企业局域网怎样查杀ARP病毒、防范ARP木马攻击？

作者：洞察眼 日期：2023/4/26

在企业局域网中，恐怕网管员经常遇到的一个问题是：局域网ARP攻击。ARP攻击具有巨大的危害，将会使得局域网电脑大面积掉线，严重影响员工上网，也导致企业信息化系统无法正常运转，从而间接影响了单位的经常的生产和经营活动。为此，企业局域网必须严防ARP攻击行为、防范ARP欺骗，防止ARP攻击导致的断网现象。

那么，什么是ARP攻击、ARP欺骗呢？ARP攻击的原理其实就是攻击主机会向局域网电脑广播一个错误的ARP信息，一般而言发送的ARP攻击包不外乎攻击者的MAC地址加上网关的IP地址，这样局域网电脑在受到这种ARP攻击报文时，会更新自己电脑的ARP表项，然后就认为攻击源主机的MAC地址就是网关的MAC地址，由于局域网通讯是通过MAC地址来进行传输的，因此受到ARP攻击的电脑就会将报文发送到发动ARP攻击的电脑上了，然后攻击源主机就会获取被攻击电脑的所有上网报文，然后再通过一定的技术手段解析出报文里面的具体信息，如密码、口令等；当然，大多数ARP攻击行为是为了控制电脑的数据包的发送进而控制电脑的上网速度，达到限制局域网电脑网速，然后独占上网流量的目的。此外，一些恶意的ARP攻击行为会伪造一个错误的MAC地址然后广播给局域网所有的电脑，然后让局域网受到攻击的电脑将公网报文发送到一个不存在的MAC地址，从而达到使得整个局域网电脑无法上网的目的。如下图所示：

图：ARP病毒攻击原理示意图

那么，企业网管员如何应对ARP攻击、防止ARP病毒攻击呢？笔者汇总了当前国内企业局域网防ARP病毒攻击的几种较常见的做法，这些ARP攻击防护方法如果应用得当，可以很大程度上避免ARP攻击对局域网造成的各种危害，保证网络的安全、稳定和畅通。

1、 部署ARP防火墙防御ARP攻击、抵御ARP欺骗。通过对ARP攻击原理的分析得知，有效防止ARP断网攻击的方法就是采用ARP防火墙来绑定电脑的ARP表项，也就是网关的IP和MAC地址进行绑定。当然，也不一定非要通过ARP防火墙的方式来实现，通过操作系统的自带的ARP绑定命令同样可以实现网关的ARP镜头绑定，从而达到有效限制ARP攻击行为的目的。

2、 通过购买带有防ARP欺骗功能、查杀ARP病毒的路由器、防火墙来抵抗ARP攻击行为。现在一些带有上网行为管理功能的路由器、防火墙常常集成了ARP攻击防护功能，可以有效防止局域网ARP攻击行为；同时，也可以通过路由器的IP和MAC地址绑定来达到防范ARP攻击的目的。

3、 通过部署专业的ARP攻击防护软件、ARP病毒检测软件来检测局域网ARP攻击行为，一旦发现ARP攻击行为，则可以通过ARP攻击防御软件来对其进行防御，甚至隔离开局域网，从而一方面可以让网管员及时发现并制止局域网电脑的ARP攻击行为，甚至配合行政处罚等来管控局域网员工随意使用ARP攻击软件、ARP限速软件来干扰和破坏局域网的行为，不至于在局域网出现ARP攻击行为时无法定位查找攻击源主机的窘况；另一方面，通过ARP攻击防御软件的隔离、免疫举措，可以即时防止ARP攻击行为给局域网造成的危害，防止员工电脑不小心遭遇ARP病毒侵袭时，对局域网造成的断网攻击危害。目前，国内一些伤上网行为管理厂家推出了一系列的ARP攻击防护软件或带有ARP攻击防护功能的网络管理产品。我们以国内较为知名的网管软件“洞察眼”为例，洞察眼系统集成了ARP攻击检测功能，也就是在局域网启动洞察眼系统后，一旦有局域网电脑主动或被动发动ARP攻击行为时，洞察眼系统会实时输出发动ARP攻击的电脑的IP和MAC地址等信息，同时自动向局域网发送ARP攻击免疫信息，从而极大地降低了ARP攻击对局域网造成的危害，使得局域网电脑不会因为ARP攻击而出现掉线和断网现象。同时，通过洞察眼系统集成的“洞察眼局域网安全卫士”，可以将发动ARP攻击的电脑进行强制隔离，使得发动ARP攻击的电脑无法再向局域网发动ARP攻击，同时也无法和局域网其他电脑通讯，也无法访问互联网，使其完全隔离开局域网。如下图所示：

图：洞察眼ARP攻击防御功能

图：洞察眼内网安全卫士防范ARP攻击功能截图

总之，局域网有效防止ARP攻击和防止ARP欺骗，必须综合采用各种手段，才可以有效防止局域网ARP攻击对企业内部局域网造成的危害，有力地保护局域网网络安全的稳定和畅通。