我爱电脑技术论坛 » 网络安全区 » 网吧内网 ARP 攻击问题解决方案

wangltx 发表于 2008-6-26 14:46

网吧内网 ARP 攻击问题解决方案

　　9Dh"k%jTz F

%Zf
_%j,i`Qm 　　什么是ARP协议？
ND;}MK.B_
qf(Jn8oc;Jw*t z 　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP攻击，能够在网络中产生大量的ARP通信量使网络阻塞。 m M{0W dy:K%Z%F
&G&j!KUj%^
　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 $bd
h0z4q$P wv

Zrnh1XX W 　　所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。所以说从某种意义上讲ARP协议是工作在更低于IP协议的协议层。这也是为什么ARP攻击更能够让人在神不知鬼不觉的情况下出现网络故障，他的危害更加隐蔽。 T7F2dj%n(kd*k*A|+kK

1OK
v\d'Q 　　ARP攻击的表现
^,QzV~C1I(hb
b vyI*k 　　ARP攻击可以造成内部网络的混乱，让某些被攻击的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。 7_8jFU+u eON3{$ay*P

h {{%t$m vm Lf4W[ 　　而且很多黑客工具例如网络剪刀手等，可以随时发送ARP攻击数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。
{#]q3emgs"M Q.~ zV `k.h.R)K
　　这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP攻击的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP攻击和恢复数据包，这样就增加了网络管理员查找真凶的难度。 KC8dS sk?O

ZwRS[9^S 　　ARP攻击的危害
)@Um-o~)` ]
5[E gsj3P]?#d$Z 　　网上银行、游戏及QQ账号的频繁被盗
9nY y9i QcL;c*}H.N /J]!S_o/d@a:y3W
　　一些人为了获取非法利益，利用ARP攻击程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通 过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用 户账号的详细信息并盗取。 $ZuRj,eI/}"L,Q@

;P%Zk5}e 　　网速时快时慢，极其不稳定，但单机进行外网数据测试时一切正常 EC6n$y}~1{9m9Y&[

#N-?[ L{+@ 　　当局域内的某台计算机被ARP的攻击程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP攻击数据包， 阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。 #L6kWFK
%Q${| Nd B
　　局域网内频繁性区域或整体瞬时掉线，重启计算机或网络设备后恢复正常

ngj!_O*R 2~l#K@ JI/S LlNU
　　当带有ARP攻击程序的计算机在网内进行通讯时，就会导致频繁掉线，即所谓的“闪断”。出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。
,ad+}im9e)yF!Q\ 'c WR.x:N!GB.x
　　ARP攻击的判定
8\e^E%m
E$ky8km(V
　　当发现网络非正常时，网管可任找一台机器，开启DOS窗口并输入“arp　-a” 命令, 会发现很多不同IP地址有着相同的MAC地址表： VLa?8j+hy*E
h1])pl(uO iW#Md
　　Interface: 192.168.0.1 on Interface 0x1000004
6yQ
W&lu&Ng;DF!A$F+a kRUV/RKG
　　Internet Address　　　Physical Address　　　Type
1B5W~!gh
/f(X$M|e*C)d 　　192.168.0.1　　　　   00-e0-1c-8c-9a-0e　　 dynamic
BJ#sD0X5ucc 2`"n5e(\~c%G(a3w
　　192.168.0.101　　　　 00-e0-4c-8c-9a-47　　 dynamic
_#Nn
R0hQ(Ya
HL:u2XN'y-QJ.W 　　192.168.0.102　　　　 00-e0-4c-8c-9a-47　　 dynamicr#T&O*q$`,n`Z X

-NttR!J4UUf 　　192.168.0.104　　　　 00-e0-4c-8c-81-cc　　 dynamic
u7tLT)Y5x
.H `|0J8gb 　　192.168.0.105　　　　 00-e0-4c-8c-9a-47　　 dynamic%j,^;N!V^ G\p

3j"L(S/B)F[C0N~ 　　192.168.0.106　　　　 00-e0-4c-8c-9a-47　　 dynamicE9^Q3d i
$i'i,U hk'U#s
　　192.168.0.107　　　　 00-e0-4c-8c-9a-47　　 dynamic
E)u"F.x-| DBV mf&Bm!D:G:X
　　192.168.0.108　　　　 00-e0-4c-8c-9a-47　　 dynamic
P9I.HN?B*y ?] @.@M G b)[7W
　　192.168.0.112　　　　 00-e0-4c-8c-9a-47　　 dynamic.T;k3b\#sy

^c\p"W r 　　192.168.0.114　　　　 00-e0-4c-8c-81-cc　　 dynamic
6^q
q~J$@:f
Qi7c4nHK 　　192.168.0.115　　　　 00-e0-4c-8c-9a-47　　 dynamic%[ oD6OT0ir ]K4w
n)F,R,sf2K.|F
　　192.168.0.116　　　　 00-e0-4c-8c-9a-47　　 dynamic-w"dXQRfB:_
Tjb}k%O
　　192.168.0.117　　　　 00-e0-4c-8c-9a-47　　 dynamicz'u.BB-V2z C/i1F
2R2z&a2P/S:R{w
　　我们可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后需要网管在每台工作站DOS窗口中输入“ipconfig　/all” 命令，察看每台机器的MAC地址： ,t+fI8g^.I Aht

0k V FUU7C!H 　　Connection-specific DNS Suffix　. :Naw:q1Fnzg
oO3Vb0X A5it
　　Description . . . . . . . . . . . : RTL8139
zA f2G/? ^X.L 0^h{8}"i;u/j]J Z[
　　Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47
WvB2Wm1|n!I'bU k+z{SU$hM$l};J
　　DHCP Enabled. . . . . . . . . . . : No
u m3FQs-`!I TSVX'T+C q9P\
　　IP Address. . . . . . . . . . . . : 192.168.0.133
yM*E1Hh&M1L #\k%^ V/k#X-O
　　Subnet Mask . . . . . . . . . . . : 255.255.255.0D5OV7\,E

'A#[7as
MBHtP 　　Default Gateway . . . . . . . . . : 192.168.0.1,cmQh}!MkB
;[sSIeo
　　DNS Servers . . . . . . . . . . . : 61.177.7.1
D*f g+d
r8y
r!_:KA*hZ*e+NO 　　通过以上步骤定位到染毒的机器。 :B5cZ.D2lS"l

9Z!n&u EOL/N.eb 　　ARP攻击防护方案z8n9qDM"iK i
5l|u A*[
　　[b]双向绑定[/b]
3d(V
pw0^(tE 0w9P9?[iT
　　之前我们介绍过ARP欺骗主要是通过伪造IP地址和MAC地址实现的. 因此,我们不要把网络安全信任关系建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上。 e,U2o{S
`0xA8R#DX
　　海蜘蛛路由系统支持MAC和IP地址双向绑定.强行让MAC和IP一一对应,保证ARP表不被更改,从而防止了ARP欺骗的发生.同时系统提供ARP攻击报警功能,当内网里出现ARP攻击的时候,系统会及时鸣笛预警,并显示问题主机.以方便网络管理人员能即时修复问题主机。
#j
rRL;\ f%l%E&O:nS \D9u;Hz
　　[img]http://w.hi-spider.com/include/images/solution/arp_binding.jpg[/img]
!P?A]2r
yKtu#C h8D?4j*?yv6y
　　绑定方式我们提供了普通绑定和强制绑定，使用者可以根据网络的要求来自行选择。导入方式我们也提供了多种方法，1. 手动一条条的导入对应信息。2. ARP扫描当前局域网所以机器的IP和MAC的对应关系，或者选择从当前ARP缓存里面直接导入。同时路由还会定期自动扫描局域网中未绑定的机器，以方便使用者添加. +X0{0fvF#g;w2]\
2\ PH h$b`"Gs6X:Z
　　[b]PPPOE服务器模式[/b] 8? Xv,A&]I
M X:v&b
6KXN PJ
　　除了双绑以外还可以采用另外一种方式来防止ARP欺骗，就是开启海蜘蛛路由系统里的PPPOE服务器,设置一组帐号和密码,然后每台客户机建立一个PPPOE拨号连接,通过认证的方式接入路由器,最后由路由器NAT转发到外网.
C1y0b$ZCS} F+G%z Z"M*s[*n
　　由于这种方式相当于是给每台客户机与路由之间单独建立了一条虚拟线路,而不是通过ARP表的转发,因此从根本上杜绝了ARP欺骗的可能性。
[u3U)e+Eg"I A

\1k:q:T6D?%f? 　　[b]安装ARP神盾 （推荐）[/b]
s#WW&]o J&c $NA%a.h-_f1VDA
　　在客户机上安装使用客户端软件-海盾安全防护软件，可以彻底解决ARP攻击问题，同时还可以有效防御内网 DoS/DDoS 攻击。

查看完整版本: 网吧内网 ARP 攻击问题解决方案