教你使用ARP防火墙查杀ARP病毒防御措施

现在很多学校的校园网经常出现掉线、IP冲突、大面积断网等状况，这些问题的根源都是ARP欺骗攻击的结果。在没有ARP欺骗之前，数据流向是：网关<—>本机；ARP欺骗之后，数据流向是：网关<—>攻击者（“网管”）<—>本机，本机与网关之间的所有通讯数据都将流经攻击者（“网管”），“任人宰割”就难免了。

ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、网络畅通、通讯数据不受第三者控制，从而完美地解决问题。

使用ARP防火墙查杀ARP病毒的使用方法为：ARP拦截到本机外对的ARP攻击时，点击进入显示详细数据的页面， PID即发送攻击数据的进程ID号，双击此数据即可查看进程的详细信息。或者选中数据后右击，选择“查看进程详细信息”选项。

防御措施

ARP协议的安全漏洞来源于协议自身设计上的不足， ARP协议被设计成一种可信任协议，缺乏合法性验证手段。从网络管理的角度上分析，主要的防御方法有：

1．不要把你的网络安全信任关系建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上。主机的IP→MAC地址对应表手工维护，输入之后不再动态更新，显然可以避免ARP攻击，大多数三层交换机都支持这种方法。

2．设置静态ARP缓存。采用静态缓存，主机在与其他计算机通信时，只要在自己的静态缓存中根据对方IP地址找到相应的MAC地址，然后直接发送给对方。攻击者若向主机发送ARP应答，目标主机也不会刷新ARP缓存，从而避免了ARP欺骗的发生。

3．关闭ARP动态更新功能。除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。

4．使用ARP服务器。即指定局域网内部的一台机器作为ARP服务器，专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求。确保这台ARP服务器不被黑。

5．使用“proxy”代理IP的传输。

6．使用硬件屏蔽主机。设置好路由，确保IP地址能到达合法的路径（静态配置路由ARP条目）。注意，使用交换集线器和网桥无法阻止ARP欺骗。

7．管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。

8．管理员定期轮询，检查主机上的ARP缓存。

9．使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。