校園網(wǎng)內(nèi)對(duì)ARP攻擊的處理及防御

葉倩文 三水區(qū)工業(yè)中專

校園網(wǎng)內(nèi)對(duì)ARP攻擊的處理及防御

葉倩文 三水區(qū)工業(yè)中專

在校園局域網(wǎng)上，我們需要使用ARP協(xié)議來進(jìn)行IP地址和MAC地址進(jìn)行轉(zhuǎn)換。但近年來網(wǎng)絡(luò)上出現(xiàn)了大量的木馬程序，通過偽造IP地址和MAC地址可實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)速度減慢甚至中斷。這種行為我們稱之為ARP攻擊，這種非法的攻擊對(duì)網(wǎng)絡(luò)的安全造成了嚴(yán)重威脅。本文對(duì)于ARP攻擊給出了有效的處理及防御方法。

校園網(wǎng)；局域網(wǎng)；MAC地址；ARP攻擊

近幾年，在我校校園網(wǎng)內(nèi)，我們經(jīng)常會(huì)受到各種攻擊，最常見的是ARP攻擊。ARP是一個(gè)協(xié)議，作用是用于把IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。現(xiàn)在網(wǎng)絡(luò)上有很多木馬程序，能夠通過偽造IP地址和MAC地址以實(shí)現(xiàn)ARP欺騙，它能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)速度減慢甚至中斷。因此，如何防范ARP攻擊，以及對(duì)攻擊進(jìn)行有效的處理，是近幾年來網(wǎng)絡(luò)安全方面的一個(gè)熱門話題。

根據(jù)我們學(xué)校校園網(wǎng)的具體情況，我在這里談一下ARP攻擊的特征以及如何處理、預(yù)防攻擊事件的一些方法與心得。

一、癥狀和危害

如果局域網(wǎng)受到arp攻擊，則網(wǎng)速變得非常慢，甚至無法上網(wǎng)，如果主機(jī)裝有防火墻，則防火墻會(huì)不停提示受到了arp攻擊。這是因?yàn)椋琣rp攻擊會(huì)占用大量的交換機(jī)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)行，因?yàn)檫@種攻擊是采用木馬程序進(jìn)行入侵的，所以，這種攻擊甚至能套取我們帳號(hào)、密碼，對(duì)我們?cè)斐刹豢蓮浹a(bǔ)的損失。

二、故障定位和處理方法

首先，我們需要在交換機(jī)處于正常工作的時(shí)候，定期收集網(wǎng)內(nèi)各計(jì)算機(jī)的MAC地址，便于在攻擊事件發(fā)生時(shí)進(jìn)行故障定位。并用dis arp port-number（華為交換機(jī)上使用）命令定期查看網(wǎng)絡(luò)上IP與MAC地址的對(duì)應(yīng)關(guān)系，如果發(fā)現(xiàn)多臺(tái)主機(jī)對(duì)應(yīng)同一個(gè)MAC地址，則表明網(wǎng)絡(luò)很有可能受到ARP攻擊（在明確網(wǎng)內(nèi)沒有主機(jī)隨意改動(dòng)過MAC的情況下）。

從上面數(shù)據(jù)可見，病毒源應(yīng)該是0011-5b9a-4583這個(gè)MAC地址對(duì)應(yīng)的計(jì)算機(jī)，我們就可以在交換機(jī)上把該MAC地址對(duì)應(yīng)的計(jì)算機(jī)所在端口關(guān)閉掉，并對(duì)下一級(jí)進(jìn)行排查。

還有一個(gè)規(guī)律就是，當(dāng)我們使用dis arp port-number列表以后，病毒機(jī)向交換機(jī)發(fā)出的請(qǐng)求往往是最頻繁的，一般都是列在最后行。通過觀察這個(gè)最后行，我們可以發(fā)現(xiàn)，別人的IP和MAC都是隨時(shí)間往上移動(dòng)的，獲取時(shí)間周期是逐步縮短，而這個(gè)病毒機(jī)，要是你設(shè)置的老化時(shí)間是20分鐘查詢一次，它永遠(yuǎn)都是排最后，老化時(shí)間永遠(yuǎn)都還剩余20分鐘。

如果網(wǎng)內(nèi)計(jì)算機(jī)上安裝了360ARP防火墻，那更好辦，在受到攻擊時(shí)，主機(jī)上會(huì)有攔截提示，但注意，現(xiàn)在的木馬不是直接就顯示出中毒機(jī)的MAC地址，而是偽裝交換機(jī)網(wǎng)關(guān)地址進(jìn)行欺騙攻擊，你用360查的時(shí)候可以采用“追蹤攻擊源IP”，這個(gè)時(shí)候查到的MAC地址才是真正的中毒機(jī)MAC地址。如圖1所示。

而一般情況下，判別一臺(tái)主機(jī)是否成為了病毒源，有一個(gè)很簡單的判別方法，在交換機(jī)上，我們通過觀察該主機(jī)所連接的端口，指示燈會(huì)閃爍得很厲害，這也是作為判斷的主要依據(jù)之一。

找到問題機(jī)器后要立即對(duì)其進(jìn)行斷網(wǎng)，殺毒，殺木馬。

三、預(yù)防措施

當(dāng)然，我們不能一味被動(dòng)地在攻擊發(fā)生后才進(jìn)行處理，我們還需要進(jìn)行一定的預(yù)防措施，在這里，我們可以通過在交換機(jī)上把IP地址與MAC地址進(jìn)行綁定來解決。方法如下：

圖1

這是一種全局的捆綁，不管下面調(diào)到什么端口都是有效的，當(dāng)然，這樣做也只是一種被動(dòng)的做法，如果客戶端換網(wǎng)卡了，或者是改IP了，那必須重新綁定。

而且，捆綁后能有效防止攻擊的前提是，局域網(wǎng)內(nèi)沒有ARP病毒源，交換機(jī)還沒有受到ARP攻擊，但是，如果網(wǎng)絡(luò)內(nèi)已經(jīng)存在病毒源了，那么，ARP攻擊仍然會(huì)存在，它雖然改變不了局域網(wǎng)內(nèi)其他主機(jī)的MAC地址，但是ARP攻擊仍然會(huì)占用交換機(jī)大量資源，令交換機(jī)不能正常工作，甚至down掉。所以，最好的辦法還是從源頭上解決病毒源，硬件方面，可以加裝具有防止ARP攻擊或者是異常流量控制的防火墻；軟件方面，就是加強(qiáng)防毒殺毒意識(shí)，例如，主機(jī)上安裝ARP防火墻和殺毒軟件，并及時(shí)進(jìn)行升級(jí)。

我們還需要在平常加強(qiáng)對(duì)客戶機(jī)的管理，在局域網(wǎng)上出公告，說明ARP攻擊的危害性，建議用戶不要上黃色網(wǎng)站、個(gè)人網(wǎng)站，或是那些騙子網(wǎng)站，也不要隨便安裝來歷不明的軟件，特別是一些個(gè)人網(wǎng)站下載的軟件，安裝前最好查毒。而給各用戶在客戶機(jī)上安裝一個(gè)ARP防火墻是最有效的預(yù)防方法。

四、總結(jié)

ARP攻擊造成的影響是整個(gè)網(wǎng)絡(luò)的問題，而不是僅僅憑個(gè)人在主機(jī)上處理一下就可以解決的，最重要的是網(wǎng)絡(luò)管理員需要加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，管理好交換機(jī)，及時(shí)做好安全防備措施，在發(fā)現(xiàn)問題后能及時(shí)進(jìn)行有效的處理。

[1] 雷震甲.網(wǎng)絡(luò)工程師.清華大學(xué)出版社.2009-8-1

[2] 崔北亮,楊小健.針對(duì)校園網(wǎng)中ARP攻擊的防御.南京工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版).2007年05期