ARP欺骗防范与追踪祥解

1、摘 要 论论述了ARRP欺骗的的特征，分分析了ARRP欺骗产产生的原理理，并根据据长期的实实践经验，总总结了一套套ARP欺欺骗防范与与追踪的策策略。 关键键词 ARRP欺骗；局域网；MAC地地址 1 引引言 ARP协协议，又称称地址解析析协议，简简单说就是是通过IPP地址来查查询目标主主机的MAAC地址。ARP协协议在以太太网主机通通信中发挥挥至关重要要的作用。然而，事事物都有两两面性，如如果ARPP协议被黑黑客利用，通通过伪造IIP地址和和MAC地地址实施AARP欺骗骗，将会在在网络中产产生大量AARP通信信流量从而而使网络发发生拥塞，或或者通过实实施“Maan Inn TheeMidddl

2、e”进进行ARPP重定向和和嗅探攻击击。我校网网络核心层层为思科66500系系列三层交交换机，分分布层和接接入层采用用思科和瑞瑞捷交换机机，IP地地址采取静静态分配。本篇所讨讨论的ARRP防治策策略，即是是在此种网网络环境下下归纳的。 2 ARRP欺骗现现象 在局域域网内，攻攻击源主机机不断发送送ARP欺欺骗报文，即即以假冒的的网卡物理理地址向同同一子网的的其它主机机发送ARRP报文，甚甚至假冒该该子网网关关物理地址址蒙骗其它它主机，诱诱使其它主主机经由该该病毒主机机上网。真真网关向假假网关的切切换，会导导致网内用用户断网。当攻击源源主机断电电或离线，网网内其它主主机自动重重新搜索真真网关，这

3、这个过程又又会导致用用户断一次次网。所以以某子网内内，只要存存在一台或或多台这样样的攻击源源主机，就就会使其它它主机上网网断断续续续，严重时时将致使整整个网络陷陷于瘫痪。上述现象象即是一种种典型ARRP欺骗，除除了影响网网络运行效效率，攻击击者也会趁趁机窃取网网内用户的的帐号和密密码。因为为发送的是是ARP报报文，具有有一定的隐隐秘性，如如果侵占系系统资源不不是很大，又又无防病毒毒软件监控控，一般用用户不易察察觉。 3 ARP欺欺骗分析 33.1 原原理简析 局局域网内某某主机运行行ARP欺欺骗程序时时，会诱骗骗局域网内内所有主机机和路由器器，使上网网流量必须须经由该病病毒主机。原来通过过路由

4、器上上网的用户户现在转由由病毒主机机，这个切切换会致使使用户断线线。切换到到病毒主机机上网后，如如果用户已已经登录了了传奇服务务器，病毒毒主机会不不断制造断断线的假象象，用户就就得重新登登录，病毒毒主机就可可以趁机实实施盗号行行为。ARRP欺骗木木马程序发发作会发送送大量数据据包，从而而导致局域域网通讯拥拥塞，受自自身处理能能力的限制制，用户会会感觉网速速越来越慢慢。ARPP欺骗木马马程序停止止运行，用用户会恢复复从路由器器上网，该该切换则会会导致用户户再次断网网。 3.22 欺骗方方式 3.22.1 一一般冒充欺欺骗 这是一一种比较常常见的攻击击，通过发发送伪造的的ARP包包来实施欺欺骗。根

5、据据欺骗者实实施欺骗时时所处的立立场，可分分为三种情情况：冒充充网关欺骗骗主机、冒冒充主机欺欺骗网关、冒充主机机欺骗其它它主机。在在冒充网关关欺骗中，欺欺骗者定时时且频繁的的对本网发发送ARPP广播，告告诉所有网网络成员自自己就是网网关，或者者以网关身身份伪造虚虚假的ARRP回应报报文，欺骗骗局域网内内的其它主主机，这样样子网内流流向外网的的数据就可可以被攻击击者截取；冒充主机机欺骗网关关的过程跟跟冒充网关关的过程相相反，欺骗骗者总是通通过虚假报报文告诉网网关，自己己就是目标标主机，从从而使网关关向用户发发送的数据据被攻击者者截取；冒冒充主机欺欺骗其它主主机则是同同一网内设设备间的欺欺骗，攻击

6、击者以正常常用户的身身份伪造虚虚假ARPP回应报文文，欺骗其其它主机，结结果是其它它用户向该该用户发送送的数据全全部被攻击击者截获。 3.2.2 虚构构MAC地地址欺骗 这种攻击击也是攻击击者以正常常用户身份份伪造虚假假的ARPP回应报文文，欺骗网网关。但是是，和上述述一般冒充充欺骗不同同的是，此此时攻击者者提供给网网关的MAAC地址根根本不存在在，不是攻攻击者自己己的MACC地址，这这样网关发发给该用户户的数据全全部被发往往一个不存存在的地方方。 3.22.3 AARP泛洪洪 这这是一种比比较危险的的攻击，攻攻击者伪造造大量虚假假源MACC和源IPP信息报文文，向局域域网内所有有主机和网网关

7、进行广广播，目的的就是令局局域网内部部的主机或或网关找不不到正确的的通信对象象，甚至直直接用虚假假地址信息息占满网关关ARP缓缓存空间，造造成用户无无法正常上上网。同时时网络设备备CPU居居高不下，缓缓存空间被被大量占用用。由于影影响到了网网络设备，攻攻击者自己己上网的效效率也很低低，这是一一种典型的的损人不利利己行为。 3.2.4 基于于ARP的的DoS 这是是新出现的的一种攻击击方式，DDoS又称称拒绝服务务攻击，当当大量的连连接请求被被发送到一一台主机时时，由于该该主机的处处理能力有有限，不能能为正常用用户提供服服务，便出出现拒绝服服务。这个个过程中如如果使用AARP来隐隐藏自己，被被攻

8、击主机机日志上就就不会出现现真实的IIP记录。攻击的同同时，也不不会影响到到本机。 44 ARPP欺骗鉴定定方法 4.1 检查查网内感染染“ARPP欺骗”木木马病毒的的计算机 在“命令提示示符”下输输入并执行行“ipcconfiig”命令令，记录网网关IP地地址，即“DefaaultGGatewway”对对应的值，例例如“1992.1668.188.1”。然后执行行“arpp-a”命命令查看自自己网关MMAC地址址，如若变变成和内网网一机器MMAC地址址相同，可可据此断定定内网有机机器中了AARP网关关欺骗型病病毒。本操操作前提是是知道网关关的正确MMAC地址址，可在正正常上网主主机上，使使用

9、“arrp -aa”命令查查看网关MMAC地址址，通过对对比查看网网关MACC地址是否否被修改。 4.2 查看ARRP表 用用三层设备备接入校园园网的单位位，网管可可以检查其其三层设备备上的ARRP表。如如果有多个个IP对应应同一个MMAC，则则此MACC对应的计计算机很可可能中了木木马病毒。可通过下下连二层交交换机的转转发表查到到此MACC对应的交交换机端口口，从而定定位有问题题的计算机机。 5 AARP欺骗骗防范策略略 5.1 清空ARRP缓存 点击“开开始”按钮钮-选择择“运行”-输入入“arpp -d”-点击击“确定”按钮，然然后重新尝尝试上网，如如能恢复正正常，则说说明此次掉掉线可能

10、是是受ARPP欺骗所致致。 5.22 个人主主机ARPP绑定 通通过执行“arp -s 2210.331.1997.944 00-03-66b-7ff-ed-02”，临临时绑定主主机IP与与MAC地地址。 或者者，通过建建立一批处处理文件，绑绑定IP和和MAC。方法如下下： eecho off arp -d aarp -s IPP MACC 每次开开机，计算算机都会执执行一次静静态ARPP地址绑定定，从而较较好地防范范ARP欺欺骗。如果果能在机器器和路由器器中都进行行绑定，效效果会更好好。 5.33 采用适适当的杀毒毒与防范软软件 趋势势、诺顿、卡巴斯基基、瑞星等等杀毒软件件均可查杀杀此类病毒

11、毒。ARPP防火墙、风云防火火墙等，都都是针对性性较强的防防ARP欺欺骗攻击软软件，可以以起到防范范甚至追踪踪ARP攻攻击源的作作用。 6 ARP欺欺骗追查方方法 6.11 三层交交换的ARRP绑定 使用可防防御ARPP攻击的三三层交换机机，在端口口绑定IPP和MACC地址，限限制ARPP流量，及及时发现并并自动阻断断ARP攻攻击端口，合合理划分VVLAN，彻彻底阻止IIP、MAAC地址盗盗用，杜绝绝ARP攻攻击。 6.2 网络络追踪 对对于已经爆爆发ARPP欺骗的网网络环境，可可以采取以以下步骤进进行追踪定定位。 6.2.1 问题发现现 我我校图书馆馆的网络拓拓扑结构如如下，核心心交换机思思

12、科65009下连图图书馆锐捷捷49099交换机，通通过锐捷44909交交换机5模模块的百兆兆口下连图图书馆的各各接入交换换机，且各各接入交换换机为不可可管理型，所所以一般网网络故障，在在交换机上上只能定位位到5模块块的百兆口口。图1为为图书馆网网络拓扑。 HYPERLINK /galaxy_goke/pic/item/20978d104c4fffe2a6ef3f75.jpeg t _blank HYPERLINK /attachment.php?aid=17540&k=8014f6a53e6e23525985b529029dfc33&t=1265619593¬humb=yes 1.jpe

13、eg (330.766 KB)2010-2-3 08:222 图 1 图图书馆网络络拓扑 根据用户户反映网络络不畅通，网网络管理人人员登录校校园网核心心设备Ceenterr_65009交换机机，发现CCPU利用用率一直很很高，接近近100%。 CPPU uttilizzatioon foor fiive sseconnds：999%/55%；onne miinutee：99%；fivve miinutees：955% Ceenterr65099_supper7220#shh prooc cppu hiistorry 查看看历史记录录，发现近近一个小时时，CPUU利用率一一直接近1100%，这这

14、显然是不不正常的。 6.2.2 ARRP欺骗确确定 Ceenterr_65009交换机机上，采用用showw arpp 命令，发发现有一段段211.70.2215.00网段的IIP均对应应00400.ca665.e8888。 Centter65509_ssuperr720#sh aarp IInterrnet 211.70.2215.223 0 00440.caa65.ee888 ARPAA Vlann19 IInterrnet 211.70.2215.224 0 00440.caa65.ee888 ARPAA Vlann19 IInterrnet 211.70.2215.225 3 0044

15、0.caa65.ee888 ARPAA Vlann19 IInterrnet 211.70.2215.226 0 00040.cca65.e8888 ARPPA Vlaan19 Inteernett 2111.70.215.27 0 00040.cca65.e8888 ARPPA Vlaan19 （由于本本文引用数数据均较长长，一般只只截取一部部分予以说说明，以下下引用资料料同此处） 0040.ca65.e888这个MAC地址，同时对应若干个IP地址，这是一种典型的ARP攻击现象。 6.2.3 确定攻击来源端口 交换机2模块是与各单位进行连接的千兆接口，承载大部分的流量。先逐个停掉2模块各端口

16、测试，最终确定是连图书馆方向的6号端口存在问题。停掉6号端口，交换机CPU利用率立刻就降到正常水平，打开6号端口，再次升高。图书馆方向是瑞捷4909交换机。登录该交换机，采用第二步的方法，确认是5模块的1号端口存在问题。分析如下： Library（config）#inte fastEthernet 5/1 Library（config-if）#sh Center_6509核心交换机CPU利用率立刻恢复正常，ARP特征不再明显。 在图书馆的Library_4909交换机上，查看该MAC地址的具体来源 Library#sh mac-address-table address 0040.ca65.e

17、888 Vlan MAC Address Type Interface - - - - 67 0040.ca65.e888 DYNAMIC Fa5/1 可见，Fa5/1下连的0040.ca65.e888就是攻击源，与上面的排查结果吻合。 6.2.4 准确定位攻击源 网络管理人员采用以上方法，可以及时查到攻击源MAC地址。但是当子网内发生ARP欺骗行为时，受影响主机在交换机上统一显示为攻击源MAC地址，如何在出现问题的子网内部准确定位攻击源主机，网络管理人员需要考虑的问题。“netscan”命令即是一个行之有效的方法。nbtscan是一个扫描Windows网络NetBIOS信息的小工具，可以查看

18、局域网内真实的MAC地址。 在Library_4909交换机Fa5/1口下连的某台主机上，运行“nbtscan”命令，查找子网主机的真实MAC地址。具体如下： C：nbtscan -r /24 Warning：-r option not supported under Windows. Running without it. Doing NBT name scan for addresses from /24 IP address NetBIOS Name Server User MAC address - 4 AGESERVER 00-09-6b-7f-b7-4a 5 HP-EC3A9E8DC568