網(wǎng)絡(luò)掉線的罪魁禍?zhǔn)住�—ARP欺騙/攻擊

zhouabc2007

現(xiàn)在企業(yè)局域網(wǎng)中感染ARP病毒的情況比較多，給局域網(wǎng)的正常使用造成了很大的影響，同時(shí)清理和防范都比較困難，給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。下面飛魚星工程師把處理此類問(wèn)題的一些經(jīng)驗(yàn)與大家分享。

什么是ARP病毒
　　ARP協(xié)議本身并不是病毒，只是很多木馬程序、病毒都采用了該協(xié)議，這些木馬病毒也經(jīng)常出現(xiàn)在游戲的外掛中。
在一般的網(wǎng)絡(luò)中，路由器和PC均帶有ARP緩存，因此這兩類設(shè)備最容易受到ARP攻擊。如同路由器受到ARP攻擊時(shí)數(shù)據(jù)包不能到達(dá)PC一樣，上網(wǎng)PC受到ARP攻擊時(shí)，數(shù)據(jù)包也不會(huì)發(fā)送到路由器上，而是發(fā)送到一個(gè)錯(cuò)誤的地方，當(dāng)然也就無(wú)法通過(guò)路由器上網(wǎng)了。
ARP欺騙攻擊的癥狀
計(jì)算機(jī)網(wǎng)絡(luò)連接正常，有時(shí)候PC無(wú)法訪問(wèn)外網(wǎng)，重新啟動(dòng)路由器又好了，過(guò)一會(huì)又不行了；
用戶私密信息（如QQ、網(wǎng)游等帳號(hào)）被竊取；
局域網(wǎng)內(nèi)的ARP廣播包巨增，使用ARP查詢時(shí)發(fā)現(xiàn)不正常的MAC地址，或者是錯(cuò)誤的MAC地址，還有一個(gè)MAC地址對(duì)應(yīng)多個(gè)IP的情況；
局域網(wǎng)內(nèi)出現(xiàn)網(wǎng)絡(luò)擁塞，甚至一些網(wǎng)絡(luò)設(shè)備當(dāng)機(jī)。

ARP欺騙攻擊的原理
ARP欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)：
第一， 以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配；
第二， ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi)，或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫(kù)MAC/IP不匹配。
簡(jiǎn)單的來(lái)打個(gè)比方來(lái)說(shuō)，APR欺騙攻擊類似于：
ARP欺騙攻擊網(wǎng)關(guān)，路人甲到郵局冒充自己是路人乙，在郵局將路人乙的包裹領(lǐng)走了，而路人乙去郵局領(lǐng)包裹的時(shí)候，郵局沒(méi)有辦法給出包裹；
ARP欺騙攻擊PC，路人甲主動(dòng)告訴路人乙自己是郵局工作人員，讓路人乙把需要郵寄的包裹交給了路人甲，回頭路人甲把包裹占為己有，并不會(huì)為路人乙郵寄包裹。

ARP欺騙攻擊的解決辦法
　　針對(duì)ARP欺騙攻擊的防御，飛魚星科技于2005年率先提出針對(duì)ARP欺騙攻擊的主動(dòng)防御理念，目前國(guó)內(nèi)同類產(chǎn)品也以類似方式防御，即：增大路由器ARP信息主動(dòng)廣播密度，從而減少PC遭受ARP欺騙攻擊的可能。
　　現(xiàn)在市面上某些產(chǎn)品或軟件加強(qiáng)了ARP主動(dòng)廣播的密度，意圖通過(guò)高密度廣播達(dá)到減緩或抑制內(nèi)網(wǎng)PC遭受ARP欺騙的目的，但實(shí)際運(yùn)用效果來(lái)看，加強(qiáng)廣播密度的做法：一方面，高密度的內(nèi)網(wǎng)廣播，給網(wǎng)絡(luò)帶來(lái)了繁重的負(fù)擔(dān)，甚至產(chǎn)生廣播風(fēng)暴，導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓；另一方面，如果內(nèi)網(wǎng)中毒過(guò)重，那單純依靠某臺(tái)設(shè)備的高密度廣播也是有限的，隨著內(nèi)網(wǎng)中毒PC數(shù)量的增加，ARP欺騙攻擊廣播勢(shì)必會(huì)壓過(guò)路由器或軟件主動(dòng)廣播的密度，從而斷網(wǎng)問(wèn)題仍然懸而未決，用戶怨聲載道。
因此，為減少網(wǎng)絡(luò)廣播壓力，有效抑制網(wǎng)絡(luò)廣播風(fēng)暴，飛魚星工程師推薦用戶采用雙向IP/MAC地址綁定的方式來(lái)解決和防止ARP欺騙攻擊所導(dǎo)致網(wǎng)絡(luò)的時(shí)斷時(shí)續(xù)。
1、在PC上綁定路由器的IP和MAC地址：
方法一、安裝智能網(wǎng)關(guān)IP/MAC地址綁定軟件
推薦使用：“網(wǎng)關(guān)智能綁定精靈 正式版 2.0”，通過(guò)該軟件的下載和安裝，PC重啟后自動(dòng)綁定網(wǎng)關(guān)IP/MAC地址，軟件還提供兩個(gè)附加IP/MAC地址的手動(dòng)綁定策略（支持綁定服務(wù)器等附加綁定），針對(duì)本地ARP信息變更，提供報(bào)警提示服務(wù)。
下載地址：http://download.pchome.net/internet/tools/66075.html（PCHOME提供）
方法二、手動(dòng)綁定網(wǎng)關(guān)IP/MAC
　　（1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如，飛魚星高性能寬帶路由器局域網(wǎng)口的IP地址為：192.168.160.1，MAC地址為：00-3c-01-50-3f-66）。
　　（2）用記事本編寫一個(gè)批處理文件Varp.bat內(nèi)容如下：
　　@echo off
　　arp -d
　　arp -s 192.168.160.1 00-3c-01-50-3f-66
　　（將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)局域網(wǎng)口的IP地址和MAC地址即可。）
將“Varp.bat”批處理軟件拖動(dòng)（移動(dòng)）到“開始”-->“程序”-->“啟動(dòng)”中。
2、在路由器上綁定內(nèi)網(wǎng)所有PC的IP和MAC地址：
　　以飛魚星Volans-4920GP高性能寬帶路由器為例，在設(shè)備配置頁(yè)面“網(wǎng)絡(luò)安全”的“IP-MAC綁定” 中的“掃描MAC”，掃描到的未綁定主機(jī)通過(guò)“>>>”功能鍵添加掃描地址至綁定列表

雙向地址綁定結(jié)合飛魚星高性能寬帶路由器完善的攻擊防御體系，讓您的網(wǎng)絡(luò)更安全，更穩(wěn)定 3、找到感染ARP病毒的機(jī)器 　　通過(guò)飛魚星路由器配置界面的“系統(tǒng)狀態(tài)”-->“系統(tǒng)日志”，查看ARP欺騙攻擊的對(duì)應(yīng)日志信息。（如圖三所示） 　　通過(guò)飛魚星路由器后臺(tái)命令提示符下管理，查看路由器ARP信息，最終查找到攻擊來(lái)源MAC地址對(duì)應(yīng)IP地址，從而及時(shí)、有效的解決故障機(jī)問(wèn)題。 其他排查辦法： （1）在未綁定PC上Ping路由器網(wǎng)關(guān)的IP地址，然后使用“arp -a”命令，查看網(wǎng)關(guān)對(duì)應(yīng)的MAC地址是否與實(shí)際情況相符，如有不符，可去查找與該MAC地址對(duì)應(yīng)的PC。 （2）使用抓包工具，分析所得到的ARP數(shù)據(jù)報(bào)。有些ARP病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假ARP回應(yīng)包來(lái)混淆網(wǎng)絡(luò)通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識(shí)別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。 （3）使用MAC地址掃描工具，Nbtscan掃描全網(wǎng)段IP地址和MAC地址對(duì)應(yīng)表，有助于判斷感染ARP病毒對(duì)應(yīng)MAC地址和IP地址。 4、飛魚星工程師提醒您： （1）經(jīng)常更新內(nèi)網(wǎng)所有PC操作系統(tǒng)的補(bǔ)丁； （2）安裝正版的殺毒軟件，及時(shí)更新病毒庫(kù)，并做定期的病毒掃描； （3）無(wú)論網(wǎng)絡(luò)規(guī)模大小，盡量使用手動(dòng)指定IP地址方式管理，而不是使用DHCP來(lái)分配IP地址。 本文轉(zhuǎn)自:http://www.pconline.com.cn/network/solution/0709/1120035_1.html

acer888

頂了，前段時(shí)間是飽受煎熬啊！

redboy0909

恩
是的,剛剛經(jīng)受了考驗(yàn)