寧夏馬蓮臺電廠的網路是典型的三層交換,採用了思科的裝置,核心層是一臺Cisco 6500 , 匯聚層是兩臺Cisco 6500,分別連線生產樓和生活區的裝置,在生產區樓裡如集控室、化驗樓、燃供樓、檢修間、除灰樓、小車庫都掛著Cisco 3550作為接入層。全廠一共有200多臺計算機通過交換機連成一個區域網。
馬蓮臺電廠網路拓撲圖
2、網路故障現象
區域網內的計算機出現外部網站訪問速度緩慢,甚至無法開啟的現象,客戶端使用者頻繁出現斷網並發現IP衝突。最嚴重的時候出現部分生產樓網路癱瘓。
3、故障分析:
3.1故障原因查詢
在開始不能上網的計算機上執行arp –a,說明:是閘道器地址,後面的00-00-0c-07-0a-01是閘道器的實體地址。此實體地址預設情況下是不會發生改變的,如果發現物理地址不是此地址說明自己已經受到了arp病毒的攻擊 。
查詢過程:
(1)、執行arp –a 列出了:
00-0F-EA-11-00-5E
00-0F-EA-11-00-5E (閘道器)
由於之前我們已經知道閘道器的正確實體地址是00-00-0c-07-0a-01,此時卻變成了00-0F-EA-11-00-5E,說明正在利用arp進行欺騙,冒充閘道器。
(2)、執行arp –d 清除ARP列表資訊。重新執行arp –a看資料類表的可疑IP地址是否存在,不存在說明此IP地址正常;存在,說明該機器肯定有ARP病毒。
(3) 使用tracert命令
在任意一臺受影響的主機上,在DOS命令視窗下執行如下命令:tracert (外網IP地址)。假定設定的預設閘道器為,在跟蹤一個外網地址時,第一跳卻是,那麼,就是病毒源。
3.2 ARP攻擊原理分析
ARP,全稱Address Resolution Protocol,中文名為地址解析協議,它工作在資料鏈路層,在本層和硬體介面聯絡,同時對上層提供服務。ARP病毒造成網路癱瘓的'原因可以分為對路由器ARP表的欺騙,和對內網PC的閘道器欺騙兩種。第一種必須先截獲閘道器資料。它使路由器就收到一系列錯誤的內網MAC地址,並按照一定的頻率不斷更新學習進行,使真實的地址資訊無法通過更新儲存在路由器中,造成的PC主機無法正常收到迴應資訊。第二種是通過交換機的MAC地址學習機制,當局域網內某臺主機已經感染ARP欺騙的木馬程式,就會欺騙區域網內所有主機和路由器,讓所有上網的流量都必須經過病毒主機。
4、調查結論:
通過以上查詢分析,區域網內有計算機感染ARP 病毒,中毒的機器的網絡卡不斷髮送虛假的ARP資料包,告訴網內其他計算機閘道器的MAC地址是中毒機器的MAC地址,是其他計算機將本來發送閘道器的資料傳送到中毒機器上,導致整個區域網都無法上網,嚴重乃至整個網路的癱瘓。我們知道區域網中的資料流向是:閘道器→本機; 如果網路有ARP 欺騙之後,資料的流向是:閘道器→攻擊者→本機,因此攻擊者能隨意偷聽網路資料,截獲區域網中任一臺機器收發的郵件,WEB瀏覽資訊等,還會竊取使用者密碼。如盜密碼、盜取各種網路遊戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給使用者造成了很大的不便和巨大的經濟損失。
5、防範所採取措施
5、1 使用者端防範措施:
安裝arp防火牆或者開啟區域網ARP防護,比如360安全衛士等arp病毒專殺工具,並且實時下載安裝系統漏洞補丁,關閉不必要的服務等來減少病毒的攻擊。
如果在沒有防範軟體安裝的情況下,也可以通過編寫簡單的批處理程式來繫結閘道器來防止ARP欺騙,步驟如下:
(1)首先,獲得安全閘道器的內網的MAC地址。以windows xp為例。點選“開始”→“執行”→輸入cmd,點選“確定”後,將出現相關網路狀態及連線資訊,輸入arp –a,可以檢視閘道器的MAC地址
(2)編寫批處理檔案內容如下:
@echo off
arp –d
arp –s (安全閘道器) 00-09-ac-82-0d (閘道器的MAC地址)注:arp -s 是用來手動繫結網路地址(IP)對應的實體地址(MAC)
(3) 編寫完以後,點選“檔案” →“另存為”。注意,檔名一定要是*,點選儲存就可以。
(4) 將這個批處理檔案拖到“windows→開始→程式→啟動”中,最後重起電腦即可。
5.2 網管員採取的防範措施
(1) 學會使用Sniffer抓包軟體。
ARP病毒最典型的現象就是網路時通時斷,用Sniffer抓包分析,會發現有很多的ARP包。
(2) 在全網部署安裝ARP防火牆服務端及客戶端軟體
(3) 使用多層交換機或路由器:接入層採用基於IP地址交換進行路由的第三層交換機。由於第三層交換技術用的是IP路由交換協議,以往的鏈路層的MAC地址和ARP協議失效,因而ARP欺騙攻擊在這種交換環境下起不了作用。
6、結束語
ARP欺騙在相當長的時間內還會繼續存在,ARP欺騙也在不斷的發展和變化中,希望廣大網路管理員密切注意它,從而減少對我們網路的影響。
參考文獻:
[1] 王奇.乙太網中ARP欺騙原理與解決辦法[J].網路安全技術與應用,2007,(2)
[2]謝希仁.計算機網路.北京:人民郵電出版社,2006.
[3] 趙鵬.計算機網路系統中基於ARP協議的攻擊與保護[J].網路安全技術與應用, 2005.1:101.