在“網(wǎng)吧ARP欺騙的原理及危害”一文中為大家介紹了ARP欺騙攻擊的原理以及危害程度，相信各位網(wǎng)絡(luò)管理員讀者都對(duì)ARP欺騙深表痛恨，希望能夠徹底的禁止該現(xiàn)象的發(fā)生。雖然筆者不是網(wǎng)吧管理員，但是也在單位負(fù)責(zé)五個(gè)機(jī)房共200臺(tái)計(jì)算機(jī)。

所以下面就根據(jù)筆者的經(jīng)驗(yàn)為大家介紹如何來(lái)防止ARP欺騙，文章所說(shuō)的這些方法對(duì)網(wǎng)吧或普通局域網(wǎng)都是適用的。

企業(yè)可以通過(guò)發(fā)布網(wǎng)絡(luò)管理制度來(lái)禁止ARP欺騙問(wèn)題的發(fā)生，發(fā)現(xiàn)有欺騙者和獎(jiǎng)金等效益掛鉤。但是網(wǎng)吧不同于企業(yè)，來(lái)使用計(jì)算機(jī)和網(wǎng)絡(luò)的都是顧客，也就是“上帝”，我們不可能對(duì)他們的行為做過(guò)多的約束，所以唯一能做的就是從技術(shù)上盡最大可能約束和檢查ARP欺騙的來(lái)源。

一，sniffer檢測(cè)法：

sniffer是網(wǎng)絡(luò)管理的好工具，網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包都可以通過(guò)sniffer來(lái)檢測(cè)。同樣arp欺騙數(shù)據(jù)包也逃不出sniffer的監(jiān)測(cè)范圍。

一般來(lái)說(shuō)ARP欺騙數(shù)據(jù)包沒(méi)有留下發(fā)送虛假信息的主機(jī)地址，但是承載這個(gè)ARP包的ethernet幀卻包含了他的源地址。而且正常情況下ethernet數(shù)據(jù)幀中，幀頭里的MAC源地址/目標(biāo)地址應(yīng)該和幀數(shù)據(jù)包中ARP信息配對(duì)，這樣的ARP包才算是正確的。如果不正確，肯定是假冒的包，當(dāng)然如果匹配的話，我們也不能過(guò)于放松，一樣不能代表是正確的，另外通過(guò)檢測(cè)到的數(shù)據(jù)包再結(jié)合網(wǎng)關(guān)這里擁有的本網(wǎng)段所有MAC地址網(wǎng)卡數(shù)據(jù)庫(kù)，看看哪個(gè)和Mac數(shù)據(jù)庫(kù)中數(shù)據(jù)不匹配，這樣就可以找到假冒的ARP數(shù)據(jù)包，并進(jìn)一步找到兇手了。

關(guān)于MAC地址網(wǎng)卡數(shù)據(jù)庫(kù)可以在第一次裝系統(tǒng)的時(shí)候進(jìn)行記錄，將網(wǎng)吧座位號(hào)與MAC地址等信息做一個(gè)對(duì)應(yīng)表格。查看MAC地址的方法是通過(guò)“開(kāi)始->運(yùn)行”，進(jìn)入命令提示窗口，然后輸入ipconfig /all。在physical address的右邊就是相應(yīng)網(wǎng)卡的MAC地址。

二，DHCP結(jié)合靜態(tài)捆綁法：

要想徹底避免ARP欺騙的發(fā)生，我們需要讓各個(gè)計(jì)算機(jī)的MAC地址與IP地址唯一且相對(duì)應(yīng)。雖然我們可以通過(guò)為每臺(tái)計(jì)算機(jī)設(shè)置IP地址的方法來(lái)管理網(wǎng)絡(luò)，但是遇到那些通過(guò)ARP欺騙非法攻擊的用戶來(lái)說(shuō)，他可以事先自己手動(dòng)更改IP地址，這樣檢查起來(lái)就更加復(fù)雜了，所以說(shuō)保證每臺(tái)計(jì)算機(jī)的MAC地址與IP地址唯一是避免ARP欺騙現(xiàn)象發(fā)生的前提。

（1）建立DHCP服務(wù)器保證MAC地址與IP地址唯一性：