一、名词解释

ARP日志，记录ARP攻击时的相关信息

ARP攻击---英文原义：Address resoulution protocol

               中文释义：地址解析协议

ARP协议的基本功能就是通过目标设置的IP地址，查询目标设备的MAC地址以保证通信的顺利进行。

二、如何使用

ARP的攻击主要有以下几种方式   
1.简单的欺骗攻击 
这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内.
2.交换环境的嗅探 
在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.   

3.MAC Flooding 
这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信

4.基于ARP的DOS
这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机. 

防护方法: 
1. IP+MAC访问控制. 
单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一. 

2. 静态ARP缓存表. 
每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表 C:Documents and Settingscnqing>arp -a 
Interface: 210.31.197.81 on Interface 0x1000003 Internet Address Physical Address Type 210.31.197.94 00-03-6b-7f-ed-02 dynamic 
其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC. 执行"arp -s 210.31.197.94 
00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表. C:Documents and Settingscnqing>arp -a 
Interface: 210.31.197.81 on Interface 0x1000003 Internet Address Physical Address Type 
210.31.197.94 00-03-6b-7f-ed-02 static 
此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.

3. ARP 高速缓存超时设置 
在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.

4. 主动查询 
在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率. 

总结:ARP本身不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯。

三、ARP问题处理思路

1、什么是ARP欺骗

ARP欺骗（英语：ARP spoofing），又称ARP毒化（ARP poisoning，网上上多译为ARP病毒）或ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包，且可让网上上特定计算机或所有计算机无法正常连线。最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》（ARP and ICMP redirection games）。

来自百度百科：

https://baike.baidu.com/item/ARP%E6%AC%BA%E9%AA%97

2、ARP欺骗的症状

    （1）网络时断时通；

    （2）网络中断，重启网关设备，网络短暂连通

    （3）内网通讯正常、网关不通；

    （4）频繁提示IP地址冲突；

    （5）硬件设备正常，局域网不通；

    （6）特定IP网络不通，更换IP地址，网络正常；

    （7）禁用-启用网卡，网络短暂连通；

    （8）网页被重定向。

3、如何解决ARP日志中出现的ARP攻击记录

ARP欺骗基于爱快ARP日志分为两种情况

第一种情况：

ARP冲突（内网双终端使用相同IP地址与路由通信）

解决办法：

如果mac地址熟知是哪个终端，直接到对应终端的IPV4上查询是

否使用静态IP地址，故意造成冲突存在（解决办法：修改非冲突

IP或者使用爱快自动获取即可）。

如果mac地址不熟知，那么可以把IP冲突的两个设备的Mac地址添加到Mac访问控制里，禁止这两个使用相同IP的终端上网，等待不能上网的人员联系你就OK了哈；或者从物理架构上逐一排查，从一级交换到二级交换逐层拔掉网线，验证拔到哪里时候ARP日志不再次出现，即发现设备，顺网线找到设备核准上述问题情况或者检查内网是否有其他DHCP服务端，未校验分配状态，导致双DHCP工作条件下的IP重复分发（解决办法：关闭其他DHCP服务，同局域网标准仅允许一个DHCP服务）

第二种情况：

ARP欺骗（一般代指网关冲突，如爱快使用1.1，内网其他终端也在使用1.1），冲突与欺骗分别对应的是所处位置的看法（一般说使用者，也就是上网终端去理解）。对于使用相同IP的双终端本身而言，他们之间就是ARP冲突；对于网关有多台设备出现，这个就是对自己的欺骗。

解决办法：
(1 ) 在网关冲突但是内网没有其他DHCP服务器冲突的条件时：
简单处理方式：必须找到对应也使用爱快路由器lan口，即网关地址的设备，
修改其使用IP地址，与局域网真实网关不同。
复杂处理方式：在无法找到或者无法修改，请直接修改爱快路由器的lan口IP
并伴随修改爱快DHCP服务。

(2) 如果在爱快路由器上检测有网关冲突并且内网还有其他DHCP服务器的时候：
简单处理方式：找到对应也使用爱快路由器lan口，即网关地址的设备，修改其使
用IP地址，与局域网真实网关不同。关闭其DHCP服务。
复杂处理方式：直接修改爱快路由器的lan口IP并伴随修改爱快DHCP服务。
并且在接入的交换机上启用DHCPsnooping，接终端的网
口设为不信任口，接上级路由器的网口设为信任口；确保客户端
从合法的DHCPServer获取IP地址。

（3）如果上述方法没有办法实际操作，可以采用支持端口隔离功能的的交换机，在交
换机上开启端口隔离功能实现此功能。不过端口隔离技术也有缺点，就是计算机之间不能实现互访和共享。

三、常见问题

问:日志中心相关【用户日志、功能日志、系统日志】的日志可以记录多久?

答:日志中心是根据条数来循环的最大记录条数如下;

sys_event                         =5000，                       系统日志

Pppd                                =5000，                       认证日志

Arp                                  =20000，                      ARP日志

Pppauth                           =20000，                      认证日志

ik_dhcpd                          =20000，                      DHCP日志

Ddns                                =5000，                       动态域名日志

Webadmin                        =5000，                        操作日志

Wanpppoe                        =5000，                        外网拨号日志

PPPoe_server                    =500，                          推送通知日志

ap_action                         =10000，                       无线终端日志

rt_collect_event                =20000，                       告警信息