定的时间(通常为60秒),阻断时间内不对该源所发的ARP包进行任何处理(不响应,不转发),直接丢弃,以保证网络通畅。
1.2.3ARP欺骗简述
与ARP洪攻击有所区别,ARP欺骗是通过伪造IP-MAC映射来对网关或网内主机造成攻击的,但ARP欺骗同样可以造成网络瘫痪。
造成ARP欺骗攻击的原因,同样是由于ARP本身协议的缺陷,协议规定本地的ARP列表必须定时更新,当收到ARP响应包时,如果有此项列表信息则进行刷新,如果无此项列表信息,则进行记录。攻击者利用这个特点,构造大量的错误的ARP响应包,以网关为例,网关的IP-MAC是网内主机所必须的,不然无法正常通信,攻击者向往内广播大量的ARP响应包,携带错误的网关IP-MAC映射,使得网内主机接收到后更新本地ARP表,由于更新的列表信息中网关信息是错误的,所以导致网络瘫痪。
1.2.4ARP防欺骗
1.关闭ARP学习,使用ip-mac绑定功能
一般网络设备都是默认启用ARP学习,关闭后设备将不会自动刷新ARP表,每一条信息都需要手动添加,只要是不匹配IP-MAC绑定表的报文都将被丢弃。
本设备对每个与ip-mac绑定功能冲突而丢弃的包,会产生系统日志。
由于MAC地址和IP地址的绑定关系由操作员静态手工配置。适用于信息点不多、规模不大的静态地址环境下。
2.发送免费报文
发送免费报文原理与欺骗原理类似,免费ARP报文就是广播正确的ARP信息,使得收到此报文的主机强制学习,以防止被欺骗。另外,免费报文还有另一个作用,就是防止网内主机IP冲突。
本设备支持ARP自定义发包和保护端口的设置,自定义发包就是可以自定义ARP报文,可以定义报文类型,发包数量和频率等信息;保护端口即为设置主动广播ARP广播报文的端口,并且可以设置免费报文内容,使之不仅仅只广播网关自己的IP-MAC,同样可以对网内任何主机进行保护,防止攻击者针对该主机的攻击。
2配置ARP
3典型配置
组网:
简要配置介绍:
!
anti-arp spoof service \\启用防欺骗
no anti-arp learning-arp \\关闭arp学习
anti-arp broadcast interface vlan1 \\配置vlan1为保护端口anti-arp broadcast interface vlan1 list 192.168.1.7 00:00:00:00:00:77 \\配置保护列表
anti-arp broadcast interface vlan1 list 192.168.1.8 00:00:00:00:00:88
anti-arp broadcast interface vlan1 list 192.168.1.9 00:00:00:00:00:99
anti-arp flood service \\启用防洪攻击
anti-arp flood block-time 80 \\设置阻断时间
anti-arp flood threshold 400 \\设置阈值
!
局域网内如何防止ARP欺骗
局域网内如何防止ARP欺骗 时间:2011-04-28 17:05 来源:雨林木风系统门户收藏复制分享共有 评论(0)条 一、理论前提 本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些想法和理论依据。首先,大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的,正常的 TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊,废话!)。这就假设,如果犯罪嫌疑人没有启动这个破坏程序的时候,网络环境是正常的,或者说网络的ARP环境是正常的,如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为刚才提到,前面网络正常的时候证据是可信和可依靠的。好,接下来我们谈论如何在第一时间发现他的犯罪活动。 ARP欺骗的原理如下: 假设这样一个网络,一个Hub接了3台机器 HostA HostB HostC 其中 A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下 C:\arp -a Interface: 192.168.10.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.10.3 CC-CC-CC-CC-CC-CC dynamic 现在假设HostB开始了罪恶的ARP欺骗: B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是 192.168.10.3(C的IP地址),MAC地址是DD-DD-DD- DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP 缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有
ARP论文ARP攻击的原理论文
ARP论文ARP攻击的原理论文 摘要:arp是address resolution protocol(地址转换协议)的简称,是tcp/ip协议中最底层的协议之一。它的作用是完成ip地址到mac(物理地址)的转换。在局域网中两台计算机之间的通讯,或者局域网中的计算机将ip数据报转发给网关的时候,网卡都需要知道目标计算机的物理地址,以填充物理帧中的目的地址。arp欺骗和攻击正是利用了这一点,将自身的mac地址填入正常的arp协议会话中,从而达到欺骗和攻击的目的。通过将ip地址和mac地址进行静态绑定可以有效防范arp攻击。 关键词:arp;攻击;原理;防护 arp attacks and protection principles yan an (tianjin construction information technology service center, tianjin 300000, china) abstract: arp is the address resolution protocol (arp) is referred to, is the tcp / ip protocol in the bottom of one of the agreements. its role is to complete the ip address to mac (physical address) of the conversion. in the lan communication between two computers, or lan computer ip datagrams forwarded to
ARP欺骗 -攻击原理和防范
ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子,假定同一个局域网内,有 3 台主机通过交换机相连: A 主机: IP 地址为 192.168.0.1 , MAC 地址为 01:01:01:01:01:01 ; B 主机: IP 地址为 192.168.0.2 , MA C 地址为 02:02:02:02:02:02 ; C 主机: IP 地址为 192.168.0.3 , MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包,如图所示 在收到 B主机发来的ARP应答后,A主机应知道: 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样, A 和 C 都认为对方的 MAC 地址是 020********* ,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新, ARP 映射项会自动去除。所以, B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的映射表项。 现在,如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理, A 和 C 之间的通信就无法正常建立, B 也就达不到“嗅探”通信内容的目的,因此, B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的 MAC 和源MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,
ARP攻击方式及介绍、攻击造成的现象
ARP攻击 ARP攻击,是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸,切断局域网上任何一台主机的网络连接等。[5]主要有以盗取数据为主要目的的ARP欺骗攻击,还有以捣乱破坏为目的的ARP泛洪攻击两种。争对这两种主要攻击方式,本文作者又细分为以下几种ARP攻击类型: 1. IP地址冲突 制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求,受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于windows操作系统,只要接收到一个ARP数据包,不管该ARP数据包符不符合要求,只要该ARP数据包所记录的源ip地址同本地主机相同但MAC地址不同,windows系统就会弹出ip地址冲突的警告对话框。根据ip地址冲突的攻击特征描述,这种类型的ARP攻击主要有以下几种: (1)单播型的IP地址冲突:链路层所记录的目的物理地址为被攻击主机的物理地址,这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。 (2)广播型的IP地址冲突:链路层所记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接受到该ARP数据包,虽然该ARP数据包所记录的目的ip地址不是受攻击主机的ip地址,但是由于该ARP数据包为广播数据包,这样受攻击主机也会接收到从而弹出ip地址冲突的警告对话框。 2. ARP泛洪攻击 攻击主机持续把伪造的MAC-IP映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含(1)通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。(2)令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。(3)用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的,它是以破坏网络为目的,属于损人不利己的行为。 3.ARP溢出攻击 ARP溢出攻击的特征主要有: (1)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址但MAC地址是固定的,由于当操作系统接收到一个源ip地址在ARP高速缓存表中不存在的ARP数据包时,就会在缓存表中创建一个对应MAC-IP的入口项。 (2)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表,将各端口和端口所连接主机的MAC地址的对应关系进行记录,因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包,就会破坏端口与MAC的对应关系,并导致CAM表溢出。在这种情形之下,缺少防范措施的交换机就会以广播的模式处理报文,形成泛洪向所有接口转发通信信息流。[6]最终使得交换机变成HUB,将交换式的网络变成广播式的网络,使得网络带宽急剧下降。 4.ARP欺骗攻击 ARP欺骗原理 假如主机A要与目的主机B进行通信,为了查找与目的主机IP地址相对应的MAC地址,主机A使用ARP协议来查找目的主机B的MAC地址。首先,源主机A会以广播的形式发送一
ARP欺骗在网络中的应用及防范
ARP欺骗在网络中的应用及防范 一、ARP协议的内容和工作原理 地址解析协议(Address Resolution Protocol,ARP)是在只知道主机IP地址时确定其物理地址的一种协议。因IPv4、IPv6和以太网的广泛应用,其主要用于将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC 层,也就是相当于OSI的第二层)的MAC地址。 首先,每台主机都会在自己的ARP缓冲区中建立一个ARP映射表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。同一网段中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就丢弃此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中,如果ARP映射表中已经存在该IP的信息,则将其覆盖,然后以单播的形式给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。 二、ARP协议存在的安全漏洞 ARP协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。其主要漏洞有以下三点: 1、主机地址映射表是基于高速缓存、动态更新的,ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间,它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。 2、由于ARP是无状态的协议,即使没有发送ARP请求报文,主机也可以接收ARP应答,只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP 报文从而影响网内节点的通信,甚至可以做“中间人”。 3、任何ARP应答都是合法的,ARP应答无须认证,只要是局域网内的ARP 应答分组,不管是否是合法的应答,主机都会接受ARP应答,并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。 三、ARP欺骗攻击的实现过程 3.1 网段内的ARP欺骗攻击 ARP欺骗攻击的最基本手段就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射表,并以此更新目标主机缓存。设在
ARP攻击的分析与防范
开发与应用 计算机与信息技术 ·7· ARP 攻击的分析与防范 吴勇 李祥 (贵州大学 计算机软件与理论研究所,贵州 贵阳 550025) 摘 要 介绍了ARP协议工作原理,分析了ARP协议的弱点,阐述了基于ARP进行网络攻击的主要方式,并给出了应 对措施。提出构造ARP应答包进行ARP欺骗的具体方法。 关键词 ARP协议;ARP欺骗;ICMP重定位;静态ARP表;地址解析;libnet 1 引言 网络上的计算机之间是通过IP地址通信的,但是IP地址是位于网络层的逻辑地址,计算机之间要想真的进行数据交换必须知道它的物理地址,ARP就是将逻辑地址转换成物理地址的一个协议。因此ARP的协议的安全就显的非常重要。现在对ARP攻击最常用的一种方式就是ARP欺骗,在这种攻击方式下,攻击方可以通过伪造ARP请求与应答更新目标主机的ARP缓存从而骗过目标机。使目标机的数据包发给攻击者。攻击者就可以对截获的数据包的内容进行分析破解目标机的信息。 2 ARP 协议 计算机之间主要是通过IP地址通信,IP地址是一个逻辑地址,通过IP地址就可以找到目标网络,但是在一个网络内部的计算机之间进行最终的数据交换时就必须经过物理MAC地址才能识别具体的一台主机,这时我们就需要ARP协议把需要通信的目标主机的IP地址解析为与之对应的硬件物理地址。 2.1 ARP 协议的基本工作原理 一台连入互连网的计算机拥有两个地址。一个是IP地址,它是一个网络层使用的协议并且独立于网络底层。每一台在互联网上的计算机都必须有一个惟一IP地址。IP地址是一个可以通过软件设置的逻辑地址。另一个地址是网卡地址MAC 地址。MAC地址是一个固定在网卡中的全球独一无二的地址。通过MAC地址,以太网就能独立于上层协议收发数据。当两台主机进行通信时,IP数据被封装成以太帧格式的一个个的数据包,这些数据包通过数据链路层进行传送,ARP消息就被封装在以太帧的数据部分。每一台基于TCP/IP协议的主机都有一个ARP缓存表。里面包括硬件类型,硬件地址长度,操作号,源IP地址与MAC地址,目的IP地址与MAC地址。如果一台主机甲要与另一台主机乙进行数据通信,且它们位于一个网段时,它们之间的具体通信过程如下:甲查看自己的ARP缓存表,寻找乙机器的相关信息,如果找到的话,就使用表中与乙的IP地址对应的MAC地址来通信;若查找失败,就会向局域网中发送一个以太网的广播帧,往帧中填充甲主机的IP地址和MAC地址,乙主机的IP地址等字段形成一个ARP请求。此时此网段内的所有机器都会收到此请求,但只有乙主机收到后发现此请求中有自己的IP地址从而作出响应。它先刷新自己的ARP缓存,以便提高以后的通信效率,而后生成一个ARP应答帧将自己的MAC地址填充进去发送给甲主机。甲收到后将乙的ARP信息写入自己的ARP缓存中。若不在同一网段,此过程分为两个阶段,第一阶段甲会广播一个ARP请求来得到本地网关的MAC地址,然后将数据发送到网关。再判断网关与乙是否在同一网段。如果是就进入第二阶段查找IP/MAC,转发数据否则继续广播ARP请求。(如图1) 当一台机器更换了新网卡后,就会通知网内其它主机,使之更新各自的ARP表项使IP地址和新的MAC地址保持一致。因此每台机器在启动时都会发一个以太网广播帧通知其它主机及时更新ARP缓存。 第一阶段 第二阶段 图1 不同网段的ARP攻击
ARP攻击实验报告
网络入侵实验报告 学号:0867010077 姓名:*** 一.实验目的: 1、了解基本的网络攻击原理和攻击的主要步骤; 2、掌握网络攻击的一般思路; 3、了解arp攻击的主要原理和过程; 二.实验原理: arp攻击就是通过伪造ip地址和mac地址实现arp欺骗,能够在网络中产生大量的arp 通信量使网络阻塞,攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓 存中的ip-mac条目,造成网络中断或中间人攻击。 arp攻击主要是存在于局域网网络中,局域网中若有一台计算机感染arp木马,则感染 该arp木马的系统将会试图通过“arp欺骗”手段截获所在网络内其它计算机的通信信息, 并因此造成网内其它计算机的通信故障。 某机器a要向主机b发送报文,会查询本地的arp缓存表,找到b的ip地址对应的mac 地址后,就会进行数据传输。如果未找到,则a广播一个arp请求报文(携带主机a的ip 地址ia——物理地址pa),请求ip地址为ib的主机b回答物理地址pb。网上所有主机包括 b都收到arp请求,但只有主机b识别自己的ip地址,于是向a主机发回一个arp响应报文。 其中就包含有b的mac地址,a接收到b的应答后,就会更新本地的arp缓存。接着使用这 个mac地址发送数据(由网卡附加mac地址)。因此,本地高速缓存的这个arp表是本地网络 流通的基础,而且这个缓存是动态的。 本实验的主要目的是在局域网内,实施arp攻击,使局域网的网关失去作用,导致局域 网内部主机无法与外网通信。 三.实验环境:windows xp操作系统,iris抓包软件 四.实验步骤: 1,安装iris,第一次运行iris后会出现一个要你对适配器的选择的 界面,点击适配器类型,点击确定就可以了: 如图1-1; 图1-1 2对编辑过滤器进行设置(edit filter settings),设置成包含arp 如图1-2; 图1-2 3.点击iris的运行按钮(那个绿色的按钮),或捕获(capture)按钮。 如图1-2: 图1-3 开始捕获数据包 4.捕获到的数据如图所示,选择一个你要攻击的主机,我们这里选择的是ip为10.3.3.19 的主机,选择的协议一定要是arp的数据包。 如图1-4: 图1-4篇二:arp攻击实验报告 如下图,打开路由web控制页面中的信息检测-arp攻击检测,如下图 设置完后,如果有arp攻击,就会显示出来,如图,内网ip地址为192.168.101.249 有arp攻击 如果以后内网还有掉线现象,检查一下这里就可以了。
arp欺骗原理及处理办法
故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。 如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。 经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
如何设置路由器防止ARP攻击
【建议】关于ARP攻击,不是病毒而是路由器设置原因--2个路由器 发生原因:宾馆有1个路由器,我又带了1个无限路由器。(一共2个路由器串在一起上网) 发生故障:ARP 局域网攻击,查到的IP:192.168.1.1 MAC从路由器客户列表找不到此MA C地址。 以为是病毒隐藏了真实的MAC呢!计算机杀毒,急救箱,等全部用了。还是攻击。后来才发现,此MAC是第二个路由器。2个路由器设置问题导致ARP攻击。(在达到几百次的攻击时发现有2个MAC攻击,是2个路由器的MAC地址,一般都是第二个路由器MAC) 后来重新设置了第二个路由器一切OK 可以上网了。 建议:现在这样连接路由器的也很多,所以在局域网攻击发生时,在路由器客户列表找不到对应的MAC ,请提示。是否是2个路由器相连,如果是请确认是否是第二个路由器设置问题。 并将设置方法显示出来,以方便用户排除故障! 下面是第二个路由器的设置方法!给大家分享下。 两个路由器连接最常见的应用是你家里现在有一个路由器,现在在想接一个无线路由器,如果不通过简单的设置是没有办法上网的,因为二个路由器在一个网段内IP地址都一样二个路由器连接有两个DHCP服务器共同工作所以IP会产生冲突 现在我们来看看图示连接方法 设连接上英特网的路由器为A路由器, 我们将要连的路由器为B路由器,目前的设置不用对A 路由器做任何改动,也就是说A路由器我们不用去动它,但要保证A路由器开通DHCP功能,
也就是说自动获得IP地址,这一功能在路由器购买来以后就有了,将B路由器的WAN口接在A路由器的LAN口上修改B路由器的IP地址为,192.168.0.1 启用B路由器的DHCP功能也许这一步可以省略路由器在购买来之前这个功能就以经起用了 进入B路由器的WAN口设置 在15处,WAN口连接类型,选择动态IP地址地址,在14处手动设置DNS服务器处选择,192.168.1.1我们完全可以将解析这个任务交给上一级路由器如果你知道ISP提供商的DNS哪就只接写他们的,如我们这个地方的DNS是218.2.135.1 保存退出这时进入路由器的状态介面你会看到A路由器为B路由器临时分配了一个IP地址
ARP攻击实战WinArpAttacker教程
WinArpAttacker是一个很出名的ARP攻击工具,功能也很强大,,点击下载WinArpAttacker。注意一下:WinArpAttacker需要WinPcap作为支持,所以你的机器得先安装WinPcap。 1. 运行WinArpAttacker.EXE,噢,开始了。首先,我们先来扫一下局域网的机器,如图:这WinArpAttacker是一个很出名的ARP 攻击工具,功能也很强大,,点击下载WinArpAttacker。注意一下:WinArpAttacker需要WinPcap作为支持,所以你的机器得先安装WinPcap。 1. 运行WinArpAttacker.EXE,噢,开始了。首先,我们先来扫一下局域网的机器,如图: 这次被攻击的苦主是我的另外一台机器,IP是192.168.56.178,如图:
OK,一切都准备就绪了,现在正式介绍一下WinArpAttacker的功能: 在ToolBar里面,可以看到Attack这个图标,里面有几个选项: 1).Flood: 连续并且大量地发送“Ip Conflict”包(此功能有可能会导致对方DOWN机)。 2).BanGateway: 发包欺骗网关,告诉网关错误的目标机MAC地址,导致目标机无法接收到网关发送的包(这个功能我还没有研究透,因为对目标机器使用这种攻击,但它还是能上网,可能是公司的网关有ARP防火墙作保护)。 3).Ip Conflict: 发送一个IP一样但Mac地址不一样的包至目标机,导致目标机IP冲突。(频繁发送此包会导致机器断网),这个和第一功能的效果我就不截图了,如果被攻击,效果很明显,在你机器的右下角会有个IP冲突的标志....这里就不多说了。 4).Sniffgateway: 同时ARP欺骗网关和目标机,使你可以监听目标机的通信。 5).SniffHosts:欺骗多个主机,使你可以监听他们之间的通信。(危险!) 6).SniffLan:...欺骗局域网的所有机器,说是你才是网关,然后通过这个你可以监听整个网络...(危险!!!) 以上是Attack功能的介绍,接下来是Detect功能,它的主要作用是检查现在网络上基于ARP的攻击(这里不详细介绍)。 3. OK,然后这里要主要介绍的Send功能(见ToolBar),Send的主要功能是让你自己能够组建ARP包头,呵呵,有了这个,你就可以实现修改别人机器的ARP 缓存了。 首先,先看看我们的目标机(苦主)现在的ARP缓存状态,如图: 攻击者现在IP是192.168.56.130,MAC地址是:00-1E-4F-AB-B1-E8。然后根据《Arp小记》里面的说明,当发送一个ARP应答包给目标机(苦主)时,目标机应该会增加一条IP-MAC记录(记录不存在时)/修改IP-MAC记录(记录存在时)。好的,现在我们就自己搞包头吧,如图:
H3C防ARP解决与方案及配置
H3C防ARP解决方案及配置 ARP, 方案 目录 第1章防ARP攻击功能介绍 1-1 1.1 ARP攻击简介 1-1 1.2 ARP攻击防御 1-3 1.2.2 DHCP Snooping功能 1-3 1.2.3 ARP入侵检测功能 1-4 1.2.4 ARP报文限速功能 1-4 1.3 防ARP攻击配置指南 1-5 第2章配置举例 2-1 2.1 组网需求 2-1 2.2 组网图 2-2 2.3 配置思路 2-2 2.4 配置步骤 2-3 2.5 注意事项 2-6 防ARP攻击配置举例 关键词:ARP、DHCP Snooping 摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。 缩略语:ARP(Address Resolution Protocol,地址解析协议) MITM(Man-In-The-Middle,中间人攻击) 第1章防ARP攻击功能介绍 近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据校园网ARP攻击的特点,给出了DHCP监控模式下的防ARP攻击解决方案,可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。 1.1 ARP攻击简介 按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。 校园网中,常见的ARP攻击有如下几中形式。 (1) 仿冒网关
解决ARP攻击造成的局域网断网问题
无线局域网内的ARP攻击引起的上网掉线的原因和解决方法 在家庭和公司的宽带局域网中,经常会遇到的就是ARP病毒攻击,最常见的症状是电脑老是掉线,网页经常打不开,QQ无法登陆之类的现象。就是能浏览网页也会很卡,这不是无线路由器出故障了,也不是网速问题,大多都是遇到ARP攻击了,这对上网的体验影响很大,对业务以来网络的公司来说更是意味着金钱的损失。下面就来给大家解释一下原因和相应的解决办法,顺带也说说ARP攻击的演化。 首先,我们先来了解一下什么是ARP攻击。 ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。 ARP攻击的演化 初期: 这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。ARP欺骗,最初为黑客所用,成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了黑客的电脑上,达到窃取数据的目的。 中期:ARP恶意攻击 后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。 特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP攻击泛滥。 随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。 现在:综合的ARP攻击 最近这一波ARP攻击潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。 首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主,最有效的攻击方式是DDOS攻击。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP攻击,例如最近流行的威金病毒,ARP攻击是其使用的攻击手段之一。
C语言实现ARP攻击(附源码)
信息安全原理 ——ARP攻击班级:07计算机1班姓名:胡益铭学号:E07620112 ARP原理: ARP,即地址解析协议,实现通过IP地址得知其物理地址。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP 地址变换成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。 ARP数据报格式如下: 什么是ARP欺骗: 其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。 本程序基于C语言,利用winpacp实现往局域网内发自定义的包,以达到ARP欺骗的目的。 首先从https://www.wendangku.net/doc/0a17809420.html,/archive/下载4.0beta1-WpdPack和4.0beta1-WinPcap.exe,版本很多,不过最新版本需要64位的系统,本人32位系统用不了。 直接点击4.0beta1-WinPcap.exe安装,然后在C:\Program Files\WinPcap下打开rpcapd.exe 服务。 然后在VC中,Tools→Options→Directories下配置include和library,将4.0beta1-WpdPack 中的include和library库包含进去,本人把4.0beta1-WpdPack放在D盘根目录下,结果如下:
ARP攻击和防范原理及示例
本科生毕业论文(设计) 题目:ARP攻击和防范原理及示例 专业:计算机网络(本科) 考生姓名:********** 准考证号:************ 指导教师:****** 二〇一五年十月
学术诚信声明 本人所呈交的毕业论文,是在导师的指导下,独立进行研究工作所 取得的成果,所有数据、图片资料均真实可靠。除文中已经注明引用的 内容外,本论文不包含任何其他人或集体已经发表或撰写过的作品或成 果。对本论文的研究作出重要贡献的个人和集体,均已在文中以明确的 方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本 声明的法律结果由本人承担。 本人签名:日期:2015-10-12
摘要 ARP攻击是指攻击者利用ARP协议本身的缺陷,在区域内一台终端或服务器上发布欺骗ARP广播包以达到盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP的攻击方式是ARP欺骗,ARP欺骗在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且流动性较大的网吧以及其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 目前,很多研究者已经给出了针对ARP欺骗攻击的防治方法,在一定程度上减少了ARP问题的发生,这类方法主要是通过保护ARP高速缓存等方法来实现,它们不能从根本上解决ARP欺骗问题,因为ARP欺骗是利用ARP协议本身存在在的漏洞,本文将从技术层面入手,分析解决该类问题。 关键词:ARP攻击、ARP协议、ARP欺骗、ARP安全防护
防护arp攻击软件最终版-Antiarp安全软件
防护arp攻击软件最终版-Antiarp安全软件 使用方法: 1、填入网关IP地址,点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址. 2、IP地址冲突 如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。 3、您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下: 右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer 的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。 全中文界面,绿色不用安装 附件: [Antiarp安全软件] Antiarp.rar (2006-4-25 17:03, 353.06 K) 该附件被下载次数103 可惜传不上去。 解决ARP攻击一例 【故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行
Arp攻击原理及防范
Arp攻击原理及防范 1.ARP协议简介 在局域网中,一台主机要和另一台主机进行通信,必须要知道另一台主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将数据包中的IP地址转换成MAC地址的协议,而这个重要的任务将由ARP协议完成。 ARP全称为Address Resolution Protocol,即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP 缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。 下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。 2.ARP欺骗过程: 如图(1)所示(在相册)局域网中有三台主机与交换机相连接,主机名分别为A、B、C,交换机为网关命名为S,IP如图所示。现在A与C进行通信,正常情况下通信过程如下:A 将自身的数据打包目地IP为C的IP,因为不知道C的MAC,所以A向全网发出ARP请求要求得到C的MAC,C收到广播报文后将自身的MAC地址发送给A,A得到C的MAC后将数据打包,封装目的为C的IP和MAC,然后将数据包发送给S;S收到该包后拆包得到C的MAC,然后再对照自身的ARP缓存表,将数据包发送给C,一次通信完成。 这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。此时A想得到C 的MAC向全网发送广播,C将自己的MAC发给A,而此时一直沉默的B也向全网发出广播报文,说自已的IP为192.168.0.4MAC为B的MAC即MAC_b,原本A得到的C的MAC是正确的,由于B不停的发送广播报文,但A不知道B的MAC是伪造的,导致A重新动态更新自己的ARP缓存表,此时A的ARP缓存表里记录了一条错误的记录,这就导致了A以后要发送给C的数据全部发给了B。这就是ARP欺骗中冒充主机的方式。 如果B冒充网关又会是什么情况呢?大家知道局域网中所有电脑上网都要通过网关转发数据才能登陆互联网。此时如果B向全网发送广播说我的IP为192.168.0.1 MAC为MAC_b 即B自己的MAC,由于局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_b这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到MAC_b这台电脑中!这样,B就将会监听整个局域网发送给互联网的数据包! ARP病毒新的表现形式 由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,
彻底解决局域网内ARP攻击的设置方法
彻底解决局域网内ARP攻击的设置方法 最常见的局域网安全问题就是ARP攻击了,相信百分五十以上的局域网用户都受到过ARP攻击,这种攻击方法非常不好防治,所以普通的局域网用户都不清楚怎么彻底解决ARP攻击问题。如果你用路由器设置了局域网,请看以下如何彻底解决局域网内ARP攻击的设置方法。 一、彻底解决ARP攻击 事实上,由于路由器是整个局域网的出口,而ARP攻击是以整个局域网为目标,当ARP攻击包已经达到路由器的时候,影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计,并不能很好的解决问题。 我们要真正消除ARP攻击的隐患,安枕无忧,必须转而对“局域网核心”――交换机下手。由于任何ARP包,都必须经由交换机转发,才能达到被攻击目标,只要交换机据收非法的ARP包,哪么ARP攻击就不能造成任何影响。 我们提出一个真正严密的防止ARP攻击的方案,就是在每台接入交换机上面实现ARP绑定,并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户,在局域网内完全消除了ARP攻击。 因为需要每台交换机都具有ARP绑定和相关的安全功能,这样的方案无疑价格是昂贵的,所以我们提供了一个折衷方案。 二、一般ARP攻击的解决方法 现在最常用的基本对治方法是“ARP双向绑定”。 由于ARP攻击往往不是病毒造成的,而是合法运行的程序(外挂、网页)造成的,所杀毒软件多数时候束手无策。 所谓“双向绑定”,就是再路由器上绑定ARP表的同时,在每台电脑上也绑定一些常用的ARP表项。 “ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项,那么ARP攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住50%ARP 攻击。 但是现在ARP攻击的程序往往都是合法运行的,所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了,仍然很容易出现掉线。 于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的,原理是:当网内受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题,但是在最凶悍的ARP攻击发生时,仍然发生了问题----当ARP攻击很频密的时候,就需要路由器发送更频密的正确包去消除影响。虽然不掉线了,但是却出现了上网“卡”的问题。 所以,我们认为,依靠路由器实现“ARP攻击主动防御”,也只能够解决80%的问题。