局域网内ARP攻击及防范实现

局域网内ARP攻击及防范实现
摘要：局域网内有人使用ARP欺骗的木马程序来盗用用户的信息。

该方法隐蔽性强，对于用户的危害非常严重，但是没有多少好的解决方法。

总结了一套方法来防止ARP欺骗，希望对大家有所帮助。

关键词：ARP欺骗；MAC地址；防范
要了解攻击原理，我们先来了解一下ARP（Address Resolution Protocol，ARP）地址解析协议。

它是在仅知道主机的IP地址时确定其物理地址的一种协议。

因IPv4和以太网的广泛应用，其主要用作将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDI IP网络中使用。

从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。

ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据链接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

在每台主机的内存中，都有一个arp--> mac 的转换表。

通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。

也就是说，该对应表会被主机在需要的时候刷新。

这是由于以太网在子网层上的传输是靠48位的mac地址而决定的。

通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac 地址。

如果没有找到，该主机就发送一个ARP广播包：“我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1
的主机请告之你的mac来”ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：“我是xxx.xxx.xxx.xx1,我的mac 为xxxxxxxxxx2”于是，主机刷新自己的ARP缓存，然后发出该ip包。

一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3(假设)这个ip开放23端口(telnet), 而他必须要使用telnet来进入这台主机，所以他要这么做：①他先研究192.0.0.3这台主机，发现这台机器使用一个oob炸弹就可以让他死掉；②他送一个洪水包给192.0.0.3的139端口，于是，该机器应包而死；③主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。

将192.0.0.3地址丢去；④这段时间里，入侵者把自己的ip改成192.0.0.3；⑤他发一个ping(icmp 0)给主机，要求主机更新主机的arp转换表；⑥主机找到该ip，然后在arp表中加入新的ip-->mac对应关系；⑦防火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

2故障现象
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有的主机和路由器，让所有上网的流量必须经过木马主机。

其他用户原来直接通过路由器上网现在转由通过木马主机上网，切换的时候用户会断一次线。

切换到木马主机上网后，如果用户已经登录了网游服务器，那么木马主机就会经常伪造断线的现象，使用户重新登录服
务器，这样木马主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。

当ARP 欺骗的木马程序停止运行时，用户恢复从路由器上网，切换过程中用户会再断一次线。

3在局域网内查找病毒主机
以我校局域网曾经出现的症状，演示如何查找感染了ARP病毒（木马）的主机。

3.1网络拓扑图
如图1所示，上行S3206为用户网关，级联S2826为接入用户交换机，用户使用静态IP地址。

图1网络拓扑图
3.2故障现象
很多用户反映上网速度慢，ping网关时延抖动严重，且丢包。

3.3故障分析
由于故障涉及用户较多，且分布在不同的接入交换机上，所以在S3206上用命令show logging alarm查看，发现如下告警信息：
S3206#show logging alarm
An alarm 19712 level 6 occurred at 15:20:06 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address
10.40.190.10 is changed from 0015.58c4.3c48 to 0018.f3d9.ab19
An alarm 19712 level 6 occurred at 15:20:09 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.191.28 is changed from 0014.2ab6.6c53 to 0018.f3d9.ab19
An alarm 19712 level 6 occurred at 15:20:10 05/25/2010 UTC sen by MCP %ARP% The hardware address of IP address 10.40.190.70 is changed from 0018.f3d9.ab19 to 0011.435c.7eb3
An alarm 19712 level 6 occurred at 15:20:10 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.190.41 is changed from 0014.22a1.8c30 to 0018.f3d9.ab19
An alarm 19712 level 6 occurred at 15:20:12 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.190.172 is changed from 0018.f3d9.ab19 to 0018.f3d9.278c
An alarm 19712 level 6 occurred at 15:20:12 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.190.78 is changed from 0018.f3d9.ab19 to 0011.4360.b253
An alarm 19712 level 6 occurred at 15:20:12 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.190.22 is changed from 0018.f3d9.ab19 to 0040.d051.5f5c
An alarm 19712 level 6 occurred at 15:20:16 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.190.172 is changed from 0018.f3d9.278c to 0018.f3d9.ab19
An alarm 19712 level 6 occurred at 15:20:19 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.191.200 is changed from 0009.6b08.962c to 0018.f3d9.ab19
An alarm 19712 level 6 occurred at 15:20:20 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.190.65 is changed from 0017.083d.c4a3 to 0018.f3d9.ab19
An alarm 19712 level 6 occurred at 15:20:20 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.191.39 is changed from 0000.f082.b4f7 to 0018.f3d9.ab19
An alarm 19712 level 6 occurred at 15:20:20 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.191.200 is changed from 0018.f3d9.ab19 to 0009.6b08.962c
An alarm 19712 level 6 occurred at 15:20:20 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.190.97 is changed from 0018.f3d9.ab19 to 0015.c54c.f7f1
An alarm 19712 level 6 occurred at 15:20:22 05/25/2010 UTC sent by MCP %ARP% The hardware address of IP address 10.40.190.70 is changed from 0011.435c.7eb3 to 0018.f3d9.ab19
由上可看到有台计算机（MAC地址为0018.f3d9.ab19）在不断地抢占同网段其他计算机的IP，同时，该告警出现频次很高，怀疑应是ARP病毒所为。

3.4故障排除
在S3206上配置MAC地址过滤，过滤掉中毒计算机的MAC地址：
S3206(config)# mac filter source 0018.f3d9.ab19 1
此时，该中毒计算机无法上网。

但其他用户上网正常。

对该中毒计算机使用ANTIARP等专杀工具清除ARP病毒后，再取消MAC过滤配置。

该用户上网也正常，故障解决。

4解决方法
4.1用户端绑定
在用户端计算机上绑定交换机网关的IP和MAC地址。

首先，要求用户获得交换机网关的IP地址和MAC地址，用户在DOS提示符下执行arp–a命令，具体如下：C:\\Documents and Settings\\user>arp–a
Interface: 10.10.100.1 ---0x2
Internet AddressPhysical AddressType
10.10.100.25400-40-66-77-88-d7dynamic
其中10.10.100.254和00-30-6d-bc-9c-d7分别为网关的IP地址和MAC地址，因用户所在的区域、楼体和交换机不同，其对应网关的IP地址和MAC地址也不相同。

编写一个批处理文件arp.bat，实现将交换机网关的MAC地址和网关的IP地址的绑定，内容如下：
@echo off
arp -d
arp -s10.10.100.25400-40-66-77-88-d7
用户应该按照第一步中查找到的交换机网关的IP地址和MAC 地址，填入arp–s后面即可，同时需要将这个批处理软件拖到“windows xp开始——程序——启动”中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用户起到一个很好的保护作用。

4.2网管交换机端绑定
在核心交换机上绑定用户主机的IP地址和网卡的MAC地址，同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

4.2.1IP和MAC地址的绑定
在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。

这样可以很大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。

4.2.2MAC地址与交换机端口的绑定
根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号，将用户计算机网卡的MAC地址和交换机端口绑定。

此方案可以防止非法用户随意接入网络端口上网。

网络用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC 地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。

4.3采用VLAN技术隔离端口
局域网的网络管理员可根据本单位网络的拓扑结构，具体规划出若干个VLAN，当管理员发现有非法用户在恶意利用ARP 欺骗攻击网络，或因合法用户受病毒ARP病毒感染而影响网络时，网络管理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离，以避免对其它用户的影响。

参考文献：
[1]刘晓晖,窦卉.浅析局域网ARP病毒的原理和应对方法[J].科协论坛,2009 (11).
[2]马军，王岩.ARP协议攻击及其解决方案[J].信息安全，2006（5）.。