告辭ARP 凈化網(wǎng)絡(luò)環(huán)境

現(xiàn)在ARP不只是協(xié)議的簡(jiǎn)寫， 還成了掉線的代名詞。 很多網(wǎng)吧和企業(yè)網(wǎng)絡(luò)不穩(wěn)， 無(wú)故掉線， 經(jīng)濟(jì)蒙受了很大的損失。 根據(jù)情況可以看出這是一種存在于網(wǎng)絡(luò)中的一種普遍問(wèn)題。 出現(xiàn)此類問(wèn)題的主要原因就是遭受了ARP攻擊。

由于其變種版本之多， 傳播速度之快， 很多技術(shù)人員和企業(yè)對(duì)其束手無(wú)策。 下面就來(lái)給大家從原理到應(yīng)用談一談這方面的話題。 希望能夠幫大家解決此類問(wèn)題， 凈化網(wǎng)絡(luò)環(huán)境。

　　在局域網(wǎng)中， 通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址， 實(shí)現(xiàn)局域網(wǎng)機(jī)器的通信。 ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。 這是建立在相互信任的基礎(chǔ)上。 如果通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙， 將在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞、掉線、重定向、嗅探攻擊。

　　我們知道每個(gè)主機(jī)都用一個(gè)ARP高速緩存， 存放最近IP地址到MAC硬件地址之間的映射記錄。 Windows高速緩存中的每一條記錄的生存時(shí)間一般為60秒， 起始時(shí)間從被創(chuàng)建時(shí)開始算起。 默認(rèn)情況下， ARP從緩存中讀取IP-MAC條目， 緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動(dòng)態(tài)變化的。 因此， 只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)， 即會(huì)更新ARP高速緩存中的IP-MAC條目。 如：X向Y發(fā)送一個(gè)自己偽造的ARP應(yīng)答， 而這個(gè)應(yīng)答中的數(shù)據(jù)發(fā)送方IP地址是192.168.1.3（Z的IP地址）， MAC地址是DD-DD-DD-DD-DD-DD（Z的真實(shí)MAC地址卻是CC-CC-CC-CC-CC-CC， 這里被偽造了）。 當(dāng)Y接收到X偽造的ARP應(yīng)答， 就會(huì)更新本地的ARP緩存（Y可不知道被偽造了）。 那么如果偽造成網(wǎng)關(guān)呢?

　　Switch上同樣維護(hù)著一個(gè)動(dòng)態(tài)的MAC緩存， 它一般是這樣， 首先， 交換機(jī)內(nèi)部有一個(gè)對(duì)應(yīng)的列表， 交換機(jī)的端口對(duì)應(yīng)MAC地址表Port n <-> Mac記錄著每一個(gè)端口下面存在那些MAC地址， 這個(gè)表開始是空的， 交換機(jī)從來(lái)往數(shù)據(jù)幀中學(xué)習(xí)。 因?yàn)镸AC-PORT緩存表是動(dòng)態(tài)更新的， 那么讓整個(gè) Switch的端口表都改變， 對(duì)Switch進(jìn)行MAC地址欺騙的Flood， 不斷發(fā)送大量假M(fèi)AC地址的數(shù)據(jù)包， Switch就更新MAC-PORT緩存， 如果能通過(guò)這樣的辦法把以前正常的MAC和Port對(duì)應(yīng)的關(guān)系破壞了， 那么Switch就會(huì)進(jìn)行泛洪發(fā)送給每一個(gè)端口， 讓Switch基本變成一個(gè) HUB， 向所有的端口發(fā)送數(shù)據(jù)包， 要進(jìn)行嗅探攻擊的目的一樣能夠達(dá)到。 也將造成Switch MAC-PORT緩存的崩潰， 如下面交換機(jī)中日志所示：

　　Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256

　　Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256

　　ARP攻擊時(shí)的主要現(xiàn)象

　　網(wǎng)上銀行、保密數(shù)據(jù)的頻繁丟失。 當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)， 會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器， 讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。 其他用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)， 切換的時(shí)候用戶會(huì)斷一次線。 切換到病毒主機(jī)上網(wǎng)后， 如果用戶已經(jīng)登陸服務(wù)器， 那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像， 那么用戶就得重新登錄服務(wù)器， 這樣病毒主機(jī)就可以竊取所有機(jī)器的資料了。

　　網(wǎng)速時(shí)快時(shí)慢， 極其不穩(wěn)定， 但單機(jī)進(jìn)行光纖數(shù)據(jù)測(cè)試時(shí)一切正常。 局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線， 重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

　　由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制， 用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。 當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)， 用戶會(huì)恢復(fù)從路由器上網(wǎng)， 切換過(guò)程中用戶會(huì)再次斷線。

　　ARP的解決辦法：

　　目前來(lái)看普遍的解決辦法都是采用雙綁,具體方法：

　　先找到正確的 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址 然后 在客戶端做對(duì)網(wǎng)關(guān)的arp綁定。