arp攻击的危害_网络攻击ARP的真实案例

遭受ARP攻击后现象征集

什么是ARP协议:

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

如何查看ARP缓存表:

ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“arp -a”就可以查看ARP缓存表中的内容了。

用“arp -d”命令可以删除ARP表中某一行的内容；用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

ARP协议的工作原理:

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

ARP欺骗:

其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。

显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。

arp -a [inet_addr] [-N [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

参数

-a

通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr，则只显示指定计算机的 IP 和物理地址。

-g

与 -a 相同。

inet_addr

以加点的十进制标记指定 IP 地址。

-N

显示由 if_addr 指定的网络界面 ARP 项。

if_addr

指定需要修改其地址转换表接口的 IP 地址（如果有的话）。如果不存在，将使用第一个可适用的接口。

-d

删除由 inet_addr 指定的项。

-s

在 ARP 缓存中添加项，将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的，即在超时到期后项自动从缓存删除。

ether_addr

指定物理地址。

arp病毒攻击有哪些典型现象

ARP欺骗木马影响严重，只需成功感染一台计算机，就可能导致整个局域网无法上网，严重的甚至导致整个网络瘫痪。

一、感染ARP欺骗木马现象：

该病毒主要通过ARP（地址解析协议）欺骗实施攻击和破坏行为，中毒现象表现为以下几点：

1． 使用校园网时会突然掉线，过一段时间后又恢复正常。

2． 用户频繁断网，IE浏览器频繁出错。

3． 一些常用软件出现故障。

4． 使用身份认证上网的用户，出现能够通过认证，但是无法上网的情况。

二、检测是否感染ARP欺骗木马方法：

1． 同时按住键盘上的“Ctrl＋Alt＋Del”键，选择“任务管理器”，选中“进程标签”，查看其中是否有一个名为“MIR0.dat”的进程。如果有，说明已经中毒。右键点击该进程后，选择“结束进程”。

2． 如果用户发现无法上网，可以通过如下方法验证是否中此木马病毒：

1）点“开始”－“运行”，输入cmd，再输入arp －d，回车。

2）重新尝试上网，如能短暂正常访问，则说明此次断网是受木马病毒影响。

三、目前有以下几种办法手动解决：

1． 检查是否存在“MIR0.dat”进程，如有，则结束它。

2． 清空arp缓存表。点“开始”－“运行”，输入cmd，再输入arp －d，回车。

3． 禁用网卡后，然后再次重新启动网卡。

四、 使用Anti ARP Sniffer软件保护本地计算机正常运行。

1． 下载：点击下载Anti ARP Sniffer

2． 使用说明（如图所示）：

1） 在“网关地址”处，输入本网段的网关地址。

2） 点击“枚取MAC地址”，自动获取网关MAC地址。

3） 点击“自动保护”即可。

当前利用ARP协议的网络攻击有哪些？并给出相应的解决方案

arp攻击一般有两种：对内网用户以及对路由器。

对付直接攻击你机器的方法可以直接安装ARP防火墙（如360安全卫士‘其实应该有比360更好的ARP防火墙’）

而对于攻击路由器的解决办法是绑定IP和MAC地址，欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。

绑定方法：

对每台主机进行IP和MAC地址静态绑定。

通过CMD命令，arp -s可以实现 “arp –s IP MAC地址 ”。

具体：

arp -d（删除原来的，假设已被攻击）

arp -s xxx.xxx.xxx.xxx(网管的ip地址) xx-xx-xx-xx-xx-xx(网管的实际mac地址)

例如：“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。

如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示：

Internet Address Physical Address Type

192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)

一般不绑定,在动态的情况下：

Internet Address Physical Address Type

192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)

以上是绑定你对于路由器的，还要绑定路由器对你的（路由器设置中有，其实360显示的攻击地址极可能是假的，因为这个是攻击者设置的，没有人会傻到填写真实的IP的）具体如果不清楚的话建议你去搜索一下ARP的攻击原理，这样有助于你理解防护方法。

我随便搜了一下：ht tp://tieba.baidu.com/f?kz=361138214

你看一下吧。