2005年底以來,ARP攻擊在網吧企業泛濫,成為網絡安全的極大隱患，防治ARP攻擊成為當前網絡安全的當務之急。Netcore成立專門小組，通過深入研究、反復試驗，歷時半年推出完善的ARP攻擊防治方案，徹底解決網吧、企業因ARP攻擊出現的掉線、卡機問題。
ARP攻擊的原理和演化
對以太網有所認識的人都知道，ARP表是每臺設備（電腦）的MAC地址和IP地址的關系對應表。如果設備需要在局域網中利用TCP/IP協議進行通信的話，必須有這樣一張ARP表。
ARP表是每臺設備（電腦）自行維護的，而ARP表的數據，是來自于開放的“ARP廣播”機制，由每臺設備在網上廣播自己的IP/MAC地址的對應關系來做到的。
這樣就存在一個很大的隱患，就是惡意程序可以利用這種開放機制，發送錯誤的IP/MAC地址對應關系，達到特定的目的。
初期：ARP欺騙
這種有目的的發布錯誤ARP廣播包的行為，被稱為ARP欺騙。ARP欺騙，最初為黑客所用，成為黑客竊取網絡數據的主要手段。黑客通過發布錯誤的ARP廣播包，阻斷正常通信，并將自己所用的電腦偽裝稱別的電腦，這樣原本發往其他電腦的數據，就發到了黑客的電腦上，達到竊取數據的目的。
中期：ARP惡意攻擊
后來，有人利用這一原理，制作了一些所謂的“管理軟件”，例如網路剪刀手、執法官、終結者等，這樣就導致了ARP惡意攻擊的泛濫。往往使用這種軟件的人，以惡意破壞為目的，多是為了讓別人斷線，逞一時之快。
特別是在網吧中，或者因為商業競爭的目的、或者因為個人無聊泄憤，造成惡意ARP攻擊泛濫。
隨著網吧經營者摸索出禁用這些特定軟件的方法，這股風潮也就漸漸平息下去了。
現在：綜合的ARP攻擊
最近這一波ARP攻擊潮，其目的、方式多樣化，沖擊力度、影響力也比前兩個階段大很多。
首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網絡以廣域網為主，最有效的攻擊方式是DDOS攻擊。但是隨著防范能力的提高，病毒制造者將目光投向局域網，開始嘗試ARP攻擊，例如最近流行的威金病毒，ARP攻擊是其使用的攻擊手段之一。
相對病毒而言，盜號程序對網吧運營的困惑更大。盜號程序是為了竊取用戶帳號密碼數據而進行ARP欺騙，同時又會影響的其他電腦上網。
ARP攻擊造成的現象
ARP的攻擊的問題影響面很大，管理好的網吧企業往往都認識到這個問題，在積極尋求解決的方案。但是很多網吧和企業并沒有認識到這個問題，因為沒有注意到網絡運行中遇到的“奇怪的故障”，所以對成因也認識不到，只知道自己的系統有問題，但是哪里有問題，卻搞不清楚。
這里列出幾種因ARP攻擊造成的現象：
大面積同時掉線和卡―――這種情況往往是ARP病毒的表現，也有少數盜號程序是這種現象。
電腦挨個掉線或者卡―――這種情況多是盜號程序所為，因為盜號程序往往是按照IP地址順序進行攻擊，所以出現電腦挨個掉線的情況。如果盜號程序做的針對性強，就出現玩同一種游戲的電腦挨個掉線。
掉線和卡好像有某種時間規律―――現在ARP攻擊往往都藏在外掛和網頁里面，所以就和用戶的使用習慣有關，當某個時間用戶來了，他（她）習慣地使用某種程序或者打開某個網頁時，攻擊就開始了，他（她）一離開關機，攻擊就停止了。所以說好像有某一種時間規律。但是這種用戶有幾天沒有來，就幾天沒有故障，網管就會覺得問題又莫明其妙沒有了。
一般ARP攻擊的對治方法
現在最常用的基本對治方法是“ARP雙向綁定”。
由于ARP攻擊往往不是病毒造成的，而是合法運行的程序（外掛、網頁）造成的，所殺毒軟件多數時候束手無策。
所謂“雙向綁定”，就是再路由器上綁定ARP表的同時，在每臺電腦上也綁定一些常用的ARP表項。
“ARP雙向綁定”能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項，那么ARP攻擊就不會成功；如果攻擊手段不劇烈，也欺騙不了路由器，這樣我們就能夠防住50％ARP攻擊。
但是現在ARP攻擊的程序往往都是合法運行的，所以能夠合法的更改電腦的ARP表項。在現在ARP雙向綁定流行起來之后，攻擊程序的作者也提高了攻擊手段，攻擊的方法更綜合，另外攻擊非常頻密，僅僅進行雙向綁定已經不能夠應付兇狠的ARP攻擊了，仍然很容易出現掉線。
于是我們在路由器中加入了“ARP攻擊主動防御”的功能。這個功能是在路由器ARP綁定的基礎上實現的，原理是：當網內受到錯誤的ARP廣播包攻擊時，路由器立即廣播正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題，但是在最兇悍的ARP攻擊發生時，仍然發生了問題----當ARP攻擊很頻密的時候，就需要路由器發送更頻密的正確包去消除影響。雖然不掉線了，但是卻出現了上網“卡”的問題。
所以，我們認為，依靠路由器實現“ARP攻擊主動防御”，也只能夠解決80％的問題。
為了徹底消除ARP攻擊，我們在此基礎上有增加了“ARP攻擊源攻擊跟蹤”的功能。對于剩下的強悍的ARP攻擊，我采用“日志”功能，提供信息方便用戶跟蹤攻擊源，這樣用戶通過臨時切斷攻擊電腦或者封殺發出攻擊的程序，能夠解決問題。
徹底解決ARP攻擊
事實上，由于路由器是整個局域網的出口，而ARP攻擊是以整個局域網為目標，當ARP攻擊包已經達到路由器的時候，影響已經照成。所以由路由器來承擔防御ARP攻擊的任務只是權宜之計，并不能很好的解決問題。
我們要真正消除ARP攻擊的隱患，安枕無憂，必須轉而對“局域網核心”――交換機下手。由于任何ARP包，都必須經由交換機轉發，才能達到被攻擊目標，只要交換機據收非法的ARP包，哪么ARP攻擊就不能造成任何影響。
我們提出一個真正嚴密的防止ARP攻擊的方案，就是在每臺接入交換機上面實現ARP綁定，并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶，在局域網內完全消除了ARP攻擊。
因為需要每臺交換機都具有ARP綁定和相關的安全功能，這樣的方案無疑價格是昂貴的，所以我們提供了一個折衷方案。
經濟方案
我們只是中心采用能夠大量綁定ARP和進行ARP攻擊防御的交換機――Netcore 7324NSW，這款交換機能夠做到ARP綁定條目可以達到1000條，因此基本上可以對整網的ARP進行綁定，同時能杜絕任何非法ARP包在主交換機進行傳播。
這樣如果在強力的ARP攻擊下，我們觀察到的現象是：ARP攻擊只能影響到同一個分支交換機上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當攻擊發生時，不可能造成整個網絡的問題。
在此基礎上，我們再補充“日志”功能和“ARP主動防御”功能，ARP攻擊也可以被完美的解決。
ARP攻擊最新動態
最近一段時間，各網吧發現的ARP攻擊已經升級，又一波ARP攻擊的高潮來臨。
這次ARP攻擊發現的特征有：
1、 速度快、效率高，大概在10－20秒的時間內，能夠造成300臺規模的電腦掉線。
2、 不易發現。在攻擊完成后，立即停止攻擊并更正ARP信息。如果網內沒有日志功能，再去通過ARP命令觀察，已經很難發現攻擊痕跡。
3、 能夠破解最新的XP和2000的ARP補丁，微軟提供的補丁很明顯在這次攻擊很脆弱，沒有作用。
4、 介質變化，這次攻擊的來源來自私服程序本身（不是外掛）和P2P程序。