一、關于ARP欺騙的說明

    近期來，很多網吧遭遇一類病毒，導致網吧頻繁斷線，具體的原因，是因為某些外掛和應用程序攜帶了一種能進行ARP欺騙的病毒。ARP欺騙其實并不是新鮮的事情，很多老的網吧工具工具，譬如網絡執法官等，就是使用ARP攻擊來導致網吧整體或者部分機器掉線的。

    ARP是工作在IP層與數據鏈路層之間的一個橋梁，起的作用是查詢給定的IP地址所對應的網卡物理地址(MAC地址)。雖然我們在平時和網絡上的機器通信的時候，我們一般是給定了對方的IP地址，看起來，我們是通過IP地址和對方進行通信的，好像只要知道對方的IP地址，我們就可以和對方通信了。實際上并不是這樣，IP是一個高層的協議，實際上，計算機之間的連接建立還是要依賴于低層的電信號或者光信號，還是需要在媒介這個層次進行連接和通信。而用來標示數據鏈路的地址就是MAC地址。MAC地址是網卡在出廠的時候就燒制在網卡的芯片上的，理論上來講，這一地址是全球唯一的。當然，也可以通過程序來更改這一地址。

    當我們需要跟某一IP地址進行通信的時候，本機的操作系統會根據所設置的IP地址和子網掩碼來判斷目標地址和自己是否處于同IP網絡中，如果在同一IP網絡，則操作系統會通過目標地址的IP地址來查詢對端的MAC地址，然后和對端在數據鏈路層建立連接；如果目標地址和自身不在同一IP網絡，則本機會查詢網關的MAC地址，和網關在數據鏈路層建立連接。而完成通過IP地址解析MAC地址的內核模塊，就是ARP(Address Resolution Protocol)。

    而目前引起網吧頻繁掉線的病毒，其原理就是對正常的ARP解吸工作進行了干擾和欺騙。一方面，它欺騙網關，將網關上的MAC地址與IP地址對應關系搞混亂，這樣，網關就無法和工作站建立正確的數據鏈路層的連接，依賴與數據鏈路層的TCP/UDP連接就更無法正常進行了。另一方面，它欺騙客戶端，將客戶端上網關的MAC地址篡改，這樣就會導致工作站無法正確的在數據鏈路層上和網關建立聯系，也就失去了和外網的連接。

    由于ARP協議在工作的時候，并不進行驗證和確認，Windows類操作系統，只要接受到ARP REPLY的信息，馬上就會更新自己的ARP緩存表。而數據鏈路層的協議，本身就缺乏安全機制，因此，ARP欺騙是很難防御的，尤其是在網吧環境中，缺乏比較好的網絡設備的情況下。勝天網絡緊急開發出的防ARP欺騙程序只是一個應急版本，可以有效的防御針對網關和客戶端的ARP欺騙，不僅可以應對目前的病毒ARP攻擊，也可以有效的防御認為的使用工具進行的ARP攻擊。

二、勝天網絡ARP欺騙防護程序客戶端程序BMacclient.exe的使用方法

1、在網吧其中一臺工作站上，下載BMacclient.exe程序，雙擊運行；

2、BMacclient.exe運行后，會直接隱藏到系統托盤，請在托盤圖標上點右鍵->設置；

   此時會彈出設置窗口，在備注一欄里填上說明，譬如 網關，此選項未必填項；

   在IP地址欄里填上網關IP，一般我們只需要綁定網關就可以了；

   填好網關IP后，點解析MAC地址。程序會自動解析出網關的MAC地址；

   填好后，直接點添加，然后保存，退出。

3、將BMacclient.exe文件，放到電影服務器上一個可以被下面所有客戶機正常訪問的目錄，然后在網娛平     臺的系統維護模塊中增加一個開機更新項，設置每臺工作站將BMacclient.exe工具復制到本地。

4、在系統維護模塊中，同時增加一個開機啟動項，設置每臺工作站啟動BMacclient.exe程序。

5、進入網娛平臺的系統維護模塊，進行一次參數上傳操作，這樣可以把剛才所設置的參數更新到每臺工作     站上。其他的工作站上的BMacclient.exe程序就不需重復設置。

6、其他工作站，只需要重新啟動一次，就可以自動下載BMacclient.exe程序，并自動按照你所設置的參數   來運行防護程序了。 三、勝天網絡ARP欺騙防護程序網關(服務器)端程序BmacForGetway.exe的使用方法

    由于病毒不僅僅攻擊客戶端，同時也攻擊網關，因此，僅僅對客戶端進行防護是不夠的。網關上也必須針對ARP欺騙進行防護。網吧的網關如果是使用Windows類操作系統，則可以運行BmacForGetway.exe程序，如果是Linux類操作系統，則可以使用linux自身的MAC地址靜態綁定的功能，并可以通過BmacForGetway.exe程序方便的收集全網絡的MAC地址信息。     Windows類網關上BmacForGetway.exe程序的使用方法

    1、在網關上下載BmacForGetway.exe程序。雙擊運行；

    2、BmacForGetway.exe運行后，會直接隱藏到系統托盤，請在托盤圖標上點右鍵->設置；

       此時會彈出設置窗口，窗口從整體上分為左右兩個部分，左邊是綁定設置窗口，右邊是MAC地址掃描工具窗口。我們首先，要進行全網         的MAC地址掃描。請先輸入你的IP地址的范圍，譬如你使用192.168.1.0/255.255.255.0這一地址段，則在第一個窗口里填192.168.1，         然后設置從1 到254。點開始，很快就會掃描出全網的MAC地址。如果有多個網段，請重復這個步驟，目前只能一次掃描一個C類網段地       址。

    3、在掃描出全網MAC地址后，點中間的“<<-”按鈕，將會把掃描出的MAC全部添加到左邊的綁定欄目中。在綁定到IP欄目中，填上內部網       卡的IP地址，然后點保存，再點開始就可以了。     Linux類網關上靜態綁定的使用方法

    1、首先利用BmacForGetway.exe程序，掃描出全網的MAC地址；具體操作請參考Windows類網關上BmacForGetway.exe使用方法的第1、2兩個     步驟。

    2、將掃描出的MAC地址與IP地址對應數據點“<<-”導出到左邊綁定窗口，然后點“另存為Linux格式”。則會生成一個ethers的文件。

    3、將ethers文件，通過sftp或者其他方式拷貝到linux網關的/etc/目錄下。

    4、輸入命令arp -f,系統將會找到/etc/ethers文件，并對IP地址和MAC地址的對應關系靜態綁定。

    5、如果希望網關每次重新啟動都綁定一次，則請在/etc/rc.local文件或者/etc/rc.d/rc.local文件中增加一行 ， arp -f 即可。

關鍵字：Linux、ARP、欺騙、服務器