ARP攻击

二、问题描述：

在S9508_2的log日志中，以及console控制台上不定期打印信息检测到ARP攻击，但实际并未发生ARP攻击：

%Dec 26 08:42:12 2008 S9508_2 DIAGCLI/5/LOG_WARN:Slot=3;

Detect ARP attack from MAC 000f-e2a4-e36c, VLAN: 26, GigabitEthernet3/1/2 !

其中提示攻击的MAC地址为对端（S9508_1）VLAN三层接口虚MAC。

三、过程分析：

S9500系列交换机拥有ARP防攻击功能，而其触发门限值默认为30pps，即1秒钟收到某固定源MAC地址的ARP报文超过30个，则认为存在攻击。

S9500交换机每个的VLAN虚接口的MAC都相同，所以每个VLAN内发送的ARP请求源地址都是相同的，由于这个特点会在某些组网下触发对端的ARP防攻击功能告警或阻断。在前面图片中描述的双机Trunk互联组网中，当由于某些原因S9508_1上ARP表清空（如STP 拓扑变化），需要重新获得对端ARP信息时，S9508_1便会在trunk允许的多个VLAN内发送ARP请求，由于trunk间允许的VLAN数量众多，实际使用的也达到约40个，所以在每个VLAN都发送ARP请求的情况下，S9508_1向S9508_2每秒发送的ARP请求数量会达到约40pps。而由于S9508_2开启了ARP防攻击功能，在S9508_2检查收到的这些ARP报文的时候，会发现它们的源MAC地址都相同，且发送频率超过了默认ARP防攻击门限值30pps，于是S9508_2认为发生了ARP攻击，打印信息进行告警。

四、解决方法：

问题产生的根源是多个VLAN发送ARP请求，频率超过了ARP防攻击门限值，所以有两个方法解决此问题：

1.调整门限值，使得正常的ARP请求数量在该门限值以下，但由于该修改是全局性的，若网络中真的发生了ARP攻击，则会出现漏报的情况，因此我们不建议修改该值。

[H3C]anti-attack arp threshold 60

2.配置命令，将000f-e2a4-e36c 这个设备虚接口的MAC地址配置为安全mac，从防攻击侦测中剔除。

[H3C] anti-attack arp exclude-mac 000f-e2a4-e36c

我们建议采用该方式，并将所有重要设备的mac都列为安全mac，保证不会出现防攻击导致的重要设备断网或告警。

ARP攻击方式及介绍、攻击造成的现象

ARP攻击 ARP攻击，是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等。[5]主要有以盗取数据为主要目的的ARP欺骗攻击，还有以捣乱破坏为目的的ARP泛洪攻击两种。争对这两种主要攻击方式，本文作者又细分为以下几种ARP攻击类型： 1. IP地址冲突 制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于windows操作系统，只要接收到一个ARP数据包，不管该ARP数据包符不符合要求，只要该ARP数据包所记录的源ip地址同本地主机相同但MAC地址不同，windows系统就会弹出ip地址冲突的警告对话框。根据ip地址冲突的攻击特征描述，这种类型的ARP攻击主要有以下几种： （1）单播型的IP地址冲突：链路层所记录的目的物理地址为被攻击主机的物理地址，这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。 （2）广播型的IP地址冲突：链路层所记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接受到该ARP数据包，虽然该ARP数据包所记录的目的ip地址不是受攻击主机的ip地址，但是由于该ARP数据包为广播数据包，这样受攻击主机也会接收到从而弹出ip地址冲突的警告对话框。 2. ARP泛洪攻击 攻击主机持续把伪造的MAC-IP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含（1）通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。（2）令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。（3）用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的，属于损人不利己的行为。 3.ARP溢出攻击 ARP溢出攻击的特征主要有： （1）所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址但MAC地址是固定的，由于当操作系统接收到一个源ip地址在ARP高速缓存表中不存在的ARP数据包时，就会在缓存表中创建一个对应MAC-IP的入口项。 （2）所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表，将各端口和端口所连接主机的MAC地址的对应关系进行记录，因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包，就会破坏端口与MAC的对应关系，并导致CAM表溢出。在这种情形之下，缺少防范措施的交换机就会以广播的模式处理报文，形成泛洪向所有接口转发通信信息流。[6]最终使得交换机变成HUB，将交换式的网络变成广播式的网络，使得网络带宽急剧下降。 4.ARP欺骗攻击 ARP欺骗原理 假如主机A要与目的主机B进行通信，为了查找与目的主机IP地址相对应的MAC地址，主机A使用ARP协议来查找目的主机B的MAC地址。首先，源主机A会以广播的形式发送一

局域网内如何防止ARP欺骗

局域网内如何防止ARP欺骗 时间：2011-04-28 17:05 来源：雨林木风系统门户收藏复制分享共有 评论(0)条 一、理论前提 本着“不冤枉好人，不放过一个坏人的原则”，先说说我的一些想法和理论依据。首先，大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的，正常的 TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊，废话!)。这就假设，如果犯罪嫌疑人没有启动这个破坏程序的时候，网络环境是正常的，或者说网络的ARP环境是正常的，如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信和可依靠的。好，接下来我们谈论如何在第一时间发现他的犯罪活动。 ARP欺骗的原理如下： 假设这样一个网络，一个Hub接了3台机器 HostA HostB HostC 其中 A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下 C:\arp -a Interface: 192.168.10.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.10.3 CC-CC-CC-CC-CC-CC dynamic 现在假设HostB开始了罪恶的ARP欺骗： B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是 192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD- DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP 缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只有

ARP攻击实验报告

网络入侵实验报告 学号：0867010077 姓名：*** 一．实验目的： 1、了解基本的网络攻击原理和攻击的主要步骤； 2、掌握网络攻击的一般思路； 3、了解arp攻击的主要原理和过程； 二．实验原理： arp攻击就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp 通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓 存中的ip-mac条目，造成网络中断或中间人攻击。 arp攻击主要是存在于局域网网络中，局域网中若有一台计算机感染arp木马，则感染 该arp木马的系统将会试图通过“arp欺骗”手段截获所在网络内其它计算机的通信信息， 并因此造成网内其它计算机的通信故障。 某机器a要向主机b发送报文，会查询本地的arp缓存表，找到b的ip地址对应的mac 地址后，就会进行数据传输。如果未找到，则a广播一个arp请求报文（携带主机a的ip 地址ia——物理地址pa），请求ip地址为ib的主机b回答物理地址pb。网上所有主机包括 b都收到arp请求，但只有主机b识别自己的ip地址，于是向a主机发回一个arp响应报文。 其中就包含有b的mac地址，a接收到b的应答后，就会更新本地的arp缓存。接着使用这 个mac地址发送数据（由网卡附加mac地址）。因此，本地高速缓存的这个arp表是本地网络 流通的基础，而且这个缓存是动态的。 本实验的主要目的是在局域网内，实施arp攻击，使局域网的网关失去作用，导致局域 网内部主机无法与外网通信。 三．实验环境：windows xp操作系统，iris抓包软件 四．实验步骤： 1，安装iris，第一次运行iris后会出现一个要你对适配器的选择的 界面，点击适配器类型，点击确定就可以了： 如图1-1； 图1-1 2对编辑过滤器进行设置（edit filter settings），设置成包含arp 如图1-2； 图1-2 3.点击iris的运行按钮（那个绿色的按钮）,或捕获（capture）按钮。 如图1-2： 图1-3 开始捕获数据包 4.捕获到的数据如图所示，选择一个你要攻击的主机，我们这里选择的是ip为10.3.3.19 的主机，选择的协议一定要是arp的数据包。 如图1-4： 图1-4篇二：arp攻击实验报告 如下图，打开路由web控制页面中的信息检测-arp攻击检测，如下图 设置完后，如果有arp攻击，就会显示出来，如图，内网ip地址为192.168.101.249 有arp攻击 如果以后内网还有掉线现象，检查一下这里就可以了。

ARP攻击的分析与防范

开发与应用 计算机与信息技术 ·7· ARP 攻击的分析与防范 吴勇 李祥 (贵州大学 计算机软件与理论研究所，贵州 贵阳 550025) 摘 要 介绍了ARP协议工作原理，分析了ARP协议的弱点，阐述了基于ARP进行网络攻击的主要方式，并给出了应 对措施。提出构造ARP应答包进行ARP欺骗的具体方法。 关键词 ARP协议；ARP欺骗；ICMP重定位；静态ARP表；地址解析；libnet 1 引言 网络上的计算机之间是通过IP地址通信的，但是IP地址是位于网络层的逻辑地址，计算机之间要想真的进行数据交换必须知道它的物理地址，ARP就是将逻辑地址转换成物理地址的一个协议。因此ARP的协议的安全就显的非常重要。现在对ARP攻击最常用的一种方式就是ARP欺骗，在这种攻击方式下，攻击方可以通过伪造ARP请求与应答更新目标主机的ARP缓存从而骗过目标机。使目标机的数据包发给攻击者。攻击者就可以对截获的数据包的内容进行分析破解目标机的信息。 2 ARP 协议 计算机之间主要是通过IP地址通信，IP地址是一个逻辑地址，通过IP地址就可以找到目标网络，但是在一个网络内部的计算机之间进行最终的数据交换时就必须经过物理MAC地址才能识别具体的一台主机，这时我们就需要ARP协议把需要通信的目标主机的IP地址解析为与之对应的硬件物理地址。 2.1 ARP 协议的基本工作原理 一台连入互连网的计算机拥有两个地址。一个是IP地址，它是一个网络层使用的协议并且独立于网络底层。每一台在互联网上的计算机都必须有一个惟一IP地址。IP地址是一个可以通过软件设置的逻辑地址。另一个地址是网卡地址MAC 地址。MAC地址是一个固定在网卡中的全球独一无二的地址。通过MAC地址，以太网就能独立于上层协议收发数据。当两台主机进行通信时，IP数据被封装成以太帧格式的一个个的数据包，这些数据包通过数据链路层进行传送，ARP消息就被封装在以太帧的数据部分。每一台基于TCP/IP协议的主机都有一个ARP缓存表。里面包括硬件类型，硬件地址长度，操作号，源IP地址与MAC地址，目的IP地址与MAC地址。如果一台主机甲要与另一台主机乙进行数据通信，且它们位于一个网段时，它们之间的具体通信过程如下：甲查看自己的ARP缓存表，寻找乙机器的相关信息，如果找到的话，就使用表中与乙的IP地址对应的MAC地址来通信；若查找失败，就会向局域网中发送一个以太网的广播帧，往帧中填充甲主机的IP地址和MAC地址，乙主机的IP地址等字段形成一个ARP请求。此时此网段内的所有机器都会收到此请求，但只有乙主机收到后发现此请求中有自己的IP地址从而作出响应。它先刷新自己的ARP缓存，以便提高以后的通信效率，而后生成一个ARP应答帧将自己的MAC地址填充进去发送给甲主机。甲收到后将乙的ARP信息写入自己的ARP缓存中。若不在同一网段，此过程分为两个阶段，第一阶段甲会广播一个ARP请求来得到本地网关的MAC地址，然后将数据发送到网关。再判断网关与乙是否在同一网段。如果是就进入第二阶段查找IP/MAC，转发数据否则继续广播ARP请求。(如图1) 当一台机器更换了新网卡后，就会通知网内其它主机，使之更新各自的ARP表项使IP地址和新的MAC地址保持一致。因此每台机器在启动时都会发一个以太网广播帧通知其它主机及时更新ARP缓存。 第一阶段 第二阶段 图1 不同网段的ARP攻击

解决ARP攻击造成的局域网断网问题

无线局域网内的ARP攻击引起的上网掉线的原因和解决方法 在家庭和公司的宽带局域网中，经常会遇到的就是ARP病毒攻击，最常见的症状是电脑老是掉线，网页经常打不开，QQ无法登陆之类的现象。就是能浏览网页也会很卡，这不是无线路由器出故障了，也不是网速问题，大多都是遇到ARP攻击了，这对上网的体验影响很大，对业务以来网络的公司来说更是意味着金钱的损失。下面就来给大家解释一下原因和相应的解决办法，顺带也说说ARP攻击的演化。 首先，我们先来了解一下什么是ARP攻击。 ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。 ARP攻击的演化 初期： 这种有目的的发布错误ARP广播包的行为，被称为ARP欺骗。ARP欺骗，最初为黑客所用，成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。 中期：ARP恶意攻击 后来，有人利用这一原理，制作了一些所谓的“管理软件”，例如网络剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。 特别是在网吧中，或者因为商业竞争的目的、或者因为个人无聊泄愤，造成恶意ARP攻击泛滥。 随着网吧经营者摸索出禁用这些特定软件的方法，这股风潮也就渐渐平息下去了。 现在：综合的ARP攻击 最近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。 首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主，最有效的攻击方式是DDOS攻击。但是随着防范能力的提高，病毒制造者将目光投向局域网，开始尝试ARP攻击，例如最近流行的威金病毒，ARP攻击是其使用的攻击手段之一。

ARP攻击实战WinArpAttacker教程

WinArpAttacker是一个很出名的ARP攻击工具，功能也很强大,，点击下载WinArpAttacker。注意一下：WinArpAttacker需要WinPcap作为支持，所以你的机器得先安装WinPcap。 1. 运行WinArpAttacker.EXE，噢，开始了。首先，我们先来扫一下局域网的机器，如图：这WinArpAttacker是一个很出名的ARP 攻击工具，功能也很强大,，点击下载WinArpAttacker。注意一下：WinArpAttacker需要WinPcap作为支持，所以你的机器得先安装WinPcap。 1. 运行WinArpAttacker.EXE，噢，开始了。首先，我们先来扫一下局域网的机器，如图： 这次被攻击的苦主是我的另外一台机器，IP是192.168.56.178,如图：

OK，一切都准备就绪了，现在正式介绍一下WinArpAttacker的功能： 在ToolBar里面，可以看到Attack这个图标，里面有几个选项： 1）.Flood: 连续并且大量地发送“Ip Conflict”包（此功能有可能会导致对方DOWN机）。 2）.BanGateway: 发包欺骗网关，告诉网关错误的目标机MAC地址，导致目标机无法接收到网关发送的包（这个功能我还没有研究透，因为对目标机器使用这种攻击，但它还是能上网，可能是公司的网关有ARP防火墙作保护）。 3）.Ip Conflict: 发送一个IP一样但Mac地址不一样的包至目标机，导致目标机IP冲突。（频繁发送此包会导致机器断网），这个和第一功能的效果我就不截图了，如果被攻击，效果很明显，在你机器的右下角会有个IP冲突的标志....这里就不多说了。 4）.Sniffgateway: 同时ARP欺骗网关和目标机，使你可以监听目标机的通信。 5）.SniffHosts：欺骗多个主机，使你可以监听他们之间的通信。（危险！） 6）.SniffLan：...欺骗局域网的所有机器，说是你才是网关，然后通过这个你可以监听整个网络...（危险！！！） 以上是Attack功能的介绍，接下来是Detect功能，它的主要作用是检查现在网络上基于ARP的攻击（这里不详细介绍）。 3. OK，然后这里要主要介绍的Send功能(见ToolBar)，Send的主要功能是让你自己能够组建ARP包头，呵呵，有了这个，你就可以实现修改别人机器的ARP 缓存了。 首先，先看看我们的目标机(苦主)现在的ARP缓存状态，如图： 攻击者现在IP是192.168.56.130，MAC地址是:00-1E-4F-AB-B1-E8。然后根据《Arp小记》里面的说明，当发送一个ARP应答包给目标机（苦主）时，目标机应该会增加一条IP-MAC记录（记录不存在时）/修改IP-MAC记录（记录存在时）。好的，现在我们就自己搞包头吧，如图：

如何设置路由器防止ARP攻击

【建议】关于ARP攻击，不是病毒而是路由器设置原因--2个路由器 发生原因：宾馆有1个路由器，我又带了1个无限路由器。（一共2个路由器串在一起上网） 发生故障：ARP 局域网攻击，查到的IP:192.168.1.1 MAC从路由器客户列表找不到此MA C地址。 以为是病毒隐藏了真实的MAC呢！计算机杀毒，急救箱，等全部用了。还是攻击。后来才发现，此MAC是第二个路由器。2个路由器设置问题导致ARP攻击。（在达到几百次的攻击时发现有2个MAC攻击，是2个路由器的MAC地址，一般都是第二个路由器MAC） 后来重新设置了第二个路由器一切OK 可以上网了。 建议：现在这样连接路由器的也很多，所以在局域网攻击发生时，在路由器客户列表找不到对应的MAC ，请提示。是否是2个路由器相连，如果是请确认是否是第二个路由器设置问题。 并将设置方法显示出来，以方便用户排除故障！ 下面是第二个路由器的设置方法！给大家分享下。 两个路由器连接最常见的应用是你家里现在有一个路由器,现在在想接一个无线路由器,如果不通过简单的设置是没有办法上网的,因为二个路由器在一个网段内IP地址都一样二个路由器连接有两个DHCP服务器共同工作所以IP会产生冲突 现在我们来看看图示连接方法 设连接上英特网的路由器为A路由器, 我们将要连的路由器为B路由器,目前的设置不用对A 路由器做任何改动,也就是说A路由器我们不用去动它,但要保证A路由器开通DHCP功能,

也就是说自动获得IP地址,这一功能在路由器购买来以后就有了,将B路由器的WAN口接在A路由器的LAN口上修改B路由器的IP地址为,192.168.0.1 启用B路由器的DHCP功能也许这一步可以省略路由器在购买来之前这个功能就以经起用了 进入B路由器的WAN口设置 在15处,WAN口连接类型,选择动态IP地址地址,在14处手动设置DNS服务器处选择,192.168.1.1我们完全可以将解析这个任务交给上一级路由器如果你知道ISP提供商的DNS哪就只接写他们的,如我们这个地方的DNS是218.2.135.1 保存退出这时进入路由器的状态介面你会看到A路由器为B路由器临时分配了一个IP地址

H3C防ARP解决与方案及配置

H3C防ARP解决方案及配置 ARP, 方案 目录 第1章防ARP攻击功能介绍 1-1 1.1 ARP攻击简介 1-1 1.2 ARP攻击防御 1-3 1.2.2 DHCP Snooping功能 1-3 1.2.3 ARP入侵检测功能 1-4 1.2.4 ARP报文限速功能 1-4 1.3 防ARP攻击配置指南 1-5 第2章配置举例 2-1 2.1 组网需求 2-1 2.2 组网图 2-2 2.3 配置思路 2-2 2.4 配置步骤 2-3 2.5 注意事项 2-6 防ARP攻击配置举例 关键词：ARP、DHCP Snooping 摘要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。 缩略语：ARP（Address Resolution Protocol，地址解析协议） MITM（Man-In-The-Middle，中间人攻击） 第1章防ARP攻击功能介绍 近来，许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据校园网ARP攻击的特点，给出了DHCP监控模式下的防ARP攻击解决方案，可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。 1.1 ARP攻击简介 按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。 校园网中，常见的ARP攻击有如下几中形式。 (1) 仿冒网关

解决ARP攻击的方法

【故障原因】 局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 【故障原理】 要了解故障原理，我们先来了解一下ARP协议。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 主机IP地址MAC地址 A192.168.16.1aa-aa-aa-aa-aa-aa B192.168.16.2bb-bb-bb-bb-bb-bb C192.168.16.3cc-cc-cc-cc-cc-cc D192.168.16.4dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC 地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP 缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D 能够接收到A发送的数据包了么，嗅探成功。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C 连接不上了。D对接收到A发送给C的数据包可没有转交给C。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发

C语言实现ARP攻击(附源码)

信息安全原理 ——ARP攻击班级：07计算机1班姓名：胡益铭学号：E07620112 ARP原理： ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP 地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。 ARP数据报格式如下： 什么是ARP欺骗： 其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 本程序基于C语言，利用winpacp实现往局域网内发自定义的包，以达到ARP欺骗的目的。 首先从https://www.wendangku.net/doc/e25604311.html,/archive/下载4.0beta1-WpdPack和4.0beta1-WinPcap.exe，版本很多，不过最新版本需要64位的系统，本人32位系统用不了。 直接点击4.0beta1-WinPcap.exe安装，然后在C:\Program Files\WinPcap下打开rpcapd.exe 服务。 然后在VC中，Tools→Options→Directories下配置include和library，将4.0beta1-WpdPack 中的include和library库包含进去，本人把4.0beta1-WpdPack放在D盘根目录下，结果如下：

解决局域网ARP攻击造成的断网问题

解决局域网ARP攻击造成的断网问题 【字号：大中小】 实战：解决局域网ARP攻击造成的断网问题 家里通过连接老妈学校的局域网上网（不用出上网费，^_^ ）~~从06年8月起，局域网中上网经常性掉线，通过科来网络分析系统发现，局域网中出现了arp欺骗攻击。经过我不断查找资料，2月初终于实现完美预防，下面就做个总结，希望对其他人有帮助~~：） 1. ARP概念 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC 地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址，每个网卡一个，据我观察分析，装系统时系统自动给予编号，形如00-03-0F-01-3E-0A），以保证通信的顺利进行。 1. 1 ARP和RARP报头结构 ARP和RARP使用相同的报头结构，如图1所示。 （图1ARP/RARP报头结构） 硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1； 协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）； 硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用； 操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4； 发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节； 发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节； 发送方IP（0-1字节）：源主机硬件地址的前2个字节； 发送方IP（2-3字节）：源主机硬件地址的后2个字节； 目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；

防护arp攻击软件最终版-Antiarp安全软件

防护arp攻击软件最终版-Antiarp安全软件 使用方法： 1、填入网关IP地址，点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址. 2、IP地址冲突 如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。 3、您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下： 右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer 的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。 全中文界面，绿色不用安装 附件: [Antiarp安全软件] Antiarp.rar (2006-4-25 17:03, 353.06 K) 该附件被下载次数103 可惜传不上去。 解决ARP攻击一例 【故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行

科来网络分析系统ARP攻击解决方案

编号TS-08-0005 科来网络分析系统ARP攻击解决方案 版权所有 ? 2007 科来软件保留所有权利。 本文档属商业机密文件，所有内容均为科来软件国内技术支持部独立完成，属科来软件内部机密信息，未经科来软件做出明确书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。 汪已明 科来软件 电话：86-28-85120922 传真：86-28-85120911 网址：https://www.wendangku.net/doc/e25604311.html, 电子邮件：support@https://www.wendangku.net/doc/e25604311.html, 地址：成都市高新区九兴大道6号高发大厦B幢1F 版权所有　？　２００７　科来软件．　保留所有权利 第１页　共６页

方案背景 目前，由于政府、企业、高校以及电子商务的蓬勃发展，使得网络已经融入到社会的各个领域；与此同时，网络用户的多样化，直接导致了蠕虫病毒和网络攻击的持续增多。在这种情况下，快速排查网络攻击，保障网络的持续可靠运行，已日益成为与国家、政府、企事业和个人的利益休戚相关的“大事情”。 自2006年以来，ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐，从而导致近1年多的时间里，网络中的ARP攻击无处不在，各大论坛从未停止过ARP攻击的讨论，一些遭受过ARP攻击的用户甚至到了谈“ARP”色变的程度。 能否快速有效地排查ARP攻击，将直接导致网络的运行是否正常，其意义十分重大。接下来我们就详细地来看如何排查并预防ARP攻击。 ARP协议工作原理 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作OSI参考模型的第2层（数据链路层），用于查找IP地址所对应物理网卡的MAC地址。 正常情况下，ARP协议的工作原理如下： 1.所有主机都在自己的缓冲区中建立一个IP地址和MAC地址的对应关系表，我们 称这个表为ARP表。 2.源主机需要发送一个数据包到目的主机时，首先检查自己的ARP表中是否存在该 目的IP地址对应的MAC地址，如果有，就将数据包发送到这个MAC地址所对应 的网卡；如果没有，就向本地网段中除自己以外的所有主机发起一个ARP请求广 播，以查询目的主机所对的MAC地址。 3.网络中的所有主机收到这个ARP请求后，都会检查数据包中的目的IP是否和自己 的IP地址一致。如果不相同，就丢弃该数据包；如果相同，该主机首先将源主机 的IP地址和MAC地址添加到自己的ARP表（ARP表中如果已经存在该IP的信 息，则将其覆盖），然后给源主机发送一个 ARP响应数据包，告诉对方自己是它 需要查找的MAC地址； 4.源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添 加到自己的ARP表，并同时将数据包发往目的主机所对应的网卡。 从上述的过程可知，正常情况下的ARP工作流程是一个请求，一个应答。 ARP攻击原理 根据攻击的严重程度，ARP攻击可以分为三种：ARP扫描、ARP中间人攻击和ARP 断网攻击。 版权所有　？　２００７　科来软件．　保留所有权利 第２页　共６页

彻底解决局域网内ARP攻击的设置方法

彻底解决局域网内ARP攻击的设置方法 最常见的局域网安全问题就是ARP攻击了，相信百分五十以上的局域网用户都受到过ARP攻击，这种攻击方法非常不好防治，所以普通的局域网用户都不清楚怎么彻底解决ARP攻击问题。如果你用路由器设置了局域网，请看以下如何彻底解决局域网内ARP攻击的设置方法。 一、彻底解决ARP攻击 事实上，由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目标，当ARP攻击包已经达到路由器的时候，影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计，并不能很好的解决问题。 我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心”――交换机下手。由于任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机据收非法的ARP包，哪么ARP攻击就不能造成任何影响。 我们提出一个真正严密的防止ARP攻击的方案，就是在每台接入交换机上面实现ARP绑定，并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户，在局域网内完全消除了ARP攻击。 因为需要每台交换机都具有ARP绑定和相关的安全功能，这样的方案无疑价格是昂贵的，所以我们提供了一个折衷方案。 二、一般ARP攻击的解决方法 现在最常用的基本对治方法是“ARP双向绑定”。 由于ARP攻击往往不是病毒造成的，而是合法运行的程序(外挂、网页)造成的，所杀毒软件多数时候束手无策。 所谓“双向绑定”，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。 “ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功;如果攻击手段不剧烈，也欺骗不了路由器，这样我们就能够防住50%ARP 攻击。 但是现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，仍然很容易出现掉线。 于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理是：当网内受到错误的ARP广播包攻击时，路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题----当ARP攻击很频密的时候，就需要路由器发送更频密的正确包去消除影响。虽然不掉线了，但是却出现了上网“卡”的问题。 所以，我们认为，依靠路由器实现“ARP攻击主动防御”，也只能够解决80%的问题。

如何有效的防止ARP攻击

ARP欺骗和攻击问题，是企业网络的心腹大患。关于这个问题的讨论已经很深入了，对ARP攻击的机理了解的很透彻，各种防范措施也层出不穷。 但问题是，现在真正摆脱ARP问题困扰了吗？从用户那里了解到，虽然尝试过各种方法，但这个问题并没有根本解决。原因就在于，目前很多种ARP防范措施，一是解决措施的防范能力有限，并不是最根本的办法。二是对网络管理约束很大，不方便不实用，不具备可操作性。三是某些措施对网络传输的效能有损失，网速变慢，带宽浪费，也不可取。 本文通过具体分析一下普遍流行的四种防范ARP措施，去了解为什么ARP问题始终不能根治。 上篇：四种常见防范ARP措施的分析 一、双绑措施 双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。 但双绑的缺陷在于3点：

1、 在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP –d命令，就可以使静态绑定完全失效。 2、 在路由器上做IP-MAC表的绑定工作，费时费力，是一项繁琐的维护工作。换个网卡或更换IP，都需要重新配置路由。对于流动性电脑，这个需要随时进行的绑定工作，是网络维护的巨大负担，网管员几乎无法完成。 3、 双绑只是让网络的两端电脑和路由不接收相关ARP信息，但是大量的ARP攻击数据还是能发出，还要在内网传输，大幅降低内网传输效率，依然会出现问题。 因此，虽然双绑曾经是ARP防范的基础措施，但因为防范能力有限，管理太麻烦，现在它的效果越来越有限了。 二、ARP个人防火墙 在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。 ARP个人防火墙也有很大缺陷：

防止ARP攻击和IP地址冲突的方法

依照上述理论分析，笔者打算先将局域网中默认网关地址 10.168.163.1绑定到对应的物理地址上，这样可以有效控制局域网中ARP病毒的爆发;之后再想办法对已经上网工作站的IP地址执行绑定操作，最后将那些处于空闲状态的IP地址集中绑定到一个虚拟的网卡物理地址上，如此一来就能实现一石二鸟的效果了。 在绑定网关地址时，笔者先是以系统管理员身份登录进入QuidWay S8500系列路由交换机后台管理系统，在该系统的命令行状态执字符串命令“system”，将系统切换到交换配置全局状态;下面在该全局配置状态下，输入字符串命令“arp 10.168.163.1 0215.9cae.1156 arpa”，单击回车键后，默认网关地址10.168.163.1就被成功绑定到 0215.9cae.1156MAC地址上了，其他工作站日后上网时如果抢用10.168.163.1地址时，就会出现无法上网的故障现象，如此一来整个局域网的运行稳定性就能得到保证了。 为了防止用户抢用其他IP地址，我们需要把已经上网的150个左右网络节点地址绑定起来;由于待绑定的地址数量比较多，单纯依靠手工方法获取每台工作站的网卡物理地址和IP地址，工作量将会十分巨大，为此笔者在交换机后台系统的全局配置状态下，执行“display arp”字符串命令，之后将显示出来的交换机ARP表中的内容复制拷贝到本地纪事本编辑窗口中，通过简单的编辑修改后，再将修改后的ARP表内容复制粘贴到交换机ARP表中，这样一来就能快速完成已上网工作站地址的绑定任务。

对于剩下100个左右的空闲IP地址，我们可以采用手工方法依次将每一个空闲的IP地址绑定到虚拟的MAC地址上，例如要将 10.168.163.156地址绑定到071e.33ea.8975上时，我们可以在交换机后台系统的全局配置状态下，执行字符串命令“arp 10.168.163.156 071e.33ea.8975 arpa”，之后我们再按同样的方法将其他空闲IP地址绑定到虚拟MAC地址071e.33ea.8975上。 完成上面的地址绑定任务后，任何用户都不能随意更改IP地址;倘若此时有新的用户需要使用空闲的10.168.163.156地址上网访问时，网络管理员可以按照下面的操作步骤，将10.168.163.156地址从绑定地址列表中释放出来： 首先在QuidWay S8500系列路由交换机后台管理系统执行“system”命令，将系统状态切换到全局配置状态，在该状态下输入字符串命令“display arp”，单击回车键后，从其后出现的ARP列表中检查一下10.168.163.156地址是否处于空闲状态，要是目标IP地址处于空闲状态，我们就能继续执行下面的释放步骤了： 其次输入字符串命令“no arp 10.168.163.156 071e.33ea.8975 arpa”，单击回车键后，目标IP地址10.168.163.156就从地址绑定列表中释放出来了; 下面将10.168.163.156地址告诉给需要上网的用户，让他将该IP 地址设置到对应工作站系统中，如此一来新增用户就能顺利地接入到单位局域网网络中了;

解决ARP欺骗和攻击的方法

什么是网络瓶颈？如何克服网络瓶颈对网络整体性能的影响？ 网络瓶颈指的是影响网络传输性能及稳定性的一些相关因素，如网络拓扑结构，网线，网卡，服务器配置，网络连接设备等，下面我们逐一加以简单分析： 1．组网前选择适当的网络拓扑结构是网络性能的重要保障，这里有两个原则应该把握：一是应把性能较高的设备放在数据交换的最高层，即交换机与集线器组成的网络，应把交换机放在第一层并连接服务器，二是尽可能减少网络的级数，如四个交换机级联不要分为四级，应把一个交换机做一级，另三个同时级联在第一级做为第二级； 2．网线的做法及质量也是影响网络性能的重要因素，对于100M设备(包括交换机，集线器和网卡)，要充分发挥设备的性能，应保证网线支持100M，具体是网线应是五类以上线且质量有保障，并严格按照100M网线标准(即568B和568A)做线； 3．网卡质量不过关或芯片老化也容易引起网络传输性能下降或工作不稳定，选择知名品牌可有很好的保障； 4．对某些如无盘网络，游戏网络等对服务器的数据交换频繁且大量的网络环境，服务器的硬件配置(主要是CPU处理速度，内存，硬盘，网卡)往往成为影响网络性能的最大瓶颈，提升网络性能须从此入手； 5．选择适当的网络连接设备(交换机和集线器)同样也是网络性能的重要保障，除选择知名品牌外，网络扩充导致性能下降时应考虑设备升级的必要性。 解决ARP欺骗和攻击的方法 在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验。 “又掉线了！！！”每当听到客户的抱怨声一片响起，网管员就坐立不安。其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。