服务器怎么防止asp攻击

⑴ 如何解决内网ARP攻击

局域网ARP欺骗攻击的防范
安装金山贝壳ARP防火墙
http://www.beike.cn/arp.html
主要闪光点：
1.主动防御：主动向网关通告本机的真实地址（MAC地址），保障安全上网，不受ARP欺骗影响。
2.拦截IP地址冲突：在系统内核层拦截接收到的IP冲突数据包，避免本机因IP地址冲突造成掉线。
3.拦截外部ARP攻击：在系统内核层拦截接虚假的ARP数据包，保障本机对网络地址识别的正确性。
4.拦截对外ARP攻击：在系统内核层拦截本机对外的ARP攻击数据包，防止本机感染病毒/木马后成为攻击源。
5.安全模式：不响应除网关外的其它机器发送的ARP请求，达到隐身效果，避免受到ARP攻击。
6.查杀盗号木马：集成《贝壳木马专杀》查杀盗号木马功能，保护计算机不受木马/病毒的侵害。

⑵ 如何防止局域网内的电脑遭到其它电脑的ARP攻击在服务器那里怎么设置

局域网防ARP攻击不能从单机入手，应该从源头开始，如果局域网里电脑多，网管会累坏的。如果你用路由器，在路由器里进行设置，有些SOHO级的路由器里就有防火墙功能的，能设置防ARP攻击的，同时将局域网中的电脑的MAC地址与IP进行绑定，这样就可以了。我不知道你的服务器有否参与网络管理的，如果服务器上安装有那些网管软件的，如网路岗这类的，在这些软件里都有防ARP攻击的设置选项的。

⑶ 如何有效的防止ARP攻击

×

loading..

资讯
安全
论坛
下载
读书
程序开发
数据库
系统
网络
电子书
微信学院
站长学院
QQ
手机软件
考试

系统安全|
网站安全|
企业安全|
网络安全|
工具软件|
杀毒防毒|
加密解密|

首页 > 安全 > 网络安全 > 正文

如何有效的防止ARP攻击

2013-02-22

0 个评论

收藏

我要投稿

ARP欺骗和攻击问题，是企业网络的心腹大患。关于这个问题的讨论已经很深入了，对ARP攻击的机理了解的很透彻，各种防范措施也层出不穷。

但问题是，现在真正摆脱ARP问题困扰了吗？从用户那里了解到，虽然尝试过各种方法，但这个问题并没有根本解决。原因就在于，目前很多种ARP防范措施，一是解决措施的防范能力有限，并不是最根本的办法。二是对网络管理约束很大，不方便不实用，不具备可操作性。三是某些措施对网络传输的效能有损失，网速变慢，带宽浪费，也不可取。

本文通过具体分析一下普遍流行的四种防范ARP措施，去了解为什么ARP问题始终不能根治。

上篇：四种常见防范ARP措施的分析

一、双绑措施

双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。

但双绑的缺陷在于3点：

1、
在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP
–d命令，就可以使静态绑定完全失效。

2、
在路由器上做IP-MAC表的绑定工作，费时费力，是一项繁琐的维护工作。换个网卡或更换IP，都需要重新配置路由。对于流动性电脑，这个需要随时进行的绑定工作，是网络维护的巨大负担，网管员几乎无法完成。

3、
双绑只是让网络的两端电脑和路由不接收相关ARP信息，但是大量的ARP攻击数据还是能发出，还要在内网传输，大幅降低内网传输效率，依然会出现问题。

因此，虽然双绑曾经是ARP防范的基础措施，但因为防范能力有限，管理太麻烦，现在它的效果越来越有限了。

二、ARP个人防火墙

在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。

ARP个人防火墙也有很大缺陷：

1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗，有人在伪造网关，那么，ARP个人防火墙上来就会绑定这个错误的网关，这是具有极大风险的。即使配置中不默认而发出提示，缺乏网络知识的用户恐怕也无所适从。

2
、ARP是网络中的问题，ARP既能伪造网关，也能截获数据，是个“双头怪”。在个人终端上做ARP防范，而不管网关那端如何，这本身就不是一个完整的办法。ARP个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，ARP个人防火墙是无能为力的。

因此，ARP个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的措施，它是个人的，不是网络的。

三、VLAN和交换机端口绑定

通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。

不过，VLAN和交换机端口绑定的问题在于：

1、没有对网关的任何保护，不管如何细分VLAN，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪。

2、把每一台电脑都牢牢地固定在一个交换机端口上，这种管理太死板了。这根本不适合移动终端的使用，从办公室到会议室，这台电脑恐怕就无法上网了。在无线应用下，又怎么办呢？还是需要其他的办法。

3、实施交换机端口绑定，必定要全部采用高级的网管交换机、三层交换机，整个交换网络的造价大大提高。

因为交换网络本身就是无条件支持ARP操作的，就是它本身的漏洞造成了ARP攻击的可能，它上面的管理手段不是针对ARP的。因此，在现有的交换网络上实施ARP防范措施，属于以子之矛攻子之盾。而且操作维护复杂，基本上是个费力不讨好的事情。

四、PPPoE

网络下面给每一个用户分配一个帐号、密码，上网时必须通过PPPoE认证，这种方法也是防范ARP措施的一种。PPPoE拨号方式对封包进行了二次封装，使其具备了不受ARP欺骗影响的使用效果，很多人认为找到了解决ARP问题的终极方案。

问题主要集中在效率和实用性上面：

1、PPPoE需要对封包进行二次封装，在接入设备上再解封装，必然降低了网络传输效率，造成了带宽资源的浪费，要知道在路由等设备上添加PPPoE Server的处理效能和电信接入商的PPPoE Server可不是一个数量级的。

2、PPPoE方式下局域网间无法互访，在很多网络都有局域网内部的域控服务器、DNS服务器、邮件服务器、OA系统、资料共享、打印共享等等，需要局域网间相互通信的需求，而PPPoE方式使这一切都无法使用，是无法被接受的。

3、不使用PPPoE，在进行内网访问时，ARP的问题依然存在，什么都没有解决，网络的稳定性还是不行。

因此，PPPoE在技术上属于避开底层协议连接，眼不见心不烦，通过牺牲网络效率换取网络稳定。最不能接受的，就是网络只能上网用，内部其他的共享就不能在PPPoE下进行了。

通过对以上四种普遍的ARP防范方法的分析，我们可以看出，现有ARP防范措施都存在问题。这也就是ARP即使研究很久很透，但依然在实践中无法彻底解决的原因所在了。

⑷ 防范ARP攻击的最有效的方法是什么

1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。5、使用""proxy""代理IP的传输。6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。8、管理员定期轮询，检查主机上的ARP缓存。9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。最后建议你为了自己电脑的安全，使用火狐浏览器从此摆脱流氓插件，彻底杜绝木马病毒火狐浏览器推荐下载： http://hi..com/beiy/blog/item/96d4433b4b5ca7eb14cecb5e.html

⑸ 请问大家2003服务器，怎么才能禁止ARP攻击

2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。 3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、使用"proxy"代理IP的传输。 6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。 8、管理员定期轮询，检查主机上的ARP缓存。 9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。 【HiPER用户的解决方案】 建议用户采用双向绑定的方法解决并且防止ARP欺骗。 1、在PC上绑定路由器的IP和MAC地址： 1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。 2）编写一个批处理文件rarp.bat内容如下：@echo offarp -darp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 将这个批处理软件拖到“windows--开始--程序--启动”中。 3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and SettingsAll Users“开始”菜单程序启动”。 2、在路由器上绑定用户主机的IP和MAC地址（440以后的路由器软件版本支持）：

⑹ 如何防止ARP断网攻击

应该是服务器固定攻击了
首先通知网管对全网进行病毒扫描
然后自己登入服务器
安装冰盾杀毒软件，从设置中抢断135、136、4088、80、6625端口（有两个按钮、点高级；有端口设定，从中点阻止端口，并设置为高级别防御）
对于这种人，再度发动攻击就记录下它攻击IP，使用DOS反击；
他发动攻击肯定要通过或者绕过路由服务器的防火墙，通知网管卡断它，如果它还这样，上网下载带有恶意代码的数据包，用CMD不断发送数据包抢断卡爆它的端口；

以上为个人愤怒所为，勿学...
防御很简单，打开window系统墙，在远程设定上面取消可以远程协助、关闭来宾用户（避免限权提升）有瑞星防火墙的话，把攻击侦测调到最高，并且根据他的攻击规律设定防御方案。上服务端，把广播关掉，端口隐藏，反击什么的就免了，根据瑞星检测到的IP记录结果，通知网管，给他杀毒！
要不就直接下载卡巴斯基PUEN，监控端口，里面设定反击，把防御限权提高，然后就吃饭等他攻击吧~

⑺ 怎么才能预防ARP攻击什么防火墙最好

ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

常用的维护方法
搜索网上，目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。呵呵，我们来了解下这三种方法。
3.1 静态绑定
最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。
方法：
对每台主机进行IP和MAC地址静态绑定。
通过命令，arp -s可以实现 “arp –s IP MAC地址 ”。
例如：“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示：
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下：
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明：对于网络中有很多主机，500台，1000台...，如果我们这样每一台都去做静态绑定，工作量是非常大的。。。。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！
3.2 使用ARP防护软件
目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是欣向ARP工具，Antiarp等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1 欣向ARP工具
它有5个功能：
?
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。
?
B. ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解：
“Time”：发现问题时的时间；
“sender”：发送欺骗信息的IP或MAC；
“Repeat”：欺诈信息发送的次数；
“ARP info”：是指发送欺骗信息的具体内容.如下面例子：
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是：在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100％的准确。所有请不要以暴力解决某些问题。
?
C. 主动维护
这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50－100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定方法。
?
D. 欣向路由器日志
收集欣向路由器的系统日志，等功能。
?
E. 抓包
类似于网络分析软件的抓包，保存格式是.cap。
3.2.1 Antiarp
这个软件界面比较简单，以下为我收集该软件的使用方法。
A. 填入网关IP地址，点击［获取网关地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。
B. IP地址冲突
如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。
C. 您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3 具有ARP防护功能的路由器
这类路由器以前听说的很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。
遭受ARP攻击的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！
面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响。

⑻ 怎么有效拦截ARP攻击求解答

杜绝IP 地址盗用现象。如果是通过代理服务器上网：到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行*。如： ARP-s 192.16.10.400-EO-4C-6C-08-75。这样，就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了，即使别人盗用您的IP 地址，也无法通过代理服务器上网。如果是通过交换机连接，可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。
2、修改MAC地址，欺骗ARP欺骗技术
就是假冒MAC 地址，所以最稳妥的一个办法就是修改机器的MAC 地址，只要把MAC 地址改为别的，就可以欺骗过ARP 欺骗，从而达到突破封锁的目的。
3、使用ARP服务器
使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台ARP 服务器不被攻击。
4、交换机端口设置
(1)端口保护(类似于端口隔离)：ARP 欺骗技术需要交换机的两个端口直接通讯，端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯，需要通过转发才能相互通讯。
(2)数据过滤：如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤，根据预设条件，对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL，每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤，扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤，异词检查伪装MAC 地址的帧。
5、禁止网络接口做ARP 解析
在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击)，可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如： ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如：Unix ， NT 等，都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统，其静态ARP 表项不会被动态刷新，所以不需要“禁止相应网络接口做ARP 解析”，即可对抗ARP 欺骗攻击。
6、使用硬件屏蔽主机
设置好你的路由，确保IP 地址能到达合法的路径。( 静态配置路由ARP 条目)，注意，使用交换集线器和网桥无法阻止ARP 欺骗。
7、定期检查ARP缓存
管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下，ARP 的欺骗有可能导致陷阱包丢失。
技巧一则址的方法个人认为是不实用的，首先, 这样做会加大网络管理员的工作量，试想，如果校园网内有3000个用户，网络管理员就必须做3000 次端口绑定MAC 地址的操作，甚至更多。其次, 网络管理员应该比较清楚的是, 由于网络构建成本的原因，接入层交换机的性能是相对较弱的, 功能也相对单一一些, 对于让接入层交换机做地址绑定的工作，对于交换机性能的影响相当大, 从而影响网络数据的传输。
建议用户采用绑定网关地址的方法解决并且防止ARP 欺骗。
1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd。点击确定后将出现相关网络状态及连接信息, 然后在其中输入ipconfig/all，然后继续输入arp - a 可以查看网关的MAC 地址。
2) 编写一个批处理文件rarp.bat( 文件名可以任意) 内容如下:@echo offarp - darp - s 192.168.200.1 00- aa- 00- 62- c6- 09
将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。
3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。
4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:\Documents and Settings\All Users\“开始”菜单\ 程序\ 启动) 。
5) 最后重新启动一下电脑就可以。
静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。

⑼ 怎么有效拦截ARP攻击

1、*MAC和IP地址

杜绝IP 地址盗用现象。如果是通过代理服务器上网：到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行*。如： ARP-s 192.16.10.400-EO-4C-6C-08-75。这样，就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了，即使别人盗用您的IP 地址，也无法通过代理服务器上网。如果是通过交换机连接，可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。

2、修改MAC地址，欺骗ARP欺骗技术

就是假冒MAC 地址，所以最稳妥的一个办法就是修改机器的MAC 地址，只要把MAC 地址改为别的，就可以欺骗过ARP 欺骗，从而达到突破封锁的目的。

3、使用ARP服务器

使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台ARP 服务器不被攻击。

4、交换机端口设置

(1)端口保护(类似于端口隔离)：ARP 欺骗技术需要交换机的两个端口直接通讯，端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯，需要通过转发才能相互通讯。

(2)数据过滤：如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤，根据预设条件，对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL，每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤，扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤，异词检查伪装MAC 地址的帧。

5、禁止网络接口做ARP 解析

在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击)，可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如： ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如：Unix ， NT 等，都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统，其静态ARP 表项不会被动态刷新，所以不需要“禁止相应网络接口做ARP 解析”，即可对抗ARP 欺骗攻击。

6、使用硬件屏蔽主机

设置好你的路由，确保IP 地址能到达合法的路径。( 静态配置路由ARP 条目)，注意，使用交换集线器和网桥无法阻止ARP 欺骗。

7、定期检查ARP缓存

管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下，ARP 的欺骗有可能导致陷阱包丢失。

技巧一则

址的方法个人认为是不实用的，首先, 这样做会加大网络管理员的工作量，试想，如果校园网内有3000个用户，网络管理员就必须做3000 次端口绑定MAC 地址的操作，甚至更多。其次, 网络管理员应该比较清楚的是, 由于网络构建成本的原因，接入层交换机的性能是相对较弱的, 功能也相对单一一些, 对于让接入层交换机做地址绑定的工作，对于交换机性能的影响相当大, 从而影响网络数据的传输。

建议用户采用绑定网关地址的方法解决并且防止ARP 欺骗。

1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd。点击确定后将出现相关网络状态及连接信息, 然后在其中输入ipconfig/all，然后继续输入arp - a 可以查看网关的MAC 地址。

2) 编写一个批处理文件rarp.bat( 文件名可以任意) 内容如下:

@echo off

arp - d

arp - s 192.168.200.1 00- aa- 00- 62- c6- 09

将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。

3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。

4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:\Documents and Settings\All Users\“开始”菜单\ 程序\ 启动) 。

5) 最后重新启动一下电脑就可以。

静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。

在应对ARP 攻击的时候，除了利用上述的各种技术手段，还应该注意不要把网络安全信任关系建立在IP 基础上或MAC 基础上，最好设置静态的MAC->IP 对应表，不要让主机刷新你设定好的转换表，除非很有必要，否则停止使用ARP，将ARP 做为永久条目保存在对应表中。