防范ARP欺骗的方法很简单,那就是通过执行“arp –s”命令将网关的IP地址绑定到正确的MAC地址上。在上篇博文中提到的被攻击主机上添加一条静态记录:”arp –s 10.49.6.254 00-0f-e2-69-2c-d2”,然后再次在恶意主机上展开ARP攻击,这时攻击就没有效果了。
一般来说,ARP攻击的后果非常严重,多数情况下都会造成网络大面积掉线。由于ARP表是动态自动更新的,所以受攻击之后,只要重启被攻击的主机或路由器,网络往往就能恢复,但这也为这种攻击方式带来了很大的隐蔽性。
在ARP欺骗的三种方法中,应用最多的是第一种对内网主机的网关欺骗,网关MAC地址与正常地址不同是这种欺骗方式的最大特征,因而一旦确认此点就可以断定内网中存在ARP欺骗病毒。
对于网络管理员来说,如果发现网络中存在ARP欺骗类攻击,那么应快速定位ARP攻击的发起源,确认攻击来自何方,并快速切断该攻击源,以减少对网络的影响。
将IP地址与MAC地址绑定是防范ARP攻击的一个比较简单易行的方法,尤其是针对ARP攻击习惯伪造虚假网关MAC地址这一情况,我们可以将网关IP地址与正确的MAC地址绑定,这样就能起到很好的防范作用。
另外,在目前的杀毒软件或安全工具中大都提供了ARP防火墙,开启ARP防火墙也可以有效地抵御ARP欺骗攻击。下图为360安全卫士中提供的ARP防火墙。
