校園網內對ARP攻擊的處理及防御

葉倩文 三水區工業中專

校園網內對ARP攻擊的處理及防御

葉倩文 三水區工業中專

在校園局域網上，我們需要使用ARP協議來進行IP地址和MAC地址進行轉換。但近年來網絡上出現了大量的木馬程序，通過偽造IP地址和MAC地址可實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞。攻擊者只要持續不斷地發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡速度減慢甚至中斷。這種行為我們稱之為ARP攻擊，這種非法的攻擊對網絡的安全造成了嚴重威脅。本文對于ARP攻擊給出了有效的處理及防御方法。

校園網；局域網；MAC地址；ARP攻擊

近幾年，在我校校園網內，我們經常會受到各種攻擊，最常見的是ARP攻擊。ARP是一個協議，作用是用于把IP地址轉換為第二層物理地址（即MAC地址）的。ARP協議對網絡安全具有重要的意義?，F在網絡上有很多木馬程序，能夠通過偽造IP地址和MAC地址以實現ARP欺騙，它能夠在網絡中產生大量的ARP通信量使網絡阻塞。攻擊者只要持續不斷地發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡速度減慢甚至中斷。因此，如何防范ARP攻擊，以及對攻擊進行有效的處理，是近幾年來網絡安全方面的一個熱門話題。

根據我們學校校園網的具體情況，我在這里談一下ARP攻擊的特征以及如何處理、預防攻擊事件的一些方法與心得。

一、癥狀和危害

如果局域網受到arp攻擊，則網速變得非常慢，甚至無法上網，如果主機裝有防火墻，則防火墻會不停提示受到了arp攻擊。這是因為，arp攻擊會占用大量的交換機帶寬，從而嚴重影響網絡的正常運行，因為這種攻擊是采用木馬程序進行入侵的，所以，這種攻擊甚至能套取我們帳號、密碼，對我們造成不可彌補的損失。

二、故障定位和處理方法

首先，我們需要在交換機處于正常工作的時候，定期收集網內各計算機的MAC地址，便于在攻擊事件發生時進行故障定位。并用dis arp port-number（華為交換機上使用）命令定期查看網絡上IP與MAC地址的對應關系，如果發現多臺主機對應同一個MAC地址，則表明網絡很有可能受到ARP攻擊（在明確網內沒有主機隨意改動過MAC的情況下）。

從上面數據可見，病毒源應該是0011-5b9a-4583這個MAC地址對應的計算機，我們就可以在交換機上把該MAC地址對應的計算機所在端口關閉掉，并對下一級進行排查。

還有一個規律就是，當我們使用dis arp port-number列表以后，病毒機向交換機發出的請求往往是最頻繁的，一般都是列在最后行。通過觀察這個最后行，我們可以發現，別人的IP和MAC都是隨時間往上移動的，獲取時間周期是逐步縮短，而這個病毒機，要是你設置的老化時間是20分鐘查詢一次，它永遠都是排最后，老化時間永遠都還剩余20分鐘。

如果網內計算機上安裝了360ARP防火墻，那更好辦，在受到攻擊時，主機上會有攔截提示，但注意，現在的木馬不是直接就顯示出中毒機的MAC地址，而是偽裝交換機網關地址進行欺騙攻擊，你用360查的時候可以采用“追蹤攻擊源IP”，這個時候查到的MAC地址才是真正的中毒機MAC地址。如圖1所示。

而一般情況下，判別一臺主機是否成為了病毒源，有一個很簡單的判別方法，在交換機上，我們通過觀察該主機所連接的端口，指示燈會閃爍得很厲害，這也是作為判斷的主要依據之一。

找到問題機器后要立即對其進行斷網，殺毒，殺木馬。

三、預防措施

當然，我們不能一味被動地在攻擊發生后才進行處理，我們還需要進行一定的預防措施，在這里，我們可以通過在交換機上把IP地址與MAC地址進行綁定來解決。方法如下：

圖1

這是一種全局的捆綁，不管下面調到什么端口都是有效的，當然，這樣做也只是一種被動的做法，如果客戶端換網卡了，或者是改IP了，那必須重新綁定。

而且，捆綁后能有效防止攻擊的前提是，局域網內沒有ARP病毒源，交換機還沒有受到ARP攻擊，但是，如果網絡內已經存在病毒源了，那么，ARP攻擊仍然會存在，它雖然改變不了局域網內其他主機的MAC地址，但是ARP攻擊仍然會占用交換機大量資源，令交換機不能正常工作，甚至down掉。所以，最好的辦法還是從源頭上解決病毒源，硬件方面，可以加裝具有防止ARP攻擊或者是異常流量控制的防火墻；軟件方面，就是加強防毒殺毒意識，例如，主機上安裝ARP防火墻和殺毒軟件，并及時進行升級。

我們還需要在平常加強對客戶機的管理，在局域網上出公告，說明ARP攻擊的危害性，建議用戶不要上黃色網站、個人網站，或是那些騙子網站，也不要隨便安裝來歷不明的軟件，特別是一些個人網站下載的軟件，安裝前最好查毒。而給各用戶在客戶機上安裝一個ARP防火墻是最有效的預防方法。

四、總結

ARP攻擊造成的影響是整個網絡的問題，而不是僅僅憑個人在主機上處理一下就可以解決的，最重要的是網絡管理員需要加強網絡安全意識，管理好交換機，及時做好安全防備措施，在發現問題后能及時進行有效的處理。

[1] 雷震甲.網絡工程師.清華大學出版社.2009-8-1

[2] 崔北亮,楊小健.針對校園網中ARP攻擊的防御.南京工業大學學報(自然科學版).2007年05期