防止同网段arp 欺骗攻击配置案例

华为交换机防ARP攻击配置手册ARP防攻击配置下表列出了本章所包含的内容。

3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

●对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；●对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

图3-1 ARP地址欺骗攻击示意图如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A 的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1. 固定MAC地址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP 表项不被修改。

固定MAC有两种方式：Fixed-mac和Fixed-all。

●Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN 和端口信息进行修改。

这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的端口信息可以快速改变。

●Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。

这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

2. 主动确认（Send-ack）交换机收到一个涉及MAC地址修改的ARP报文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：●如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此ARP表项进行MAC地址修改；同样，ARP表项在新生成一分钟时间内，也不允许修改此ARP表项中的MAC地址；●如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请求报文，收到新用户的应答报文之后才修改ARP表项，使新用户成为合法用户。

防止arp欺骗木马病毒小案例一．Arp病毒简介近期，一种新的“ARP欺骗”木马病毒（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）在互联网上扩散，不少客户局域网中都已发现机器感染此病毒，表现为用户频繁断网、线路严重丢包，IE浏览器频繁出错以及一些常用软件出现故障等问题。

Arp欺骗原理要谈ARP欺骗，首先要说一下arp的运行机制，通常主机发送一个ip包之前，它要到自己的ARP缓存表中寻找是否有目标主机的IP地址，如果找到了，也就知道了目标主机的MAC地址，然后直接发送；如果没有找到，该主机就发送一个ARP广播包目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“xxx.xxx.xxx.xx1的MAC地址是什么？”ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"这样，主机A就知道了主机B的MAC地址，可以通信了。

同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，可以直接在ARP缓存表里查找。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

当我们设定一个目标进行ARP欺骗时，也就是设置一主机C捕获主机A发送给主机B 的通信数据包，如果C能够接收到A发送的数据包，那么第一步嗅探成功了。

但是主机A 并没有意识到主机B没有接受到主机A发送的数据包。

假如主机C进行ICMP重定向，那么他可以直接进行整个包的修改，捕获到主机A发送给主机B的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。

这样主机C就完成了ARP欺骗。

中毒现象当某台主机中了这类ARP欺骗的病毒/木马程序后，会不定期发送仿冒的ARP响应数据报文。

这种报文会欺骗所在网段的主机和交换机，让其他用户上网的流量必须经过病毒主机。

华为交换机防止仿冒网关 ARP 攻击配置实例作者：未知 文章来源：转贴 点击数：1059 更新时间：2007-7-3 16:27:00 二层交换机实现仿冒网关的 ARP 防攻击：一、组网需求：1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击二、组网图：图 1 二层交换机防 ARP 攻击组网S3552P 是三层设备， 其中 IP： 100.1.1.1 是所有 PC 的网关， S3552P 上的网关 MAC 地址为 000f-e200-3999。

PC-B 上装有 ARP 攻击软件。

现在需要对 S3026C_A 进行一些特殊配置，目的是过滤掉仿冒网关 IP 的 ARP 报文。

三、配置步骤对于二层交换机如 S3026C 等支持用户自定义 ACL(number 为 5000 到 5999)的交换机，可以配置 ACL 来进行 ARP 报文过滤。

全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉，其中斜体部分 64010101 是网关 IP 地 址 100.1.1.1 的 16 进制表示形式。

Rule1 允许通过网关发送的 ARP 报文，斜体部分为网关的 mac 地址 000f-e200-3999。

注意：配置 Rule 时的配置顺序，上述配置为先下发后生效的情况。

在 S3026C-A 系统视图下发 acl 规则：[S3026C-A] packet-filter user-group 5000这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文，其它主机都不能发送假冒网关的 arp 响应报文。

ARP欺骗攻击及防范研究摘要伴随着计算机网络的普及和通讯技术的迅猛发展，网络信息已逐步成为当今社会发展的重要资源。

网络互连一般采用TCP/IP 协议，由于网络及其协议的设计者，在设计之初只考虑了效率问题没有考虑网络安全的问题，所以几乎所有的网络协议都有漏洞，ARP 协议同样也存在着安全漏洞。

ARP 攻击在现今的网络中频频出现，轻者造成网络性能下降，重者造成网络不通或信息被盗。

因此有效的防范ARP 形式的网络攻击己成为确保网络畅通安全的必要条件。

本文分析了ARP 协议及其存在的漏洞，ARP 病毒的攻击原理和方式方法，对比了现有的检测、定位和防范方法的优缺点。

设计实现了一个检测、定位和防范ARP 病毒的系统。

能够有效的检测到交换的ARP 缓存表，通过对缓存中ARP 映射信息的分析，找出可能发生的欺骗或者谁是攻击者，通过远程设置交换机的ACL 等操作对检测到的危险进行处理，可以有效地对ARP 攻击进行防范和检测。

关键词：校园网，ARP 病毒，检测，定位，防范目录1 绪论 (1)1.1 研究背景与意义 (1)1.2 研究现状 (1)1.3 高校校园网特点及安全缺陷 (3)2 ARP 协议及相关理论基础 (4)2.1 ARP 协议的相关理论 (4)2.1.1 OSI 参考模型 (4)2.1.2 TCP/IP 参考模型 (5)2.2 ARP 协议概述 (6)2.2.1 ARP 缓存 (6)2.2.2 ARP 代理 (7)2.2.3 免费ARP (9)3 ARP 欺骗分析与测试 (10)3.1 ARP 欺骗原理 (10)3.2 常见的ARP 欺骗 (10)3.2.1 中间人欺骗 (10)3.2.2 IP 地址冲突 (11)3.2.3 一般主机欺骗 (11)3.4 ARP 测试程序—ARPTable (11)3.5 Windows 环境下的ARP 欺骗测试与分析 (12)3.5.1 IP 地址冲突的ARP 请求和应答实验 (12)3.5.2 假冒网关欺骗的ARP 请求和应答实验 (15)3.5.3 ARP 请求过程实验 (18)3.5.4 ARP 应答过程实验 (20)3.6 实验结果 (23)4 防御ARP 欺骗系统模型实验 (25)5 总结 (30)6 参考文献 (31)..1 绪论Internet 的迅速发展使得网络已伸入到社会生活的各个层面，给人们的工作、学习、生活带来了巨大的改变，效率得到了极大的提高，信息资源得到最大程度的共享。

H3C防ARP解决方案及配置ARP, 方案目录第1章防ARP攻击功能介绍 1-11.1 ARP攻击简介 1-11.2 ARP攻击防御 1-31.2.2 DHCP Snooping功能 1-31.2.3 ARP入侵检测功能 1-41.2.4 ARP报文限速功能 1-41.3 防ARP攻击配置指南 1-5第2章配置举例 2-12.1 组网需求 2-12.2 组网图 2-22.3 配置思路 2-22.4 配置步骤 2-32.5 注意事项 2-6防ARP攻击配置举例关键词：ARP、DHCP Snooping摘要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。

同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。

缩略语：ARP（Address Resolution Protocol，地址解析协议）MITM（Man-In-The-Middle，中间人攻击）第1章防ARP攻击功能介绍近来，许多校园网络都出现了ARP攻击现象。

严重者甚至造成大面积网络不能正常访问外网，学校深受其害。

H3C公司根据校园网ARP攻击的特点，给出了DHCP监控模式下的防ARP攻击解决方案，可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。

1.1 ARP攻击简介按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。

这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

校园网中，常见的ARP攻击有如下几中形式。

(1) 仿冒网关攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。

高手教你辨别ARP欺骗原理及防范被骗经常听到身边的朋友说，自己电脑的网络又被啥啥攻击了，经常有一些不道德的人用ARP欺骗软件攻击别人，让很多人掉线，甚至让整个网络都瘫痪。

针对这个问题，我们首先先来了解下它的攻击原理及欺骗原理，深受其害的朋友们赶紧来看看。

一，ARP欺骗的原理如下：假设这样一个网络，一个Hub接了3台机器HostA HostB HostC 其中A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC正常情况下C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 CC-CC-CC-CC-CC-CC dynamic现在假设HostB开始了罪恶的ARP欺骗：B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。

当A接收到B伪造的ARP应答，就会更新本地的ARP 缓存(A可不知道被伪造了)。

而且A不知道其实是从B发送过来的，A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址，没有和犯罪分子B相关的证据，哈哈，这样犯罪分子岂不乐死了。

现在A机器的ARP缓存更新了：C:\arp -aInterface: 192.168.10.1 on Interface 0x1000003Internet Address Physical Address Type192.168.10.3 DD-DD-DD-DD-DD-DD dynamic这可不是小事。

锐捷低端交换机防止ARP欺骗配置2008/09/24交换机型号:S3550,S2150,S2126，电脑IP地址为静态地址。

1.交换机地址绑定（address-bind）功能S2126#confS2126(config)# address-bind 172.16.40.101 0016.d390.6cc5----绑定ip地址为172.16.40.101 MAC地址为0016.d390.6cc5的主机让其使用网络S2126(config)#end ----退回特权模式S2126# wr ----保存配置(1. 如果修改ip或是MAC地址该主机则无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关(2. S21交换机的address-bind功能是防止Ip冲突，只有在交换机上绑定的才进行ip和MAC 的匹配，如果下边用户设置的ip地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。

(3.交换机对已经绑定的IP进行MAC检查，如果不相同，丢弃该帧；对没有绑定的不检查，并照样转发该报文,建议在核心层层使用.2. 交换机防主机欺骗用功能S2126#confS2126(config)# int g0/23----进入第23接口，准备在该接口绑定用户的MAC和ip地址S2126(config-if)#switchport port-security maximum 1设置最大mac地址绑定数量,适合该口下只接一台电脑.S2126(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-address 172.16.40.101 ----在23端口下绑定ip地址是172.16.40.101 MAC地址是0016.d390.6cc5的主机，确保该主机可以正常使用网络，如果该主机修改ip或者MAC地址则无法使用网络，可以添加多条来实现对接入主机的控制S2126(config-if)# switchport port-security ----开启端口安全功能S2126(config)#end ----退会特权模式S2126# wr ----保存配置注释：可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数，安全地址的个数跟交换机的硬件资源有关,建议在接入层上使用该项.3 防网关欺骗.S2126#confS2126(config)# int ran fa 0/1-24S2126(config)# anti-arp-spoofing ip 172.16.40.254 ------设置为网关IP地址. 过滤掉所有自称是该IP的ARP报文.4.过滤发伪造ARP包的某个MAC地址.S2126#confS2126(config-if)# mac-address-table filtering 0014.2a6e.7ff7 vlan 35.防止客户机改IP地址.S2126#confS2126(config-if)#arp 172.16.40.101 0016.d390.6cc5 arpa gi0/1------将IP地址与MAC地址绑定,生成静态ARP地址表.S2126(config-if)#exitS2126#sh arp172.16.40.101 - 0016.d390.6cc5 arpa VL2--------arp地址表显示为静态绑定.。

彻底解决局域网内ARP攻击的设置方法局域网（LAN）是指在相对较小范围内连接在一起的计算机和网络设备（如路由器、交换机等）。

在一个局域网中，通常存在着各种各样的威胁，包括ARP攻击。

ARP攻击（Address Resolution Protocol attack）是一种常见的网络安全威胁，该攻击利用ARP协议中的漏洞，冒充合法设备，并发送欺骗性ARP响应，以获取受害者的信息。

因此，彻底解决局域网内的ARP攻击非常重要。

解决局域网内ARP攻击的设置方法如下：1.使用静态ARP绑定：静态ARP绑定是一种将IP地址和物理地址（MAC地址）固定绑定在一起的方法。

通过在路由器或交换机上设置静态ARP绑定，可以防止攻击者通过伪造IP地址来进行ARP攻击。

管理员需要将每一个设备的IP地址和物理地址进行匹配，并手动添加到路由器或交换机的ARP表中。

2.启用ARP检测和防御机制：现代网络设备通常提供了一些ARP检测和防御机制，可以通过启用这些功能来防止ARP攻击。

例如，一些设备支持ARP检测以及对异常ARP流量的过滤和阻止。

管理员可以查看设备文档并按照说明启用这些功能。

3.使用虚拟局域网（VLAN）进行隔离：VLAN是一种将不同的设备隔离在不同的逻辑网络中的方法。

通过将设备划分为不同的VLAN，可以减少ARP攻击在局域网内的传播范围。

攻击者只能影响同一VLAN中的设备，而无法影响其他VLAN中的设备。

4.使用网络流量监控工具：网络流量监控工具可以帮助管理员及时发现和定位ARP攻击。

通过监控网络流量，管理员可以识别异常的ARP响应，并迅速采取措施进行阻止和防御。

5.更新网络设备的固件和软件：网络设备的固件和软件更新通常会修复已知的安全漏洞，包括与ARP攻击相关的漏洞。

因此，及时更新网络设备的固件和软件是保护局域网安全的一种重要措施。

6.加强网络设备的物理安全：ARP攻击也可以通过物理访问网络设备进行实施。

因此，加强网络设备的物理安全非常重要。

新疆机电职业技术学院计算机系毕业论文题目：局域网ARP攻击及防范专业：计算机网络技术年级：高计算机10班学生姓名：王文瑞学号：20101898指导教师：李欣2012年12月12日局域网ARP攻击及防范摘要：ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。

此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。

目前，ARP欺骗是黑客常用的攻击手段之一，且ARP欺骗攻击的后果一般都是比较非常严重的，大多数情况下会造成大面积掉线。

有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。

而且如果第一种ARP 欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。

为此，宽带路由器被认为是“罪魁祸首”，而事实并非如此。

鉴于此，本文将论述ARP地址解析协议的含义和工作原理，分析了ARP协议所存在的安全漏洞，分析网段内和跨网段ARP欺骗的实现过程。

最后，结合网络管理的实际工作，介绍IP地址和MAC地址绑定、交换机端口和MAC 地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略。

最后通过使用文中介绍安全防范策略成功阻止P2P终结者、Arpkiller等ARP攻击软件的攻击验证了该安全策略的有效性。

关键词：ARP协议IP地址局域网MAC地址网络安全LAN ARP attack and protectionAbstract:ARP attack,which is based on Ethernet addresses analytical protocol (ARP)an attack technology.This attack may let the attacker has a local-area network packets of data or even tamper with the packet,and allows network on specific computer or all computer cannot normal connection.At present,the ARP deception is hackers commonly used attack means one,and the consequences of ARP deception attack is usually compare very serious,in most circumstances will caused extensive calls.Some network administrator are not well understood,malfunction,think PC no problem,switches didn't dropped"skill",telecom does not acknowledge broadband fault.And if the first kind of ARP deception occurs,as long as the restart router, the network can fully recover,that problem must be on a router.Therefore,broadband router is considered"the chief culprit",but this is not the case.In view of this, this article will be discussed the meaning of ARP address analytical protocol and working principle,analyzes the existing ARP agreement security vulnerabilities, analyzing network segment within and across the network segment the realization process of ARP deception.Finally,combined with the practical work of network management,introduces the IP address and MAC address binding,switch port and MAC address binding,as well as several vlans isolation technology can effectively defense ARP deception attack security preventive strategy.Finally through the use of introduced safety preventive strategy prevented P2P terminator,Arpkiller etc ARP attack software attack verified the effectiveness of the security strategy. Keyords:ARP agreement IP address Bureau area net MAC address Networksecurity目录引言 (2)第一章.ARP协议简介 (2)第二章.ARP协议的工作原理 (3)第三章.分析ARP协议存在的安全漏洞 (5)一、分析ARP协议存在的安全漏洞 (5)二、ARP欺骗检测方法 (5)(一)主机级检测方法 (5)(二)网络级检测方法 (5)第四章.ARP欺骗攻击的实现过程 (6)一、通过路由器实现VLAN间的通信 (6)二、公司网络实现vlan间通信 (6)第五章.ARP攻击简介 (6)一、仿冒网关 (7)二、欺骗网关 (7)三、欺骗终端用户 (7)四、“中间人”攻击 (8)五、ARP报文泛洪攻击 (8)第六章.攻击安全防范策略 (8)一、DHCP Snooping功能 (9)二、IP静态绑定功能 (9)三、ARP入侵检测功能 (9)四、ARP报文限速功能 (10)五、CAMS下发网关配置功能 (10)第七章.ARP攻击防御配置举例 (11)一、DHCP监控模式下的ARP攻击防御配置举例 (11)(一)组网需求 (11)(二)组网图 (11)(三)配置思路 (12)(四)配置步骤 (12)(五)注意事项 (15)二、认证模式下的ARP攻击防御配置举例 (15)(一)组网需求 (15)(二)组网图 (16)(三)配置思路 (16)(四)配置步骤 (16)(五)注意事项 (27)第八章.结论 (27)[参考文献] (28)致谢 (28)引言在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。

华为交换机防止同网段ARP欺骗攻击配置案例1阻止仿冒网关IP的arp攻击1.1 二层交换机实现防攻击1.1.1 配置组网图1二层交换机防ARP攻击组网S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999。

PC-B上装有ARP攻击软件。

现在需要对S3026_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。

1.1.2 配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。

全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。

Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。

注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。

在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。

1.2 三层交换机实现防攻击1.2.1 配置组网图2 三层交换机防ARP攻击组网1.2.2 防攻击配置举例对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL规则，配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体部分64010105是网关IP 地址100.1.1.5的16进制表示形式。

博达交换机ARP欺骗和攻击的防范1、概述1.1 ARP攻击日益严重近来，ARP欺骗和攻击问题日渐突出，尤其是在校园网这种大型网络。

严重者甚至造成大面积网络不能正常访问外网，学校和类似学校的大型网络是深受其害。

根据ARP欺骗和攻击的特点，本文给出了有效的防ARP欺骗和攻击解决方案。

要解决ARP欺骗和攻击问题，首先必须了解ARP欺骗和攻击的类型和原理，以便于更好的防范和避免ARP欺骗和攻击的带来的危害。

1.2 ARP协议的工作原理ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。

以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下：1、如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B 的ARP表项。

如果没有，则进行下面的步骤：2、A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址;3、本局域网上的所有主机都会收到该ARP请求;4、所有收到ARP请求的主机都学习到了A所对应的ARP表项;如果B收到该请求，则发送一个ARP应答给A,告知A自己的MAC地址，其他主机收到A的ARP请求后，发现其目的IP地址不是自己，则会丢弃，但会保存主机A的ARP信息，以便后续通信;5、主机A收到B的ARP应答后,会在自己的ARP缓存中写入主机B的ARP表项.如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。

但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。

导致在ARP协议中没有认证的机制，从而导致针对ARP协议的欺骗攻击非常容易。

1.3 ARP欺骗和攻击的类型目前ARP欺骗和攻击中有如下三种类型。

我们根据影响范围和出现频率分别介绍如下：1.3.1 网关冒充ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。

这种攻击形式在校园网中非常常见。

静态IP防ARP欺骗配置：一、启用arp-check的功能在全局配置模式下开启ARP-CHECK功能S2126G-2(config)#port-security arp-check二、启用anti-arp-spoofing功能S2126G-2(config-if)#anti-ARP-Spoofing ip 网关地址三、启用端口安全并手动绑定IP与MACS2126G-2(config)#int f 0/3 //进入接口3S2126G-2(config-if)#switchport port-security //启用端口安全S2126G-2(config-if)#switchport port-security mac-address 4444.4444.4444 ip-address 192.168.44.55 //在接口下绑定PC的IP与MACS2126G-2(config-if)# switchport port-security maximum 1 //设置此端口最多学习1个MAC 地址，那么此接口不会再去学习其它的MAC地址了。

注：若此接口增加PC。

必须在交换机的对应接口上将IP与MAC绑定一下。

例如：PC的IP：192.168.44.57 MAC：2222.2222.2222S2126G-2(config)#int f 0/3S2126G-2(config-if)#switchport port-security maximum 2 // 将最大学习MAC地址的值改设为2，否则将无法绑定新机器S2126G-2(config-if)#switchport port-security mac-address 2222.2222.2222 ip-address 192.168.44.57配置文件如下：Building configuration...Current configuration : 451 bytes!version 1.0!hostname S2126G-2vlan 1!port-security arp-checkinterface fastEthernet 0/3Anti-ARP-Spoofing ip 192.168.44.1switchport port-securityswitchport port-security maximum 2switchport port-security mac-address 4444.4444.4444 ip-address 192.168.44.55switchport port-security mac-address 2222.2222.2222 ip-address 192.168.44.57 !endSwitch#动态IP防ARP欺骗配置：一、启用arp-check的功能在全局配置模式下开启ARP-CHECK功能S2126G-2(config)#port-security arp-check二、启用DHCP中继S2126G-2(config)#service dhcpS2126G-2(config)#ip helper-address 192.168.44.5三、启用端口安全S2126G-2(config)#int f 0/3S2126G-2(config-if)#switchport port-security四、启用端口自动绑定功能S2126G-2(config-if)#service dhcp address-bind port配置文件如下：S2126G-2#sh ruSystem software version : 1.68 Build Apr 25 2007 ReleaseBuilding configuration...Current configuration : 195 bytes!version 1.0!hostname S2126G-2vlan 1!port-security arp-checkservice dhcpservice dhcp address-bind portip helper-address 192.168.44.5interface fastEthernet 0/5switchport port-security。

arptables 规则示例arptables是一种用于管理Linux系统中的ARP（地址解析协议）的工具。

通过arptables规则，我们可以实现对ARP数据包的过滤、转发和修改等操作。

本文将介绍一些常见的arptables规则示例，以帮助读者更好地理解和使用arptables。

一、禁止ARP欺骗攻击ARP欺骗攻击是一种常见的网络安全威胁，攻击者通过伪造ARP响应包来篡改目标主机的ARP缓存表，从而实现中间人攻击。

为了防止ARP欺骗攻击，可以使用arptables规则来过滤伪造的ARP响应包。

示例1：禁止伪造的ARP响应包```basharptables -A INPUT -p arp --opcode 2 -j DROP```解析：该规则将匹配所有ARP响应包，并且操作码为2（ARP响应）的数据包将被丢弃。

二、允许指定IP地址的访问有时候我们需要限制某些特定的IP地址才能访问我们的系统，可以使用arptables规则来实现这一目的。

示例2：允许指定IP地址的访问```basharptables -A INPUT -s 192.168.1.100 -j ACCEPT```解析：该规则将允许源IP地址为192.168.1.100的数据包通过。

三、阻止指定IP地址的访问与上一个示例相反，有时候我们希望阻止某些特定的IP地址访问我们的系统，同样可以使用arptables规则来实现。

示例3：阻止指定IP地址的访问```basharptables -A INPUT -s 192.168.1.200 -j DROP```解析：该规则将阻止源IP地址为192.168.1.200的数据包通过。

四、转发ARP数据包有时候我们希望将某些特定的ARP数据包转发到指定的目标主机，可以使用arptables规则来实现。

示例4：转发ARP数据包```basharptables -A FORWARD -d 192.168.1.100 -j ACCEPT```解析：该规则将允许目标IP地址为192.168.1.100的数据包通过。

用抓包的方法解决ARP病毒欺骗攻击实例对于ARP攻击，一般常规办法是很难找出和判断的，需要抓包分析。

通过抓取网络的所有数据进行分析我得出了分析结果：诊断视图提示有太多“ARP无请求应答”。

现在基本确定为ARP 欺骗攻击……AD：51CTO推荐：ARP攻击防范与解决方案最近网络中有主机频繁断线，刚刚开始还比较正常，但是一段时间后就出现断线情况，有时很快恢复，但是有时要长达好几分钟啊，这样对工作影响太大了。

最初怀疑是否是物理上的错误，总之从最容易下手的东西开始检查，检查完毕后没有发现异常！突然想到目前网上比较流行的ARP攻击，ARP攻击出现的故障情况与此非常之相似！对于ARP攻击，一般常规办法是很难找出和判断的，需要抓包分析。

1.原理知识在解决问题之前，我们先了解下ARP的相关原理知识。

ARP原理：首先，每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。

当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP 列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。

此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。

如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。

如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。