三、ARP欺骗的危害

    ARP类型的攻击在校园网中最早出现在去年5月份，目前校园网内的计算机所感染的“ARP欺骗”系列病毒已经有了几十个变种。根据这些变种的工作特点和外部特性大概可以分为三大类，其中“ARP欺骗”和“恶意窃听”两类对学校局域网的正常运行和网络用户的信息安全的威胁最大。#p#分页标题#e#

    ARP攻击只要一开始就造成局域网内计算机无法和其他计算机进行通讯，而且网络对此种病毒没有任何耐受度，只要局域网中存在一台感染“ARP欺骗”病毒的计算机将会造成整个局域网通讯中断。

    “恶意窃听”病毒是“ARP欺骗”系列病毒中影响和危害最为恶劣的。它不会造成局域网的中断，仅仅会使网络产生较大的延时，但是中毒主机会截取局域网内所有的通讯数据，并向特定的外网用户发送所截获的数据，对局域网用户的网络使用造成非常非常严重的影响，直接威胁着局域网用户自身的信息安全。

    四、出现ARP攻击的原因及特征

    一个正常运行的局域网是不应该出现ARP攻击的，经过长时间的观测，发现ARP攻击的出现主要是由以下几个原因造成的：

     1、人为破坏

    主要是内网有人安装了P2P监控软件，如P2P终结者，网络执法官，聚生网管，QQ第六感等，恶意监控其他机器，限制流量，或者进行内网DDOS攻击。

    2、木马病毒

    传奇、跑跑卡丁车、劲舞团等游戏外挂，如：及时雨PK版，跑跑牛车，劲舞小生等，他内含一些木马程序，也会引起ARP欺骗。

    其实真正有人恶意捣乱的是很少的，一次两次捣乱，次数多了自己也就腻了，更何况事后网管肯定会找到捣乱的主机，所以说人为破坏是比较好解决的。最麻烦的就是使用带木马的游戏外挂和浏览带有恶意代码的网页。

    当出现ARP攻击后最明显的特征是网络频繁掉线，速度变慢，查看进程你会发现增加了 down.exe 1.exe cmd.exe 9sy.exe中的任意一个或多个，严重的还能自动还下载威金病毒，logo_1.exe.rundl132.exe，感染可执行文件，图标变花还。

    五、常用的防范方法
    目前ARP系列的攻击方式和手段多种多样，因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范方法即打全Windows的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。

    对于Windows补丁不仅仅打到SP2(XP)或SP4(2000)，其后出现的所有安全更新也都必须及时打全才能最大限度的防范病毒和木马的袭击。此外，正确使用U盘等移动存储设备，防止通过校外计算机传播病毒和木马。

    下面介绍防范ARP攻击的几种常用方法：

    1、静态绑定

    将IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。

    欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。缺点是每台电脑需绑定，且重启后任需绑定，工作量较大，虽说绑定可以通过批处理文件来实现，但也比较麻烦。

    2、使用防护软件

    目前关于ARP类的防护软件出的比较多了，我校常用的一款软件是大势至（北京）软件工程有限公司的聚生网管系统(官方网站：http://www.grabsun.com).

    聚生网管采用系统内核层拦截技术和主动防御技术，包含六大功能模块可解决大部分欺骗、ARP攻击带来的问题，从而保证通讯安全(保障通讯数据不被网管软件/恶意软件监听和控制)、保证网络畅通

    3、具有ARP防护功能的网络设备

    由于ARP形式的攻击而引发的网络问题是目前网络管理，特别是局域网管理中最让人头疼的攻击，他的攻击技术含量低，随便一个人都可以通过攻击软件来完成ARP欺骗攻击，同时防范ARP形式的攻击也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了，本文介绍的方法希望对大家有所帮助。