引言：ARP协议是建立在各主机之间相互信任的基础上的，存在严重的安全缺陷，攻击者只需发送伪造IP地址和MAC地址的ARP报文，就能产生大量ARP报文阻塞网络、实施ARP重定向和欺骗等攻击。因此，掌握检测识别ARP攻击的正确方法，采取防范应对ARP攻击的有效措施，对于保证网络稳定运行和用户信息安全具有重要作用。

ARP（Address Resolution Protocol）是 地址解析协议的简称，为IP地址到对应的硬件地址之间提供动态映射。ARP协议是建立在各主机之间相互信任的基础上的，存在严重的安全缺陷，攻击者只需发送伪造IP地址和MAC地址的ARP报文，就能产生大量ARP报文阻塞网络、实施ARP重定向和欺骗等攻击。因此，掌握检测识别ARP攻击的正确方法，采取防范应对ARP攻击的有效措施，对于保证网络稳定运行和用户信息安全具有重要作用。

检测识别ARP攻击的方法

ARP攻击方式分为ARP泛洪攻击和欺骗攻击，其中欺骗攻击包含中间人攻击、仿冒网关攻击和欺骗网关攻击等。ARP攻击存在时会出现各种现象：网络掉线但网络连接正常，内网的部分或者所有计算机不能上网，无法打开网页或打开网页慢，局域网时断时续且网速较慢，有时不断弹出“本机的0～255段硬件地址与网络中的0～255段地址冲突”对话框等等。一旦计算机出现上述现象，可通过下列方法予以检测识别。

方法一：网络连通检测法

持续Ping不能访问的IP地址，如果屏幕提示“Request time out”，表明可能正在遭受攻击。可在被攻击对象上重新开启另一个DOS窗口，输入“arp -d”，清除本机上所有的IP和MAC地址的对应关系。此时如果在Ping窗口上持续出现“Reply from”，表明曾受到ARP攻击，现已正常；如果仅出现一次“Reply from”后变成“Request time out”，则表明正受到持续不断的ARP攻击。

方法二：网络主机侧攻击识别

当主机不能与网关正常通信时，在DOS界面下输入“arp–a”命令，查看主机的ARP缓存表。核对ARP缓存表中网关的MAC地址是否与实际网关MAC地址一致，不一致表明受到ARP欺骗攻击。有时在查看ARP表时会发现有相同MAC对应多个IP的情况，此现象一般也是ARP攻击所致。

方法三：网关设备侧攻击识别

查看设备日志，“display logbuffer”显示日志缓冲区的信息，如果发现有大量密集的IP地址冲突告警，发生冲突的IP可能在变化，但是发生冲突的某个MAC地址始终不变，则可判定存在ARP攻击。查看设备的ARP表，“display arp”显示缓存表，如果发现存在多个IP（一般同属一个网段）对应一个MAC，且对应的交换机端口为下行端口，则可判定网络中存在ARP攻击。

方法四：利用Ping方法检测

当一台主机实施ARP欺骗攻击时，以太网卡会将所有不属于它的数据照单全收。按照上述思路，假设网络中被怀疑攻击源主机的IP为10.11.12.1，那么现在伪造出这样的一种ICMP数据包：MAC地址与局域网内任何一台主机不相同，目的IP是10.11.12.1不变。发送这个数据包，正常的主机会忽略这个数据包；而处于网络监听模式的主机，由于它的网卡是混杂模式，所以它不对比这个数据包的硬件地址，而是将这个数据包直接传到上层并检查数据包的IP，则会对这个Ping数据包做出回应，以此方式实施检测。

方法五：利用ARP数据包检测

这种模式是Ping方法的一种变体，它使用ARP数据包替代了上述ICMP数据包。向局域网内的主机发送非广播方式的ARP包，如果局域网内的某个主机响应这个ARP请求，那么就可以判断它很可能就是处于网络监听模式，这是目前相对而言比较好的检测方法。

通过上面的五种方法不难看出，前三种方法对于我们来讲是比较容易实施的，在专业知识上要求不是那么高，后两种方法要求对网络数据包和数据帧有这较高的知识要求，并不适合于日常管理使用。

防范应对ARP攻击的措施

ARP攻击针对ARP协议的漏洞进行，防范的关键是建立IP地址与MAC地址的对应关系。当前，可管理三层交换机使用较为普遍，充分利用其相关功能，可实现对ARP攻击的有效防范和科学应对。

措施一：主机防范

1.设置静态ARP缓存表

计算机通信时，只在本机静态缓存中根据对方IP地址找到相应的MAC地址，然后直接发送给对方，避免缓存表被错误刷新。新建一个文本文档，输入以下命令:

配置完成后，保存类型为*.bat文件，依次打开“Windows”、“开始”、“程序”、“启动”并将这个批处理文件复制到其中，系统启动时自动加载静态ARP表。该方法必须手工设置静态IP-MAC地址映射，适合于小型局域网。

2.计算机系统安全加固

目前很多常见的ARP攻击常常以病毒程序的形式存在，要经常升级系统补丁程序，更新杀毒软件和病毒库，给系统管理员账户设置健壮的密码，关闭一些不需要的服务。同时，还可以在系统上安装ARP专杀软件和病毒防火墙产品，保障主机与网关之间的数据流向不经过第三者。

措施二：基于网关交换设备的ARP攻击防范

1.运用VLAN技术划分子网

一般情况下，ARP广播包不能跨子网或网段传播。一个VLAN就是一个逻辑广播域，运用VLAN技术划分多个子网，使局域网缩小了广播范围，也就降低了ARP攻击产生的几率。将相互信任的主机所在的安全子网与可能发生攻击的不安全子网隔离开来，子网间的通信由三层交换机做“代理”，即使一个VLAN受到ARP攻击，也不影响其他VLAN主机。

2.ARP泛洪攻击防范

ARP报文限速。在全局、VLAN和接口下配置ARP报文和ARP Miss消息的限速值与限速时间，也可针对源MAC地址或源IP地址、目的IP地址进行ARP报文限速。

ARP表项限制。设定网关能学习到的最大动态ARP表项数目，防止ARP缓存表溢出。设置网关免费ARP报文主动丢弃，防止设备处理大量免费ARP报文导致CPU负荷过重而无法处理其他业务。

ARP表项严格学习。只有网关主动发送的ARP请求报文的应答报文才能触发ARP学习，其他设备主动向网关发送的ARP报文不能触发ARP学习。防止设备收到大量ARP攻击报文时，ARP表被无效的条目占满或错误地更新表项，可在一定程度上防御泛洪攻击和欺骗攻击。

3.ARP欺骗攻击防范

ARP表项固化。网关设备第一次学习到ARP后，不再允许用户更新此ARP表项，或者通过网关发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认，可防御欺骗网关攻击。

动态ARP检测。利用绑定表来防御中间人攻击，当接入设备收到ARP报文时，将此ARP报文对应的源IP、源MAC、VLAN以及接口信息与绑定表的信息进行对比，如果信息匹配，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。当DHCP用户上线时，接入设备会自动生成DHCP Snooping绑定表；对于静态配置IP地址的用户，需手动添加静态绑定表。

ARP防网关冲突。为了防范欺骗网关攻击，当设备收到的ARP报文的源IP地址与对应的网关IP地址相同时，在后续一段时间内丢弃该接口收到的同源MAC地址的ARP报文，可以防止与网关地址冲突的ARP报文在VLAN内广播。启用发送免费ARP报文功能，通过广播发送正确的免费ARP报文到所有用户，迅速将已经被攻击的用户记录的错误网关地址映射关系修改正确。

ARP报文合法性检查。检查ARP报文中源MAC地址与以太网数据帧首部中的源MAC地址是否一致，检查ARP应答报文中的目的MAC地址与以太网数据帧首部中的目的MAC地址是否一致，一致则认为合法，否则丢弃报文。ARP报文中的源IP和目的IP地址全0、全1，或者组播IP地址都是不合法的，应予丢弃。

总结

对于在日常生活中遇到的ARP攻击，绝大多数都是网络中部分终端感染了ARP病毒，对基础的网络设备和安全设备进行一定的配置，并且加上终端上使用的软件网络防火墙，比如360木马防火墙等，都可以开启局域网防ARP攻击等功能，这样整个网络基本上可以避免ARP攻击。