2005年底以來(lái),ARP攻擊在網(wǎng)吧企業(yè)泛濫,成為網(wǎng)絡(luò)安全的極大隱患，防治ARP攻擊成為當(dāng)前網(wǎng)絡(luò)安全的當(dāng)務(wù)之急。Netcore成立專(zhuān)門(mén)小組，通過(guò)深入研究、反復(fù)試驗(yàn)，歷時(shí)半年推出完善的ARP攻擊防治方案，徹底解決網(wǎng)吧、企業(yè)因ARP攻擊出現(xiàn)的掉線、卡機(jī)問(wèn)題。
ARP攻擊的原理和演化
對(duì)以太網(wǎng)有所認(rèn)識(shí)的人都知道，ARP表是每臺(tái)設(shè)備（電腦）的MAC地址和IP地址的關(guān)系對(duì)應(yīng)表。如果設(shè)備需要在局域網(wǎng)中利用TCP/IP協(xié)議進(jìn)行通信的話，必須有這樣一張ARP表。
ARP表是每臺(tái)設(shè)備（電腦）自行維護(hù)的，而ARP表的數(shù)據(jù)，是來(lái)自于開(kāi)放的“ARP廣播”機(jī)制，由每臺(tái)設(shè)備在網(wǎng)上廣播自己的IP/MAC地址的對(duì)應(yīng)關(guān)系來(lái)做到的。
這樣就存在一個(gè)很大的隱患，就是惡意程序可以利用這種開(kāi)放機(jī)制，發(fā)送錯(cuò)誤的IP/MAC地址對(duì)應(yīng)關(guān)系，達(dá)到特定的目的。
初期：ARP欺騙
這種有目的的發(fā)布錯(cuò)誤ARP廣播包的行為，被稱(chēng)為ARP欺騙。ARP欺騙，最初為黑客所用，成為黑客竊取網(wǎng)絡(luò)數(shù)據(jù)的主要手段。黑客通過(guò)發(fā)布錯(cuò)誤的ARP廣播包，阻斷正常通信，并將自己所用的電腦偽裝稱(chēng)別的電腦，這樣原本發(fā)往其他電腦的數(shù)據(jù)，就發(fā)到了黑客的電腦上，達(dá)到竊取數(shù)據(jù)的目的。
中期：ARP惡意攻擊
后來(lái)，有人利用這一原理，制作了一些所謂的“管理軟件”，例如網(wǎng)路剪刀手、執(zhí)法官、終結(jié)者等，這樣就導(dǎo)致了ARP惡意攻擊的泛濫。往往使用這種軟件的人，以惡意破壞為目的，多是為了讓別人斷線，逞一時(shí)之快。
特別是在網(wǎng)吧中，或者因?yàn)樯虡I(yè)競(jìng)爭(zhēng)的目的、或者因?yàn)閭€(gè)人無(wú)聊泄憤，造成惡意ARP攻擊泛濫。
隨著網(wǎng)吧經(jīng)營(yíng)者摸索出禁用這些特定軟件的方法，這股風(fēng)潮也就漸漸平息下去了。
現(xiàn)在：綜合的ARP攻擊
最近這一波ARP攻擊潮，其目的、方式多樣化，沖擊力度、影響力也比前兩個(gè)階段大很多。
首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網(wǎng)絡(luò)以廣域網(wǎng)為主，最有效的攻擊方式是DDOS攻擊。但是隨著防范能力的提高，病毒制造者將目光投向局域網(wǎng)，開(kāi)始嘗試ARP攻擊，例如最近流行的威金病毒，ARP攻擊是其使用的攻擊手段之一。
相對(duì)病毒而言，盜號(hào)程序?qū)W(wǎng)吧運(yùn)營(yíng)的困惑更大。盜號(hào)程序是為了竊取用戶帳號(hào)密碼數(shù)據(jù)而進(jìn)行ARP欺騙，同時(shí)又會(huì)影響的其他電腦上網(wǎng)。
ARP攻擊造成的現(xiàn)象
ARP的攻擊的問(wèn)題影響面很大，管理好的網(wǎng)吧企業(yè)往往都認(rèn)識(shí)到這個(gè)問(wèn)題，在積極尋求解決的方案。但是很多網(wǎng)吧和企業(yè)并沒(méi)有認(rèn)識(shí)到這個(gè)問(wèn)題，因?yàn)闆](méi)有注意到網(wǎng)絡(luò)運(yùn)行中遇到的“奇怪的故障”，所以對(duì)成因也認(rèn)識(shí)不到，只知道自己的系統(tǒng)有問(wèn)題，但是哪里有問(wèn)題，卻搞不清楚。
這里列出幾種因ARP攻擊造成的現(xiàn)象：
大面積同時(shí)掉線和卡―――這種情況往往是ARP病毒的表現(xiàn)，也有少數(shù)盜號(hào)程序是這種現(xiàn)象。
電腦挨個(gè)掉線或者卡―――這種情況多是盜號(hào)程序所為，因?yàn)楸I號(hào)程序往往是按照IP地址順序進(jìn)行攻擊，所以出現(xiàn)電腦挨個(gè)掉線的情況。如果盜號(hào)程序做的針對(duì)性強(qiáng)，就出現(xiàn)玩同一種游戲的電腦挨個(gè)掉線。
掉線和卡好像有某種時(shí)間規(guī)律―――現(xiàn)在ARP攻擊往往都藏在外掛和網(wǎng)頁(yè)里面，所以就和用戶的使用習(xí)慣有關(guān)，當(dāng)某個(gè)時(shí)間用戶來(lái)了，他（她）習(xí)慣地使用某種程序或者打開(kāi)某個(gè)網(wǎng)頁(yè)時(shí)，攻擊就開(kāi)始了，他（她）一離開(kāi)關(guān)機(jī)，攻擊就停止了。所以說(shuō)好像有某一種時(shí)間規(guī)律。但是這種用戶有幾天沒(méi)有來(lái)，就幾天沒(méi)有故障，網(wǎng)管就會(huì)覺(jué)得問(wèn)題又莫明其妙沒(méi)有了。
一般ARP攻擊的對(duì)治方法
現(xiàn)在最常用的基本對(duì)治方法是“ARP雙向綁定”。
由于ARP攻擊往往不是病毒造成的，而是合法運(yùn)行的程序（外掛、網(wǎng)頁(yè)）造成的，所殺毒軟件多數(shù)時(shí)候束手無(wú)策。
所謂“雙向綁定”，就是再路由器上綁定ARP表的同時(shí)，在每臺(tái)電腦上也綁定一些常用的ARP表項(xiàng)。
“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒(méi)有試圖去更改綁定的ARP表項(xiàng)，那么ARP攻擊就不會(huì)成功；如果攻擊手段不劇烈，也欺騙不了路由器，這樣我們就能夠防住50％ARP攻擊。
但是現(xiàn)在ARP攻擊的程序往往都是合法運(yùn)行的，所以能夠合法的更改電腦的ARP表項(xiàng)。在現(xiàn)在ARP雙向綁定流行起來(lái)之后，攻擊程序的作者也提高了攻擊手段，攻擊的方法更綜合，另外攻擊非常頻密，僅僅進(jìn)行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了，仍然很容易出現(xiàn)掉線。
于是我們?cè)诼酚善髦屑尤肓?ldquo;ARP攻擊主動(dòng)防御”的功能。這個(gè)功能是在路由器ARP綁定的基礎(chǔ)上實(shí)現(xiàn)的，原理是：當(dāng)網(wǎng)內(nèi)受到錯(cuò)誤的ARP廣播包攻擊時(shí)，路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問(wèn)題，但是在最兇悍的ARP攻擊發(fā)生時(shí)，仍然發(fā)生了問(wèn)題----當(dāng)ARP攻擊很頻密的時(shí)候，就需要路由器發(fā)送更頻密的正確包去消除影響。雖然不掉線了，但是卻出現(xiàn)了上網(wǎng)“卡”的問(wèn)題。
所以，我們認(rèn)為，依靠路由器實(shí)現(xiàn)“ARP攻擊主動(dòng)防御”，也只能夠解決80％的問(wèn)題。
為了徹底消除ARP攻擊，我們?cè)诖嘶A(chǔ)上有增加了“ARP攻擊源攻擊跟蹤”的功能。對(duì)于剩下的強(qiáng)悍的ARP攻擊，我采用“日志”功能，提供信息方便用戶跟蹤攻擊源，這樣用戶通過(guò)臨時(shí)切斷攻擊電腦或者封殺發(fā)出攻擊的程序，能夠解決問(wèn)題。
徹底解決ARP攻擊
事實(shí)上，由于路由器是整個(gè)局域網(wǎng)的出口，而ARP攻擊是以整個(gè)局域網(wǎng)為目標(biāo)，當(dāng)ARP攻擊包已經(jīng)達(dá)到路由器的時(shí)候，影響已經(jīng)照成。所以由路由器來(lái)承擔(dān)防御ARP攻擊的任務(wù)只是權(quán)宜之計(jì)，并不能很好的解決問(wèn)題。
我們要真正消除ARP攻擊的隱患，安枕無(wú)憂，必須轉(zhuǎn)而對(duì)“局域網(wǎng)核心”――交換機(jī)下手。由于任何ARP包，都必須經(jīng)由交換機(jī)轉(zhuǎn)發(fā)，才能達(dá)到被攻擊目標(biāo)，只要交換機(jī)據(jù)收非法的ARP包，哪么ARP攻擊就不能造成任何影響。
我們提出一個(gè)真正嚴(yán)密的防止ARP攻擊的方案，就是在每臺(tái)接入交換機(jī)上面實(shí)現(xiàn)ARP綁定，并且過(guò)濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶，在局域網(wǎng)內(nèi)完全消除了ARP攻擊。
因?yàn)樾枰颗_(tái)交換機(jī)都具有ARP綁定和相關(guān)的安全功能，這樣的方案無(wú)疑價(jià)格是昂貴的，所以我們提供了一個(gè)折衷方案。
經(jīng)濟(jì)方案
我們只是中心采用能夠大量綁定ARP和進(jìn)行ARP攻擊防御的交換機(jī)――Netcore 7324NSW，這款交換機(jī)能夠做到ARP綁定條目可以達(dá)到1000條，因此基本上可以對(duì)整網(wǎng)的ARP進(jìn)行綁定，同時(shí)能杜絕任何非法ARP包在主交換機(jī)進(jìn)行傳播。
這樣如果在強(qiáng)力的ARP攻擊下，我們觀察到的現(xiàn)象是：ARP攻擊只能影響到同一個(gè)分支交換機(jī)上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當(dāng)攻擊發(fā)生時(shí)，不可能造成整個(gè)網(wǎng)絡(luò)的問(wèn)題。
在此基礎(chǔ)上，我們?cè)傺a(bǔ)充“日志”功能和“ARP主動(dòng)防御”功能，ARP攻擊也可以被完美的解決。
ARP攻擊最新動(dòng)態(tài)
最近一段時(shí)間，各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級(jí)，又一波ARP攻擊的高潮來(lái)臨。
這次ARP攻擊發(fā)現(xiàn)的特征有：
1、 速度快、效率高，大概在10－20秒的時(shí)間內(nèi)，能夠造成300臺(tái)規(guī)模的電腦掉線。
2、 不易發(fā)現(xiàn)。在攻擊完成后，立即停止攻擊并更正ARP信息。如果網(wǎng)內(nèi)沒(méi)有日志功能，再去通過(guò)ARP命令觀察，已經(jīng)很難發(fā)現(xiàn)攻擊痕跡。
3、 能夠破解最新的XP和2000的ARP補(bǔ)丁，微軟提供的補(bǔ)丁很明顯在這次攻擊很脆弱，沒(méi)有作用。
4、 介質(zhì)變化，這次攻擊的來(lái)源來(lái)自私服程序本身（不是外掛）和P2P程序。