自由手記

檢測ARP欺騙攻擊比較有效的方法主要有兩種，一種是在局域網內部使用抓包軟體進行抓
包分析、另一種是直接到到三層交換機上查詢ARP表，這兩種方法各有優缺點，具體分析如下：

1、抓包分析
方法——使用抓包軟體（如windump、sniffer pro等）在局域網內抓ARP的reply包，以windump為
例，使用windump -i 2 -n arp and host 192.168.0.1(192.168.0.1是您的閘道位址）抓下來
的包我們只分析包含有reply字元的，格式如下：
18:25:15.706335 arp reply 192.168.0.1 is-at 00:07:ec:e1:c8:c3
如果最後的mac不是您閘道的真實mac的話，那就說明有ARP欺騙存在，而這個mac就是那台進行
ARP欺騙主機的mac。

優點——簡單易行，無需特別許可權設置，所有使用者都可以做，誤判率較小！

缺點——必須在局域網內部（廣播域內部）聽包才有效。

2、三層交換機上查詢ARP緩存表
方法——登陸局域網的上聯三層交換機，並查看交換機的ARP緩存表（各種品牌的交換機命令有差異）
如果在ARP表中存在一個MAC對應多個埠（請注意是一個MAC對應多個埠，而不是一個埠上
存在多個MAC）的情況，那麼就表明存在ARP欺騙攻擊，而這個MAC就是欺騙主機的MAC。

優點——可以遠端操作，無需到局域網內部，可以通過腳本來自動分析。

缺點——需要特殊許可權，普通使用者無法進行操作。

ARP欺騙的控制方法

1、主機靜態繫結閘道MAC
方法——使用arp命令靜態繫結閘道MAC，格式如下：
arp －s 閘道IP 閘道MAC
如果覺得每次手動輸入比較複雜，您可以編寫一個簡單的批次檔然後讓它每次開機時自動運行，
批次檔如下：
-----------------------------------
@echo off
echo "arp set"
arp -d
arp －s 閘道IP 閘道MAC
exit
------------------------------------

優點——簡單易行，普通使用者都能操作

缺點——只能單向綁定。需要跟閘道綁定MAC結合使用。

2、閘道使用IP+MAC綁定模式
方法——交換機啟用靜態ARP綁定功能，將使用者的IP與MAC進行靜態繫結，防止ARP欺騙發生。

優點——效果明顯

缺點——操作複雜，工作量巨大。無法保證主機端不被欺騙，需要與主機端綁定閘道MAC結合使用。

3、使用ARP伺服器
方法——在局域網內架設ARP伺服器，替代主機應答ARP包。

優點——效果明顯

缺點——配置複雜，需要改變用戶端設置。成本高，需要大量的伺服器。

4、使用防ARP攻擊的軟體
方法——下載和使用防ARP攻擊的軟體，如ARPFix或者是AntiARP等。

優點——簡單易行

缺點——需要使用者端都安裝，無法保證閘道不被欺騙。

總結：因為ARP欺騙利用的是ARP協定本身的缺陷，所以到目前為止，我們依然沒有一個十分有效
的方法去控制這種攻擊。目前難點主要集中在閘道交換機上，我們還沒有找到一個很有效
的方法來防範閘道上的ARP清單不被欺騙修改。所以當前最有效的辦法還是迅速阻斷這種攻擊的來源。
這就要求能夠快速檢測到攻擊並定位出攻擊主機位置後加以處理。
[由 Microsoft® Translator 自動翻譯]