ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
  ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
  RARP的工作原理:
  1. 发送主机发送一个本地的RARP广播,在此广播包中,声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址;
  2. 本地网段上的RARP服务器收到此请求后,检查其RARP列表,查找该MAC地址对应的IP地址;
  3. 如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;
  4. 如果不存在,RARP服务器对此不做任何的响应;
  5. 源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。
  6.如果在第1-3中被ARP病毒攻击,则服务器做出的反映就会被占用,源主机同样得不到RARP服务器的响应信息,此时并不是服务器没有响应而是服务器返回的源主机的IP被占用


机房出现ARP攻击时的故障现象
 ARP攻击一般都是伪装的网关MAC 所以会造成该网段服务器通往外网的数据发向中ARP机器。很明显的会造成大面积不通的现象。网络状态体现为丢包、延时较大等等。如果有客户同时报一个网段通信有问题,排除攻击,向外发包等的因素外,就要考虑是不是该网段有arp !
通过网络监控的监控系统 如日志服务 ,可以监控到网段中的ARP 但根据日程工作中的经验来看,日志服务的灵敏度不够高 ,当网络中有大面积长时间的ARP广播数据包时,这边可以监测到,这是可以在日志的Warning 警告条目 内容一般是Duplicate address 192.168.1.253 on Vlan115, sourced by 0050.5697.004e 这类的条目。这条日志可以理解为在VLAN115,192.168.1.253 网关下MAC为0050.5697.004e的服务器有ARP!!这时通过在汇聚设备上根据这个MAC查找到对应的IP 然后通知机房断网。因为ARP缓存的原因,还要清理下汇聚设备上的ARP条目缓存表。有时因为日志监控的灵敏度不够,怀疑网络中有ARP时,也可以到汇聚设备上使用show logging命令查看下日志记录。看有没有ARP广播的记录。可以辅助定位ARP故障源。
   由于主动监控的灵敏度不太高,所以有时一些ARP并不能够监测到。这时候就要机房的同事协助排除故障。机房同事可以在服务器上查看服务器的ARP缓存表。一般网关的MAC都是固定或者有规律的(网络做有HSRP 都是虚拟网关)看到网关的MAC不正常或者不确定是不是正确的网关,这时就可以把这个MAC记录下发给监控 让监控查询下是哪个IP的MAC。一般这样处理肯定能处理ARP故障,但浪费时间和人力。
 如何减轻ARP攻击造成的影响呢?
根据工作中的经验 可以做以下设置来监测ARP攻击带来的影响
1  在服务器上建立静态ARP表   这是一种很有效的方法,而且对系统影响不大。绑定了正确的网关后,就不会再受到伪装网关的影响。就不会造成外网不通的情况出现。
2.在服务器上安装防ARP攻击软件
3.通过在交换机或者路由设备上对其做IP,MAC以及端口的绑定!!这是也是一个简单有有效的方法