Question

ARP欺骗是什么？

怎么修复它？

Answer 1

ARP欺骗的种类　　ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 　　第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 　　一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。 　　arp欺骗－网络执法官的原理　　在网络执法官中，要想限制某台机器上网，只要点击"网卡"菜单中的"权限"，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择"权限"，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC，使其找不到网关真正的MAC地址，这样就可以禁止其上网。 　　局域网ARP欺骗的应对　　一、故障现象及原因分析　　情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者正常上网。　　情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。　　关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理　　二、故障诊断　　如果用户发现以上疑似情况，可以通过如下操作进行诊断：　　点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。　　注：arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。　　三、故障处理　　1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。　　2、被害者：(1)绑定网关mac地址。具体方法如下：　　1）首先，获得路由器的内网的MAC地址（例如网关地址10.10.75.254的MAC地址为0022aa0022aa）。2）编写一个批处理文件AntiArp.bat内容如下： @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中。这样开机时这个批处理就被执行了。　　(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。　　AntiArp软件会在提示框内出现病毒主机的MAC地址　　四，找出ARP病毒源　　第一招：使用Sniffer抓包　　在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送　　ARP　Request请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。　　第二招：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机

Answer 2

ARP欺骗分为二种，一种是对路由器ARP表的欺骗，另一种是对内网PC的网关欺骗。其原理为：
ARP协议是建立在信任局域网内所有节点的基础上，虽然高效但并不安全。ARP协议是一种无状态的协议，他不会检查自己是否发过请求，也不管应答是否合法，当接收到目标MAC地址是自己的ARP广播报文，都会接收并更新缓存，这就为ARP欺骗提供了可能。
由于局域网内的每台主机内都存有ARP Cache，ARP攻击者将发送大量的ARP欺骗报文以淹没正常的ARP报文，使得主机的ARP缓存表内记录假的MAC信息，从而达到ARP欺骗的目的。
其防范措施有：
通过双向IP-MAC绑定防范ARP欺骗：在客户机绑定网关IP-MAC，设置网关IP与MAC的静态映射。在网关上绑定客户机IP-MAC，使用支持IP/MAC绑定的网关设备，在网关设备中设置客户机的静态IP-MAC列表。这种方案可以抵御ARP欺骗，保证网络正常运行，但不能定位及清除ARP攻击源。
定位ARP攻击源：ARP欺骗发生时，在受到ARP欺骗的计算机命令提示符下输入“arp -a”, ARP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址，则为ARP攻击源的MAC地址，一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。
使用ARP防火墙：实际应用中多使用ARP防火墙软件抵御ARP欺骗。ARP防火墙通过在系统内核层拦截虚假ARP包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证数据通信安全和网络畅通。比较常用的有彩影ARP防火墙(AntiARP)、风云防火墙、金山ARP防火墙等。
VLAN和交换机端口绑定：通过划分VLAN 和交换机端口绑定来防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作 用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。
使用VLAN：只要你的PC和P2P终结者软件不在同一个VLAN里就可以。

Answer 3

是局域网的另一台电脑对你的攻击，你下载个360安全卫士，其中就有拦截这个的功能。

Answer 4

请查看百度百科的词条 http://baike.baidu.com/view/155386.html?tp=2_11ARP欺骗是一种行为或者说是一种手段，只能去防范，有专门针对ARP欺骗的防火墙