網(wǎng)絡掉線的罪魁禍首——ARP欺騙/攻擊

zhouabc2007

現(xiàn)在企業(yè)局域網(wǎng)中感染ARP病毒的情況比較多，給局域網(wǎng)的正常使用造成了很大的影響，同時清理和防范都比較困難，給不少的網(wǎng)絡管理員造成了很多的困擾。下面飛魚星工程師把處理此類問題的一些經(jīng)驗與大家分享。

什么是ARP病毒
　　ARP協(xié)議本身并不是病毒，只是很多木馬程序、病毒都采用了該協(xié)議，這些木馬病毒也經(jīng)常出現(xiàn)在游戲的外掛中。
在一般的網(wǎng)絡中，路由器和PC均帶有ARP緩存，因此這兩類設備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數(shù)據(jù)包不能到達PC一樣，上網(wǎng)PC受到ARP攻擊時，數(shù)據(jù)包也不會發(fā)送到路由器上，而是發(fā)送到一個錯誤的地方，當然也就無法通過路由器上網(wǎng)了。
ARP欺騙攻擊的癥狀
計算機網(wǎng)絡連接正常，有時候PC無法訪問外網(wǎng)，重新啟動路由器又好了，過一會又不行了；
用戶私密信息（如QQ、網(wǎng)游等帳號）被竊取；
局域網(wǎng)內(nèi)的ARP廣播包巨增，使用ARP查詢時發(fā)現(xiàn)不正常的MAC地址，或者是錯誤的MAC地址，還有一個MAC地址對應多個IP的情況；
局域網(wǎng)內(nèi)出現(xiàn)網(wǎng)絡擁塞，甚至一些網(wǎng)絡設備當機。

ARP欺騙攻擊的原理
ARP欺騙攻擊的包一般有以下兩個特點：
第一， 以太網(wǎng)數(shù)據(jù)包頭的源地址、目標地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配；
第二， ARP數(shù)據(jù)包的發(fā)送和目標地址不在自己網(wǎng)絡網(wǎng)卡MAC數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡MAC數(shù)據(jù)庫MAC/IP不匹配。
簡單的來打個比方來說，APR欺騙攻擊類似于：
ARP欺騙攻擊網(wǎng)關(guān)，路人甲到郵局冒充自己是路人乙，在郵局將路人乙的包裹領走了，而路人乙去郵局領包裹的時候，郵局沒有辦法給出包裹；
ARP欺騙攻擊PC，路人甲主動告訴路人乙自己是郵局工作人員，讓路人乙把需要郵寄的包裹交給了路人甲，回頭路人甲把包裹占為己有，并不會為路人乙郵寄包裹。

ARP欺騙攻擊的解決辦法
　　針對ARP欺騙攻擊的防御，飛魚星科技于2005年率先提出針對ARP欺騙攻擊的主動防御理念，目前國內(nèi)同類產(chǎn)品也以類似方式防御，即：增大路由器ARP信息主動廣播密度，從而減少PC遭受ARP欺騙攻擊的可能。
　　現(xiàn)在市面上某些產(chǎn)品或軟件加強了ARP主動廣播的密度，意圖通過高密度廣播達到減緩或抑制內(nèi)網(wǎng)PC遭受ARP欺騙的目的，但實際運用效果來看，加強廣播密度的做法：一方面，高密度的內(nèi)網(wǎng)廣播，給網(wǎng)絡帶來了繁重的負擔，甚至產(chǎn)生廣播風暴，導致整個網(wǎng)絡的癱瘓；另一方面，如果內(nèi)網(wǎng)中毒過重，那單純依靠某臺設備的高密度廣播也是有限的，隨著內(nèi)網(wǎng)中毒PC數(shù)量的增加，ARP欺騙攻擊廣播勢必會壓過路由器或軟件主動廣播的密度，從而斷網(wǎng)問題仍然懸而未決，用戶怨聲載道。
因此，為減少網(wǎng)絡廣播壓力，有效抑制網(wǎng)絡廣播風暴，飛魚星工程師推薦用戶采用雙向IP/MAC地址綁定的方式來解決和防止ARP欺騙攻擊所導致網(wǎng)絡的時斷時續(xù)。
1、在PC上綁定路由器的IP和MAC地址：
方法一、安裝智能網(wǎng)關(guān)IP/MAC地址綁定軟件
推薦使用：“網(wǎng)關(guān)智能綁定精靈 正式版 2.0”，通過該軟件的下載和安裝，PC重啟后自動綁定網(wǎng)關(guān)IP/MAC地址，軟件還提供兩個附加IP/MAC地址的手動綁定策略（支持綁定服務器等附加綁定），針對本地ARP信息變更，提供報警提示服務。
下載地址：http://download.pchome.net/internet/tools/66075.html（PCHOME提供）
方法二、手動綁定網(wǎng)關(guān)IP/MAC
　　（1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如，飛魚星高性能寬帶路由器局域網(wǎng)口的IP地址為：192.168.160.1，MAC地址為：00-3c-01-50-3f-66）。
　　（2）用記事本編寫一個批處理文件Varp.bat內(nèi)容如下：
　　@echo off
　　arp -d
　　arp -s 192.168.160.1 00-3c-01-50-3f-66
　　（將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)局域網(wǎng)口的IP地址和MAC地址即可。）
將“Varp.bat”批處理軟件拖動（移動）到“開始”-->“程序”-->“啟動”中。
2、在路由器上綁定內(nèi)網(wǎng)所有PC的IP和MAC地址：
　　以飛魚星Volans-4920GP高性能寬帶路由器為例，在設備配置頁面“網(wǎng)絡安全”的“IP-MAC綁定” 中的“掃描MAC”，掃描到的未綁定主機通過“>>>”功能鍵添加掃描地址至綁定列表

雙向地址綁定結(jié)合飛魚星高性能寬帶路由器完善的攻擊防御體系，讓您的網(wǎng)絡更安全，更穩(wěn)定 3、找到感染ARP病毒的機器 　　通過飛魚星路由器配置界面的“系統(tǒng)狀態(tài)”-->“系統(tǒng)日志”，查看ARP欺騙攻擊的對應日志信息。（如圖三所示） 　　通過飛魚星路由器后臺命令提示符下管理，查看路由器ARP信息，最終查找到攻擊來源MAC地址對應IP地址，從而及時、有效的解決故障機問題。 其他排查辦法： （1）在未綁定PC上Ping路由器網(wǎng)關(guān)的IP地址，然后使用“arp -a”命令，查看網(wǎng)關(guān)對應的MAC地址是否與實際情況相符，如有不符，可去查找與該MAC地址對應的PC。 （2）使用抓包工具，分析所得到的ARP數(shù)據(jù)報。有些ARP病毒是會把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假ARP回應包來混淆網(wǎng)絡通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。 （3）使用MAC地址掃描工具，Nbtscan掃描全網(wǎng)段IP地址和MAC地址對應表，有助于判斷感染ARP病毒對應MAC地址和IP地址。 4、飛魚星工程師提醒您： （1）經(jīng)常更新內(nèi)網(wǎng)所有PC操作系統(tǒng)的補丁； （2）安裝正版的殺毒軟件，及時更新病毒庫，并做定期的病毒掃描； （3）無論網(wǎng)絡規(guī)模大小，盡量使用手動指定IP地址方式管理，而不是使用DHCP來分配IP地址。 本文轉(zhuǎn)自:http://www.pconline.com.cn/network/solution/0709/1120035_1.html

acer888

頂了，前段時間是飽受煎熬啊！

redboy0909

恩
是的,剛剛經(jīng)受了考驗