ARP安全的简单分析及防御手段

　　今天，小编和大家来讲讲ARP安全的问题。

　　一、什么是ARP？

　　ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。另有电子防翻滚系统也称为ARP。

　　（另外，还有RARP：逆地址解析协议）

　　所谓“知其然才能知其所以然”，知道了什么是ARP，我们还需要知道ARP攻击的原理是什么

　　二、ARP攻击原理

　　假设局域网中有一下四台主机。

　　当A发广播问道：“我想知道IP是192.168.0.3的硬件地址是多少？”

　　这时B就会回话：“我是IP192.168.0.3，我的硬件地址是mac-b”

　　可是此时IP地址是192.168.0.4的C也非法回了：“我是IP192.168.0.3,我的硬件地址是mac-c，”而这样的回复是大量的。

　　所以A就会误信192.168.0.3的硬件地址是mac-c，而且动态更新缓存表。这样主机C就劫持了主机A发送给主机B的数据，这就是ARP欺骗的过程。

　　假如C直接冒充网关，此时主机C会不停的发送ARP欺骗广播，大声说：“我的ＩＰ是１９２.１６８.０.１，我的硬件地址是ｍａｃ－ｃ。”此时局域网内所有主机都被欺骗，更改自己的缓存表，此时Ｃ将会监听到整个局域网发送给互联网的数据报。

　　如果你的电脑真的被ARP病毒攻击，，那么“临床表现”就是

　　1、网页打开的速度很慢，有时甚至是打不开；

　　2、提示IP地址冲突；

　　3、某一区域不能上网或者时断时续；

　　4、不段弹出“本机0-255段硬件地址和网络中0-255网段的硬件地址发生冲突”的对话框等。

　　讲了这么多，小编想，大家也是最想知道的是怎么防御的吧~

　　1、ARP双向绑定

　　1）、在pc端上IP+mac绑定；

　　2）、在网络设备（交换路由）上采用ip+mac+端口绑定

　　3）、网关也进行IP和mac的静态绑定

　　2、采用支持ARP过滤的防火墙

　　3、建立DHCP服务器

　　ARP攻击一般先攻击网关，将DHCP服务器建立在网关上

　　4、划分安全区域

　　ARP广播包是不能跨子网或网段传播的，网段可以隔离广播包。VLAN就是一个逻辑广播域，通过VLAN技术可以在局域网中创建多个子网，就在局域网中隔离了广播、缩小感染范围。但是，安全域划分太细会使局域网的管理和资源共享不方便。