Jarett's Blog

最近好像某个组织闹得很火，暗组什么的很多论坛啊，某些人的博客啊，听说都给改了首页。原因居然都是arp攻击，晕死人了，没有技术含量啊。最根本的原因还是国内的机房管理十分不规范造成的，这么老的攻击手段居然频频凑效，可以说很多机房的arp防护措施几乎没有，因为便宜，所以自然容易出问题的了。

针对ARP攻击的防治，常见的方法，主要三种作法：

1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防治的效果；

2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防治的效果；

3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。

这三种方式不管是在机房还是在日常小型局域网中的防arp都是很有用的。目前最简单高效的还是采用双向绑定的做法，只要跟机房做好沟通，就能够有效的防止出现被人arp挂黑页的问题了。

还有一个网络结构上的防御方式，尽量划分多个vlan，而不是直接254个地址在同一个网段内，也大大减少了C段主机被人搞进去然后arp的风险。这方面确实应该多向国外学习，老外的机房在某些规范和制度方面确实做得比国内好得多。

如果是虚拟主机，上面方法可能很多都难以实现，为了保住面子，那些写个防篡改的检测程序吧，随便找个基友什么的空间，绑定好你的域名，检测到自己的首页被改了，dns自动切到防篡改的公告页去，并且通知自己。