如何查看是否arp攻击？arp欺骗攻击的特征是什么？

　　近几年arp攻击的数量已经有所减少，但是在一些需要局域网办公的企业，仍然还是会受到arp攻击，一旦遭受arp攻击那么网上将会变得非常缓慢，甚至是无法上网。那么如何查看是否arp攻击呢?arp欺骗攻击的特征是什么呢?我们来为大家介绍一下。

如何查看是否arp攻击

　　如何查看是否arp攻击?具体的查看arp攻击方式可以参照下面几个要点：

　　一、 如果网络受到了ARP攻击，可能会出现如下现象：

　　1、用户掉线、频繁断网、上网慢、业务中断或无法上网。

　　2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。

　　3、Ping有时延、丢包或不通。

　　定位ARP攻击时，请先排除链路、环路或路由问题，排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果，以便在故障无法解决时快速收集和反馈信息。

　　1、在网关上执行命令display cpu-defend statistics all，查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。

　　如果计数为0，设备没有丢弃ARP报文。

　　如果有计数，表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。

　　如果是ARP Miss报文丢弃很多，设备很可能受到了ARP Miss攻击。

　　如果是ARP Request或ARP Reply报文丢弃很多，设备很可能受到了ARP Request或ARP Reply报文攻击。

　　2、在网关上执行命令display arp all，查看用户的ARP表项是否存在。

　　如果ARP表项还在，请再查看用户的ARP表项，然后确定是否有用户或网关的ARP表项被改变。

　　在设备与用户连接的接口上获取报文头，分析ARP报文的源地址，找出攻击者。

　　建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能，请根据情况选择配置。

　　3、系统视图下执行命令arp static，配置静态ARP表项。

　　如果下挂用户较少，可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。

　　4、系统视图或接口视图下执行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable，配置ARP表项固化功能。

　　fixed-mac方式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。当用户从不同接口接入设备时，设备上该用户对应的ARP表项中的接口信息可以及时更新。

　　fixed-all方式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。

　　send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

arp欺骗攻击的特征是什么

　　arp欺骗攻击的特征是什么?ARP(Address Resolution Protocol，地址解析协议)是一个位于TCP/IP栈中的网络层，负责将某个ip地址解析成对应的MAC地址，ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行，当然还有最重要的一点 它一般只能在内网进行，无法对外网(互联、非本区域内的局域网)进行攻击。

　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。攻击者向电脑A发送一个伪造的ARP响应，告诉电脑A：电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03，电脑A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往电脑B的数据发送给了攻击者。

　　同样的，攻击者向电脑B也发送一个伪造的ARP响应，告诉电脑B：电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03，电脑B也会将数据发送给攻击者。至此攻击者就控制了电脑A和电脑B之间的流量，他可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑B之间的通信内容。

　　这种方式我们一般在交换机上配置802.1x协议后，攻击者在连接交换机时需要进行身份认证(结合MAC、端口、帐户、VLAN和密码等)，只有通过认证后才能向网络发送数据。攻击者未通过认证就不能向网络发送伪造的ARP报文。

　　在局域网中，攻击者经过收到的ARP Request广播号，能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A，告诉B (受害者) 一个假地址，使得B在发送给A 的数据包都被黑客截取，而A, B 浑然不知。

　　这种情况是没有办法防止的，它的危害也不是很大。因为一般服务器通常不会和终端主机在同一个局域网。

　　ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。

　　如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。(这个木马程序可以用KALI系统制作，然后进行加壳处理，如果杀毒软件能识别就进行多次加壳)

　　防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。定期删除ARP缓存表。建立静态的ARP表，安装ARP防火墙等 来提高电脑的安全系数。

　　关于如何查看是否arp攻击以及arp欺骗攻击的特征是什么就为大家介绍到这里，想要彻底防止arp攻击是比较难以实现的，只能时注意日常的操作流程、以及注意做好防范措施尽可能提高局域网的安全系数。如果遭受了arp攻击而无法解决，可以联系安全狗的技术人员，我们会为您提供相应的技术支持。