深入解析ARP欺騙攻擊防護(hù)之根本防護(hù)

ARP攻擊防制中，最好的方法是先踏踏實(shí)實(shí)把基本防制工作做好，才是根本解決的方法。由于市場上的解決方式眾多，我們無法一一加以說明優(yōu)劣，因此我們僅從ARP攻擊防制的基本思想來進(jìn)行解釋。我們認(rèn)為您如果能了解這個基本思想，就能自行判斷何種防制方式有效，也能了解為何雙向綁定是一個較全面又持久的解決方式。

針對ARP攻擊的防制，常見的方法，可以分為以下三種作法：

1、利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對照表，來達(dá)到防制的效果。

2、利用綁定方式，固定ARP對照表不受外來影響：通過固定正確的ARP對照表，來達(dá)到防制的效果。

3、舍棄ARP協(xié)議，采用其它尋址協(xié)議：不采用ARP作為傳送的機(jī)制，而另行使用其它協(xié)議例如PPPoE方式傳送。

以上三種方法中，前兩種方法較為常見，第三種方法由于變動較大，適用于技術(shù)能力較佳的應(yīng)用。下面針對ARP攻擊的根本防護(hù)加以說明。

不堅定的ARP協(xié)議

一般計算機(jī)中的原始的ARP協(xié)議，很像一個思想不堅定，容易被其它人影響的人，ARP欺騙/攻擊就是利用這個特性，誤導(dǎo)計算機(jī)作出錯誤的行為。ARP攻擊的原理，互聯(lián)網(wǎng)上很容易找到，這里不再覆述。原始的ARP協(xié)議運(yùn)作，會附在局域網(wǎng)接收的廣播包或是ARP詢問包，無條件覆蓋本機(jī)緩存中的ARP/MAC對照表。這個特性好比一個意志不堅定的人，聽了每一個人和他說話都信以為真，并立刻以最新聽到的信息作決定。

就像一個沒有計劃的快遞員，想要送信給"張三"，只在馬路上問"張三住那兒？"，并投遞給最近和他說"我就是！"或"張三住那間！"，來決定如何投遞一樣。在一個人人誠實(shí)的地方，快遞員的工作還是能切實(shí)地進(jìn)行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會帶來混亂了。

我們再回來看ARP攻擊和這個意志不堅定快遞員的關(guān)系。常見ARP攻擊對象有兩種，一是網(wǎng)絡(luò)網(wǎng)關(guān)，也就是路由器，二是局域網(wǎng)上的計算機(jī)，也就是一般用戶。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯誤的地址信息給快遞員，讓快遞員整個工作大亂，所有信件無法正常送達(dá)；而攻擊一般計算機(jī)就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機(jī)。

由于一般的計算機(jī)及路由器的ARP協(xié)議的意志都不堅定，因此只要有惡意計算機(jī)在局域網(wǎng)持續(xù)發(fā)出錯誤的ARP訊息，就會讓計算機(jī)及路由器信以為真，作出錯誤的傳送網(wǎng)絡(luò)包動作。一般的ARP就是以這樣的方式，造成網(wǎng)絡(luò)運(yùn)作不正常，達(dá)到盜取用戶密碼或破壞網(wǎng)絡(luò)運(yùn)作的目的。

現(xiàn)階段唯一解決方案----雙向綁定

以上以思想不堅定的快遞員情況，說明了常見的ARP攻擊防制方法。ARP攻擊利用的就是ARP協(xié)議的意志不堅，只有以培訓(xùn)的方式讓ARP協(xié)議的意志堅定，明白正確的工作方法，才能從根本解決問題。只是依賴頻繁的提醒快遞員正確的作事方法，但是沒有能從快遞員意志不堅的特點(diǎn)著手，就好像只管不教，最終大家都很累，但是效果仍有限。面對這種新興攻擊，取巧用省事的方式準(zhǔn)備，最后的結(jié)果可能是費(fèi)事又不管用，必須重新來過。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]