网络掉线的罪魁祸首——ARP欺骗/攻击

zhouabc2007

现在企业局域网中感染ARP病毒的情况比较多，给局域网的正常使用造成了很大的影响，同时清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。下面飞鱼星工程师把处理此类问题的一些经验与大家分享。

什么是ARP病毒
　　ARP协议本身并不是病毒，只是很多木马程序、病毒都采用了该协议，这些木马病毒也经常出现在游戏的外挂中。
在一般的网络中，路由器和PC均带有ARP缓存，因此这两类设备最容易受到ARP攻击。如同路由器受到ARP攻击时数据包不能到达PC一样，上网PC受到ARP攻击时，数据包也不会发送到路由器上，而是发送到一个错误的地方，当然也就无法通过路由器上网了。
ARP欺骗攻击的症状
计算机网络连接正常，有时候PC无法访问外网，重新启动路由器又好了，过一会又不行了；
用户私密信息（如QQ、网游等帐号）被窃取；
局域网内的ARP广播包巨增，使用ARP查询时发现不正常的MAC地址，或者是错误的MAC地址，还有一个MAC地址对应多个IP的情况；
局域网内出现网络拥塞，甚至一些网络设备当机。

ARP欺骗攻击的原理
ARP欺骗攻击的包一般有以下两个特点：
第一， 以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配；
第二， ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。
简单的来打个比方来说，APR欺骗攻击类似于：
ARP欺骗攻击网关，路人甲到邮局冒充自己是路人乙，在邮局将路人乙的包裹领走了，而路人乙去邮局领包裹的时候，邮局没有办法给出包裹；
ARP欺骗攻击PC，路人甲主动告诉路人乙自己是邮局工作人员，让路人乙把需要邮寄的包裹交给了路人甲，回头路人甲把包裹占为己有，并不会为路人乙邮寄包裹。

ARP欺骗攻击的解决办法
　　针对ARP欺骗攻击的防御，飞鱼星科技于2005年率先提出针对ARP欺骗攻击的主动防御理念，目前国内同类产品也以类似方式防御，即：增大路由器ARP信息主动广播密度，从而减少PC遭受ARP欺骗攻击的可能。
　　现在市面上某些产品或软件加强了ARP主动广播的密度，意图通过高密度广播达到减缓或抑制内网PC遭受ARP欺骗的目的，但实际运用效果来看，加强广播密度的做法：一方面，高密度的内网广播，给网络带来了繁重的负担，甚至产生广播风暴，导致整个网络的瘫痪；另一方面，如果内网中毒过重，那单纯依靠某台设备的高密度广播也是有限的，随着内网中毒PC数量的增加，ARP欺骗攻击广播势必会压过路由器或软件主动广播的密度，从而断网问题仍然悬而未决，用户怨声载道。
因此，为减少网络广播压力，有效抑制网络广播风暴，飞鱼星工程师推荐用户采用双向IP/MAC地址绑定的方式来解决和防止ARP欺骗攻击所导致网络的时断时续。
1、在PC上绑定路由器的IP和MAC地址：
方法一、安装智能网关IP/MAC地址绑定软件
推荐使用：“网关智能绑定精灵 正式版 2.0”，通过该软件的下载和安装，PC重启后自动绑定网关IP/MAC地址，软件还提供两个附加IP/MAC地址的手动绑定策略（支持绑定服务器等附加绑定），针对本地ARP信息变更，提供报警提示服务。
下载地址：http://download.pchome.net/internet/tools/66075.html（PCHOME提供）
方法二、手动绑定网关IP/MAC
　　（1）首先，获得路由器的内网的MAC地址（例如，飞鱼星高性能宽带路由器局域网口的IP地址为：192.168.160.1，MAC地址为：00-3c-01-50-3f-66）。
　　（2）用记事本编写一个批处理文件Varp.bat内容如下：
　　@echo off
　　arp -d
　　arp -s 192.168.160.1 00-3c-01-50-3f-66
　　（将文件中的网关IP地址和MAC地址更改为您自己的网关局域网口的IP地址和MAC地址即可。）
将“Varp.bat”批处理软件拖动（移动）到“开始”-->“程序”-->“启动”中。
2、在路由器上绑定内网所有PC的IP和MAC地址：
　　以飞鱼星Volans-4920GP高性能宽带路由器为例，在设备配置页面“网络安全”的“IP-MAC绑定” 中的“扫描MAC”，扫描到的未绑定主机通过“>>>”功能键添加扫描地址至绑定列表

双向地址绑定结合飞鱼星高性能宽带路由器完善的攻击防御体系，让您的网络更安全，更稳定 3、找到感染ARP病毒的机器 　　通过飞鱼星路由器配置界面的“系统状态”-->“系统日志”，查看ARP欺骗攻击的对应日志信息。（如图三所示） 　　通过飞鱼星路由器后台命令提示符下管理，查看路由器ARP信息，最终查找到攻击来源MAC地址对应IP地址，从而及时、有效的解决故障机问题。 其他排查办法： （1）在未绑定PC上Ping路由器网关的IP地址，然后使用“arp -a”命令，查看网关对应的MAC地址是否与实际情况相符，如有不符，可去查找与该MAC地址对应的PC。 （2）使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。 （3）使用MAC地址扫描工具，Nbtscan扫描全网段IP地址和MAC地址对应表，有助于判断感染ARP病毒对应MAC地址和IP地址。 4、飞鱼星工程师提醒您： （1）经常更新内网所有PC操作系统的补丁； （2）安装正版的杀毒软件，及时更新病毒库，并做定期的病毒扫描； （3）无论网络规模大小，尽量使用手动指定IP地址方式管理，而不是使用DHCP来分配IP地址。 本文转自:http://www.pconline.com.cn/network/solution/0709/1120035_1.html

acer888

顶了，前段时间是饱受煎熬啊！

redboy0909

恩
是的,刚刚经受了考验