校园网内对ARP攻击的处理及防御

2010-10-27叶倩文三水区工业中专

中国科技信息 2010年3期

叶倩文三水区工业中专

校园网内对ARP攻击的处理及防御

叶倩文三水区工业中专

在校园局域网上，我们需要使用ARP协议来进行IP地址和MAC地址进行转换。但近年来网络上出现了大量的木马程序，通过伪造IP地址和MAC地址可实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络速度减慢甚至中断。这种行为我们称之为ARP攻击，这种非法的攻击对网络的安全造成了严重威胁。本文对于ARP攻击给出了有效的处理及防御方法。

校园网；局域网；MAC地址；ARP攻击

近几年，在我校校园网内，我们经常会受到各种攻击，最常见的是ARP攻击。ARP是一个协议，作用是用于把IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。现在网络上有很多木马程序，能够通过伪造IP地址和MAC地址以实现ARP欺骗，它能够在网络中产生大量的ARP通信量使网络阻塞。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络速度减慢甚至中断。因此，如何防范ARP攻击，以及对攻击进行有效的处理，是近几年来网络安全方面的一个热门话题。

根据我们学校校园网的具体情况，我在这里谈一下ARP攻击的特征以及如何处理、预防攻击事件的一些方法与心得。

一、症状和危害

如果局域网受到arp攻击，则网速变得非常慢，甚至无法上网，如果主机装有防火墙，则防火墙会不停提示受到了arp攻击。这是因为，arp攻击会占用大量的交换机带宽，从而严重影响网络的正常运行，因为这种攻击是采用木马程序进行入侵的，所以，这种攻击甚至能套取我们帐号、密码，对我们造成不可弥补的损失。

二、故障定位和处理方法

首先，我们需要在交换机处于正常工作的时候，定期收集网内各计算机的MAC地址，便于在攻击事件发生时进行故障定位。并用dis arp port-number（华为交换机上使用）命令定期查看网络上IP与MAC地址的对应关系，如果发现多台主机对应同一个MAC地址，则表明网络很有可能受到ARP攻击（在明确网内没有主机随意改动过MAC的情况下）。

从上面数据可见，病毒源应该是0011-5b9a-4583这个MAC地址对应的计算机，我们就可以在交换机上把该MAC地址对应的计算机所在端口关闭掉，并对下一级进行排查。

还有一个规律就是，当我们使用dis arp port-number列表以后，病毒机向交换机发出的请求往往是最频繁的，一般都是列在最后行。通过观察这个最后行，我们可以发现，别人的IP和MAC都是随时间往上移动的，获取时间周期是逐步缩短，而这个病毒机，要是你设置的老化时间是20分钟查询一次，它永远都是排最后，老化时间永远都还剩余20分钟。

如果网内计算机上安装了360ARP防火墙，那更好办，在受到攻击时，主机上会有拦截提示，但注意，现在的木马不是直接就显示出中毒机的MAC地址，而是伪装交换机网关地址进行欺骗攻击，你用360查的时候可以采用“追踪攻击源IP”，这个时候查到的MAC地址才是真正的中毒机MAC地址。如图1所示。

而一般情况下，判别一台主机是否成为了病毒源，有一个很简单的判别方法，在交换机上，我们通过观察该主机所连接的端口，指示灯会闪烁得很厉害，这也是作为判断的主要依据之一。

找到问题机器后要立即对其进行断网，杀毒，杀木马。

三、预防措施

当然，我们不能一味被动地在攻击发生后才进行处理，我们还需要进行一定的预防措施，在这里，我们可以通过在交换机上把IP地址与MAC地址进行绑定来解决。方法如下：

图1

这是一种全局的捆绑，不管下面调到什么端口都是有效的，当然，这样做也只是一种被动的做法，如果客户端换网卡了，或者是改IP了，那必须重新绑定。

而且，捆绑后能有效防止攻击的前提是，局域网内没有ARP病毒源，交换机还没有受到ARP攻击，但是，如果网络内已经存在病毒源了，那么，ARP攻击仍然会存在，它虽然改变不了局域网内其他主机的MAC地址，但是ARP攻击仍然会占用交换机大量资源，令交换机不能正常工作，甚至down掉。所以，最好的办法还是从源头上解决病毒源，硬件方面，可以加装具有防止ARP攻击或者是异常流量控制的防火墙；软件方面，就是加强防毒杀毒意识，例如，主机上安装ARP防火墙和杀毒软件，并及时进行升级。

我们还需要在平常加强对客户机的管理，在局域网上出公告，说明ARP攻击的危害性，建议用户不要上黄色网站、个人网站，或是那些骗子网站，也不要随便安装来历不明的软件，特别是一些个人网站下载的软件，安装前最好查毒。而给各用户在客户机上安装一个ARP防火墙是最有效的预防方法。