随着网络的快速普及，我们的日常生活已经离不开网络，在大家觉得网络带来方便的同时，我们要了解，在使用 IE，并输入网址时， 服务器会自动把它 为 地址，浏览器实际上查找的是 IP地址而不是网址。那么 IP地址是如何转换为第二层物理地址（即 ）的呢？在局域网中，这是通过 ARP协议来完成的， ARP协议对网络安全具有重要的意义。通过伪造 IP地址和 MAC地址，可实现 ARP欺骗，能够在网络中产生大量的 ARP通信量使网络阻塞。我们平时看到防火墙提示“被攻击”，其实就是 ARP欺骗。现在，给大家简单介绍 ARP欺骗的方式及防护措施。

一、什么是 ARP协议

ARP 协议是 “Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是 “帧 ”，帧里面是有目标主机的 MAC地址的，一个主机和另一个主机进行直接通信，必须要知道目标主机的 MAC地址。但这个目标 MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓 “地址解析 ”就是主机在发送帧前将目标 IP地址转换成目标 MAC地址的过程。 ARP协议的基本功能就是通过目标设备的 IP地址，查询目标设备的 MAC地址，以保证通信的顺利进行。

二、遭受 ARP攻击后现象

ARP 欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网， IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法 ping通网关），重启机器后，可暂时恢复上网。

ARP 欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取 QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

三、常用的防护方法及措施

搜索网上，目前对于 ARP攻击防护问题出现最多是绑定 IP和 MAC和使用 ARP防护软件，也出现了具有 ARP防护功能的路由器。我们主要来了解下这三种方法。

1 ．静态绑定

最常用的方法就是做 IP和 MAC静态绑定，在网内把主机和网关都做 IP和 MAC绑定。
欺骗是通过 ARP的动态实时的规则欺骗内网机器，所以我们把 ARP全部设置为静态可以解决对内网 PC的欺骗，同时在网关也要进行 IP和 MAC的静态绑定，这样双向绑定才比较保险。

2. 使用 ARP防护软件

目前关于 ARP类的防护软件出的比较多了，大家使用比较常用的 ARP工具主要是 360AntiArp防火墙工具，彩影 Antiarp等。它们除了本身来检测出 ARP攻击外，防护的工作原理是一定频率向网络广播正确的 ARP信息。

3. 具有 ARP防护功能的路由器

路由器中提到的 ARP防护功能，其实它的原理就是定期的发送自己正确的 ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。

了解 ARP 欺骗 后，现特别提醒局机关局域网用户务必采取以下措施。

一、局域网用户要增强网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件；或浏览一些缺乏可信度的网站（网页）；不要随便打开不明来历的电子邮件，尤其是邮件附件；不要随便共享文件和文件夹，即使要共享，也得设置好权限，一般指定特定帐号或特定机器才能访问，另外不建议设置可写或可控制，以免个人计算机受到木马病毒的侵入给局域网的安全带来隐患。

二、局域网计算机用户要及时下载和更新操作系统的补丁程序，安装正版的杀毒软件，增强个人计算机防御计算机病毒的能力。

三、用户检查和处理 “ARP欺骗 ”木马的方法。

检查本机的 “ARP欺骗 ”木马染毒进程，同时按住键盘上的 “CTRL”和 “ALT”键再按 “DEL”键，选择 “任务管理器 ”，点选 “进程 ”标签。察看其中是否有一个名为 “MIR0.dat”之类的进程。如果有，则说明已经中毒。右键点击此进程后选择 “结束进程 ”。

在受到 ARP欺骗木马程序（病毒）攻击时，用户可选择下列方法的一种处理。

方法一：下载 360AntiArp 防火墙工具，彩影 Antiarp等 软件保护本地计算机正常运行。同时把此软件设为自动启动，以保证下次开机自动运行，起到保护的作用。

方法二：下载并使用局域网 ARP攻击免疫器。

方法三：为防止个人计算机在局域网上发送大量的病毒数据包，影响了局域网的安全，可将采取有效措施令其离线杀毒，将木马程序清除干净后可接入局域网。

审稿：梁凤欣