ＡＲＰ欺骗及其防御方法_app欺骗的防御措施包括

　　近期以来，部分局域网流行一种ARP病毒，此种病毒发作时，会影响整个网段计算机的正常上网，出现同一网段的大面积断网断线，导致其他电脑不能与网络交换机进行信息通信，造成终端与交换机不能通信。
　　
　　一、ARP病毒出现时的特征
　　
　　要分析并解决ARP病毒，就必须了解ARP病毒出现时的特征。ARP病毒出现时，网络系统可能出现以下特征：
　　1．电脑虽然物理上连接到网络上，同时正确地配置了本网络的IP地址，但是并不能“ping”通直接相连的交换机；
　　2．察看ARP地址列表，其内容为空或者所有的地址都是“00-00-00-00-00-00”；
　　3．无法连接任何终端或服务器；
　　4．此时察看与之相连的交换机，发现ARP地址列表中和该IP对应的ARP地址均不是该台电脑的网卡物理地址。
　　
　　二、为什么会出现ARP病毒？
　　
　　在局域网中，终端通过ARP协议来完成数据的传输，传输的内容为帧。通过伪造IP地址和物理地址（MAC）地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞或者实现中间人攻击，进行ARP重定向和嗅探攻击。
　　在网络中，每个终端都有属于自己的MAC。当网络层的IP报文在向数据链路层传递数据时，会将IP报文打开，转换为ISO模型中的第二层协议ARP所构成的帧，此时的帧根据帧中所记录的目标地址进行数据传输。
　　为什么要将IP转化成MAC呢？这是因为，在TCP网络环境下，一个IP包走到哪里、要怎么走是靠路由表定义的。但是，当IP包到达该网络后，哪台机器响应这个IP包却是靠该IP包中所包含的MAC地址来识别的。在每台终端的内存中，都有一个“ARP→ MAC”的转换表，通常是动态的转换表（注意在路由中，该ARP表可以被设置成静态）。也就是说，该对应表会被终端在需要的时候刷新。这是由以太网在子网层上的传输是靠48位的MAC地址所决定的。
　　一般情况下，终端在发送一个IP包之前，它要到该转换表中寻找和IP包对应的MAC地址。如果没有找到，该终端就发送一个ARP广播包，看起来像这样子：“我们是终端xxx.xxx.xxx.xxx,MAC是xxxxxxxxxxx,IP为xxx.xxx.xxx.xx1的终端请告之你的MAC。”IP为xxx.xxx.xxx.xx1的终端响应这个广播，应答ARP广播为：“我们是xxx.xxx.xxx.xx1,我们的MAC为xxxxxxxxxx2。”于是，终端刷新自己的ARP缓存，然后发出该IP包。
　　那么，ARP欺骗是如何产生的呢？举个例子来说：一个入侵者想非法进入某台终端，他知道这台终端的防火墙只对192.168.0.1这个IP开放23口，而他必须要使用telnet来进入这台终端，所以要使用以下步骤来进入：
　　1．先研究192.168.0.1这台终端，发现对这台机器通过一个oob（传输层协议使用带外数据）就可以使其瘫痪；
　　2．于是，他送一个洪水包给192.168.0.1的139口，结果该机器应包瘫痪；
　　3．终端发到192.168.0.1的IP包将无法被机器应答，系统开始更新自己的ARP对应表，将192.168.0.1的项目擦去；
　　4．这段时间里，入侵者把自己的IP改成192.168.0.1；
　　5．他发一个ping(icmp 0)给终端，要求终端更新终端的ARP转换表；
　　6．终端找到该IP，然后在ARP表中加入新的“IP→MAC”的对应关系；
　　7．防火墙失效了，入侵的IP变成合法的MAC地址。
　　现在，假如该终端不只提供telnet，它还提供r命令（rsh,rcopy,rlogin等）那么，所有的安全约定将无效，入侵者可以放心地使用这台终端的资源而不用担心被记录什么。
　　上面就是一个ARP的欺骗过程，这是在一个网段发生的情况。需要注意的是，利用交换集线器或网桥是无法阻止ARP欺骗的，只有采用路由分段才是有效的阻止手段，也就是IP包必须经过路由转发。在有路由转发的情况下，ARP欺骗如果配合ICMP欺骗将对网络造成极大的危害。
　　事实上，ARP病毒正是使用了ARP欺骗的原理，使用木马的方式完成对各种终端、交换机的攻击。当局域网内某台终端运行ARP欺骗的木马程序时，会欺骗局域网内所有终端和核心交换机，让所有上网的流量必须经过病毒终端。其他用户原来直接通过核心交换机上网，现在转由通过病毒终端上网，切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包，导致局域网通信拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从核心交换机上网，切换过程中用户会再断一次线。
　　
　　三、预防ARP病毒的方法
　　
　　1.定位ARP攻击源头
　　主动定位方式：因为所有的ARP攻击源都会有其特征――网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。
　　被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域网中部署Sniffer工具，定位ARP攻击源的MAC。也可以直接Ping网关IP，完成Ping后，用“ARP -a”命令查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。
　　2.应用NBTSCAN
　　使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有“ARP攻击”在作怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
　　3.防御方法
　　(1)使用可防御ARP攻击的核心交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击；
　　(2)对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问；
　　(3)在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将提供病毒码文件，从而进行ARP病毒的防御。