葉倩文 三水區(qū)工業(yè)中專

校園網(wǎng)內(nèi)對ARP攻擊的處理及防御

葉倩文 三水區(qū)工業(yè)中專

在校園局域網(wǎng)上，我們需要使用ARP協(xié)議來進行IP地址和MAC地址進行轉(zhuǎn)換。但近年來網(wǎng)絡(luò)上出現(xiàn)了大量的木馬程序，通過偽造IP地址和MAC地址可實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)速度減慢甚至中斷。這種行為我們稱之為ARP攻擊，這種非法的攻擊對網(wǎng)絡(luò)的安全造成了嚴重威脅。本文對于ARP攻擊給出了有效的處理及防御方法。

校園網(wǎng)；局域網(wǎng)；MAC地址；ARP攻擊

近幾年，在我校校園網(wǎng)內(nèi)，我們經(jīng)常會受到各種攻擊，最常見的是ARP攻擊。ARP是一個協(xié)議，作用是用于把IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義?，F(xiàn)在網(wǎng)絡(luò)上有很多木馬程序，能夠通過偽造IP地址和MAC地址以實現(xiàn)ARP欺騙，它能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)速度減慢甚至中斷。因此，如何防范ARP攻擊，以及對攻擊進行有效的處理，是近幾年來網(wǎng)絡(luò)安全方面的一個熱門話題。

根據(jù)我們學(xué)校校園網(wǎng)的具體情況，我在這里談一下ARP攻擊的特征以及如何處理、預(yù)防攻擊事件的一些方法與心得。

一、癥狀和危害

如果局域網(wǎng)受到arp攻擊，則網(wǎng)速變得非常慢，甚至無法上網(wǎng)，如果主機裝有防火墻，則防火墻會不停提示受到了arp攻擊。這是因為，arp攻擊會占用大量的交換機帶寬，從而嚴重影響網(wǎng)絡(luò)的正常運行，因為這種攻擊是采用木馬程序進行入侵的，所以，這種攻擊甚至能套取我們帳號、密碼，對我們造成不可彌補的損失。

二、故障定位和處理方法

首先，我們需要在交換機處于正常工作的時候，定期收集網(wǎng)內(nèi)各計算機的MAC地址，便于在攻擊事件發(fā)生時進行故障定位。并用dis arp port-number（華為交換機上使用）命令定期查看網(wǎng)絡(luò)上IP與MAC地址的對應(yīng)關(guān)系，如果發(fā)現(xiàn)多臺主機對應(yīng)同一個MAC地址，則表明網(wǎng)絡(luò)很有可能受到ARP攻擊（在明確網(wǎng)內(nèi)沒有主機隨意改動過MAC的情況下）。

從上面數(shù)據(jù)可見，病毒源應(yīng)該是0011-5b9a-4583這個MAC地址對應(yīng)的計算機，我們就可以在交換機上把該MAC地址對應(yīng)的計算機所在端口關(guān)閉掉，并對下一級進行排查。

還有一個規(guī)律就是，當我們使用dis arp port-number列表以后，病毒機向交換機發(fā)出的請求往往是最頻繁的，一般都是列在最后行。通過觀察這個最后行，我們可以發(fā)現(xiàn)，別人的IP和MAC都是隨時間往上移動的，獲取時間周期是逐步縮短，而這個病毒機，要是你設(shè)置的老化時間是20分鐘查詢一次，它永遠都是排最后，老化時間永遠都還剩余20分鐘。

如果網(wǎng)內(nèi)計算機上安裝了360ARP防火墻，那更好辦，在受到攻擊時，主機上會有攔截提示，但注意，現(xiàn)在的木馬不是直接就顯示出中毒機的MAC地址，而是偽裝交換機網(wǎng)關(guān)地址進行欺騙攻擊，你用360查的時候可以采用“追蹤攻擊源IP”，這個時候查到的MAC地址才是真正的中毒機MAC地址。如圖1所示。

而一般情況下，判別一臺主機是否成為了病毒源，有一個很簡單的判別方法，在交換機上，我們通過觀察該主機所連接的端口，指示燈會閃爍得很厲害，這也是作為判斷的主要依據(jù)之一。

找到問題機器后要立即對其進行斷網(wǎng)，殺毒，殺木馬。

三、預(yù)防措施

當然，我們不能一味被動地在攻擊發(fā)生后才進行處理，我們還需要進行一定的預(yù)防措施，在這里，我們可以通過在交換機上把IP地址與MAC地址進行綁定來解決。方法如下：

圖1

這是一種全局的捆綁，不管下面調(diào)到什么端口都是有效的，當然，這樣做也只是一種被動的做法，如果客戶端換網(wǎng)卡了，或者是改IP了，那必須重新綁定。

而且，捆綁后能有效防止攻擊的前提是，局域網(wǎng)內(nèi)沒有ARP病毒源，交換機還沒有受到ARP攻擊，但是，如果網(wǎng)絡(luò)內(nèi)已經(jīng)存在病毒源了，那么，ARP攻擊仍然會存在，它雖然改變不了局域網(wǎng)內(nèi)其他主機的MAC地址，但是ARP攻擊仍然會占用交換機大量資源，令交換機不能正常工作，甚至down掉。所以，最好的辦法還是從源頭上解決病毒源，硬件方面，可以加裝具有防止ARP攻擊或者是異常流量控制的防火墻；軟件方面，就是加強防毒殺毒意識，例如，主機上安裝ARP防火墻和殺毒軟件，并及時進行升級。

我們還需要在平常加強對客戶機的管理，在局域網(wǎng)上出公告，說明ARP攻擊的危害性，建議用戶不要上黃色網(wǎng)站、個人網(wǎng)站，或是那些騙子網(wǎng)站，也不要隨便安裝來歷不明的軟件，特別是一些個人網(wǎng)站下載的軟件，安裝前最好查毒。而給各用戶在客戶機上安裝一個ARP防火墻是最有效的預(yù)防方法。

四、總結(jié)

ARP攻擊造成的影響是整個網(wǎng)絡(luò)的問題，而不是僅僅憑個人在主機上處理一下就可以解決的，最重要的是網(wǎng)絡(luò)管理員需要加強網(wǎng)絡(luò)安全意識，管理好交換機，及時做好安全防備措施，在發(fā)現(xiàn)問題后能及時進行有效的處理。

[1] 雷震甲.網(wǎng)絡(luò)工程師.清華大學(xué)出版社.2009-8-1

[2] 崔北亮,楊小健.針對校園網(wǎng)中ARP攻擊的防御.南京工業(yè)大學(xué)學(xué)報(自然科學(xué)版).2007年05期