ARP攻擊現在經常發生,遇到這些問題怎麼辦呢?請看下面筆者給出的解決方法!
前段時間經常有用戶打電話抱怨上網時斷時續,有時甚至提示連接受限、根本就無法獲得IP(我們單位用的是動態IP)。交換機無法ping通,而指示燈狀態正常。重啟交換機後客戶機可以上網,但很快又濤聲依舊!嚴重影響了用戶使用,甚至給用戶造成了直接經濟損失,(我們單位很多人都在炒股、炒基金,由於無法及時掌握行情,該出手時無法出手。)
根據用戶描述的情形和我們多次處理的經驗,可以肯定是由於網絡中存在ARP攻擊(ARP欺騙)所致。至於什麼是ARP攻擊,我就不用再說了吧。知道了問題所在,但如何解決呢?
雖然可以采用在交換機綁定MAC地址和端口、在客戶機綁定網關IP和MAC地址的“雙綁”辦法預防,但由於網管的工作量太大,且不能保證所有的用戶都在自己的電腦上綁定網關IP和MAC地址,所以我們采取以下措施來預防和查找ARP攻擊。
我們推薦用戶在自己的電腦上安裝ColorSoft開發的ARP防火牆(原名Anti ARP Sniffer),該軟件通過在系統內核層攔截虛假ARP數據包以及主動通告網關本機正確的MAC地址,可以保障安裝該軟件的電腦正常上網;攔截外部對本機的ARP攻擊和本機對外部的ARP攻擊。
如果發現內部ARP攻擊,直接處理本機就行了;如果發現外部ARP攻擊,則根據實際情況通過攻擊者的IP地址和/或MAC地址查找該攻擊者電腦。
好了,讓我們一起行動吧。
1、在同一網段的電腦上下載ARP防火牆、安裝、運行。第一天,一切正常,沒發現攻擊行為。第二天,開機不到半小時就發現了ARP攻擊,如圖1。
圖1 ARP防火牆發現外部ARP攻擊
2、為了不冤枉好人,進一步確認攻擊者的MAC地址。進入核心交換機,查看該網段的MAC地址表。我們的核心交換機是華為的,鍵入命令“Display arp vlan xx”(xx為所要查找ARP攻擊網段的VLAN號),回車。顯示如圖2所示結果。
圖2 核心交換機上顯示的MAC地址表
為了方便查看,我們將該數據拷貝到Word中並按MAC地址排序。在Word中,選中該數據,從“表格”菜單中選擇“排序”菜單項,彈出“排序文字”窗口,“主要關鍵字”選“域 3”即MAC地址,如圖3。
圖3 排序MAC地址表
排序後很容易就可以看到有四個IP地址對應於同一個MAC地址(如表1)!我們知道MAC地址是全球唯一的,這與ARP防火牆檢測到的結果相吻合,現在MAC地址0011-5b2d-5c03所對應的電腦肯定有問題了。這些IP中應該只有xxx. xxx. xx.92是真實的,其余的都是偽造的。由於我們的電腦一直在監測,該攻擊者電腦剛對外攻擊,就被檢測到了,所以它偽造的IP地址還不多,我曾經發現過偽造了近10個IP地址的情形,而該網段總共有二十多台電腦。
表1 偽造的IP地址
xxx. xxx. xx.178 0011-5b9d-7246 xxx. xxx. xx.188 0011-5b9d-7246 xxx. xxx. xx.197 0011-5b9d-7246 xxx. xxx. xx.92 0011-5b9d-72463、查找ARP攻擊者。
如果是靜態IP,找出IP地址登記表,很容易就可找到發送ARP攻擊的電腦。由於我們用的是動態IP,又沒有每台電腦的MAC地址,所以雖然知道了攻擊者的IP地址和MAC地址,但是萬裡長征還只邁出了第一步。
我們的DHCP服務器是基於Microsoft Windows 2003的,打開DHCP管理器,從地址租約裡查看IP地址xxx. xxx. xx.92對應的計算機名,是隨機的,沒什麼意義。(有時候根據計算機名,可以推斷出該計算機的主人。)
登錄到有所要查找網段VLAN的各接入層交換機上,逐一查看該交換機上的MAC地址表。
我們用的是安奈特的交換機,在Web界面下按VLAN查詢MAC地址表,看是否有MAC地址為0011-5b9d-7246的記錄。一直查到第15台交換機,才終於找到罪魁禍首,結果如圖4,可以看出該MAC地址對應於交換機的第16口。別的廠家的可網管交換機也都有查看MAC地址的功能。
圖4 接入層交換機上的MAC地址表
4、剩下工作的就簡單了,先將該交換機的第16口Disable,然後查找用戶上網登記信息,通知該用戶處理自己的電腦。
不知道本文是否對您有所幫助。最後,推薦幾點防范ARP攻擊的措施:
1、在交換機上劃分VLAN,這樣即使網絡中存在ARP攻擊,也僅影響該VLAN的用戶,縮小受影響范圍和查找范圍。
2、要求用戶安裝ARP防火牆。既可防止來自外部的ARP攻擊,也可防止本機向外發送ARP攻擊。一旦發現攻擊及時與網管聯系。