教你使用ARP防火牆查殺ARP病毒防禦措施

【賽迪網-IT技術報道】現在很多學校的校園網經常出現掉線、IP衝突、大面積斷網等狀況，這些問題的根源都是ARP欺騙攻擊的結果。在沒有ARP欺騙之前，資料流向是：網關<－>本機；ARP欺騙之後，資料流向是：網關<－>攻擊者（「網管」）<－>本機，本機與網關之間的所有通訊資料都將流經攻擊者（「網管」），「任人宰割」就難免了。

ARP防火牆通過在系統內核層攔截虛假ARP資料包以及主動通告網關本機正確的MAC地址，可以保障資料流向正確，不經過第三者，從而保證通訊資料安全、網絡暢通、通訊資料不受第三者控制，從而完美地解決問題。

使用ARP防火牆查殺ARP病毒的使用方法為：ARP攔截到本機外對的ARP攻擊時，點擊進入顯示詳細資料的頁面， PID即發送攻擊資料的進程ID號，雙擊此資料即可查看進程的詳細信息。或者選中資料後右擊，選擇「查看進程詳細信息」選項。

防禦措施

ARP協議的安全漏洞來源於協議自身設計上的不足， ARP協議被設計成一種可信任協議，缺乏合法性驗證手段。從網絡管理的角度上分析，主要的防禦方法有：

1．不要把你的網絡安全信任關係建立在IP基礎上或MAC基礎上，理想的關係應該建立在IP+MAC基礎上。主機的IP→MAC地址對應表手工維護，輸入之後不再動態更新，顯然可以避免ARP攻擊，大多數三層交換機都支持這種方法。

2．設置靜態ARP緩存。採用靜態緩存，主機在與其他計算機通信時，只要在自己的靜態緩存中根據對方IP地址找到相應的MAC地址，然後直接發送給對方。攻擊者若向主機發送ARP應答，目標主機也不會刷新ARP緩存，從而避免了ARP欺騙的發生。

3．關閉ARP動態更新功能。除非很有必要，否則停止使用ARP，將ARP作為永久條目保存在對應表中。

4．使用ARP伺服器。即指定局域網內部的一台機器作為ARP伺服器，專門保存並且維護可信範圍內的所有主機的IP地址與MAC地址映射記錄。該伺服器通過查閱自己緩存的靜態記錄並以被查詢主機的名義響應ARP局域網內部的請求。確保這台ARP伺服器不被黑。

5．使用「proxy」代理IP的傳輸。

6．使用硬體屏蔽主機。設置好路由，確保IP地址能到達合法的路徑（靜態配置路由ARP條目）。注意，使用交換集線器和網橋無法阻止ARP欺騙。

7．管理員定期用響應的IP包中獲得一個rarp請求，然後檢查ARP響應的真實性。

8．管理員定期輪詢，檢查主機上的ARP緩存。

9．使用防火牆連續監控網絡。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。

(