浅谈ARP攻击的原因及解决方案

龙源期刊网 http://www.qikan.com.cn

浅谈ARP攻击的原因及解决方案

作者：马和军 李志

来源：《数字技术与应用》2011年第10期

摘要：本文就常见的网吧及单位局域网用户的掉线原因进行了分析，并提出切实可行的解决方案。

关键词：ARP攻击 掉线 ARP绑定

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416(2011)10-0201-01

近期，公司很多网吧用户反映频繁掉线，现象为网吧内大部分计算机同时掉线，有时小部分计算机可以上网，重新启动网吧路由器或者计算机时可以正常上网，但短时间后又无法掉线。经过分析，引起网吧掉线的原因是ARP病毒引起，该病毒可以在局域网内发动ARP攻击，该病毒通过网络进行传播，主要感染具有系统漏洞的计算机，对直接使用公网地址、主机代理和路由器代理的网吧均会造成影响。该病毒发作的特征为，中毒的计算机会通过发送ARP报文的方式来伪造某台计算机的MAC地址，如伪造地址为计算机设置的网关服务器（主机代理或者路由器代理）的地址，那么对整个局域网都会造成影响。如该伪造地址为局域内其它计算机的MAC地址，那么会对该计算机上网造成影响。较常见的情况是后一种情况，有时也会出现第一种情况。 1、问题分析

(1)在网吧内部有问题的计算机上进入命令提示符模式下，用arp-a命令查看： C:\\WINDOWS\\system32>arp-a

Interface:192.168.100.193 on Interface 0x1000003 Internet Address Physical Address Type 192.168.100.1 00-e0-fc-56-78-69 dynamic 192.168.100.24 00-e0-fc-56-78-69 dynamic

可以看到在ARP表项中有两个IP地址为192.168.100.1和192.168.100.24对应的MAC地址完成相同，通过现场对计算机进行MAC查看，结果为 00-e0-fc-56-78-69为192.168.100.24的MAC地址，192.168.100.1的实际MAC地址为00-0e-fc-52-96-47，我们可以判定IP地址为192.168.100.24计算机就是感染病毒的计算机，该计算机伪造了192.168.100.1的MAC地址，