局域网ARP攻击解决方案2..doc

局域网ARP攻击解决方案 目前有一种网络破坏行为很常见，主要发生在局域网中，这种破坏行为利用了ARP地址解析协议的工作过程，故障现象是：忽然整个内部网络的电脑全部不能上网了、或者一台一台掉线。发生故障以后，只需要将电脑重新启动或者交换机重新启动就可以恢复正常。 这种破坏行为利用了ARP协议的工作过程，一般是内网某台电脑中了病毒，病毒无规律的自动进行破坏，或者是内网某台电脑的操作者故意发起攻击。本文档对于这种攻击将进行简单的分析介绍并给出解决方案。 一，攻击原理分析 在局域网里每个节点都有自己的IP地址和MAC地址。如上图是一个局域网示意图，图中给出了三对IP地址和MAC地址的组合，如下表格： IP 地址 MAC 地址 网关路由器 192.168.1.1 00-00-00-00-00-01 电脑A 192.168.1.20 00-00-00-00-00-20 电脑B 192.168.1.30 00-00-00-00-00-30 如果电脑A需要上网，电脑A就需要将数据包发送给局域网网关路由器，那么电脑A必须知道网关路由器的MAC地址，所以电脑A就会发出询问的广播包，询问网络里网关路由器的MAC地址是多少（如上图绿色线条）？ 网关路由器收到电脑A的询问广播包后，获知并记录了电脑A的MAC地址，然后回复电脑A（蓝色线条所示），告知电脑A自己的MAC地址是多少？这样电脑A就获知了网关路由器的MAC地址，在相互获知并记录了对方的MAC地址这个基础上两者才开始正常收发数据包。 电脑A获知网关路由器的MAC地址后，将这样一个信息动态保存在自己的ARP地址表中，可以动态即时更新。另外单位时间内电脑A和网关路由器之间没有传输数据包的话，电脑A和网关路由器都会将保存的相应的ARP表条目删除掉。等到有需要的时候，再次通过上面询问的方式重新获取对方的MAC地址就可以了。 上面这样一个询问对方MAC地址，然后相互发送数据包的过程一直正常运转着。忽然，ARP攻击发生了，示意图如下： 如上图所示，局域网中某台电脑（IP地址为192.168.1.30）发起ARP攻击，它向局域网中发送了一个ARP广播包（红色线条所示），告诉所有的电脑：“现在进行广播，局域网的网关路由器MAC地址已经不是以前的00-00-00-00-00-01了，而是新的MAC地址00-00-00-00-00-30 ，请各位更新自己的ARP表。” 就这样所有的电脑都被欺骗了，将自己的ARP条目条中对应网关路由器的MAC地址更新为这个假网关的MAC地址，更新过以后，这些电脑凡是发往网关的数据包都不再发向00-00-00-00-00-01这个正确的MAC地址，而是发往了错误的MAC地址00-00-00-00-00-30（绿色线条所示），因为所有电脑都被欺骗并更新了自己的ARP条目。 根据上面的演示，所有本应发送到正确网关路由器MAC地址的数据包，都发往错误的假网关MAC地址了，而一般发往网关路由器的数据包都是去往互联网的，所以发生ARP攻击最常见的现象是：瞬间所有需要上网的电脑，都无法上网！这个时候无论是PING网关路由器的IP地址或是尝试登录网关路由器的管理界面，都是失败的，因为所有的数据包都发向了错误的00-00-00-00-00-30而不是真实的网关路由器的MAC地址。 上面我们简明扼要的分析了ARP攻击发生的过程，既然找到了病因，就可以对症下药了。从上面的分析可以得出，故障出现的原因：是因为每台电脑上记录真实网关路由器MAC地址的ARP表是动态的，是允许被动态更新的。如果在每台电脑上采用固定的ARP表条目，不允许动态更新，这样即使有恶意的ARP欺骗包在网络里面进行广播，因为每台电脑的ARP表中都采用静态绑定的方式，将真实网关的MAC地址固定了下来，这样就可以应对ARP攻击的发生。 二，ARP攻击判断 如何判断网络里面发生了ARP攻击呢？ 比如您的网络出口使用的我司宽带路由器作为网关路由器，网络连接拓扑示意图如下： 登录路由器管理界面“运行状态”页面可以看到类似下图的信息： 在上面这幅图片中，可以看到网关路由器的IP地址和MAC地址分别是多少？图中显示网关路由器的MAC地址是00-0A-EB-B9-5C-CE ，那么正常上网的时候，在内网任意一台电脑的DOS界面运行 arp –a 这个命令，可以看到类似下图的信息： 可以看到，任意一台电脑arp –a 的回显信息中，都有一条对应网关路由器的IP地址和MAC地址的条目，可以看到其中的Physical Address就是前面在路由器“运行状态”页面看到的LAN口MAC地址00-0a-eb-b9-5c-ce ，当发生ARP攻击的时候，这个Physical Address就变为另一个MAC地址了，