激情5月－论如何防范ARP攻击

  本月讨论的话题为如何防范ARP攻击以及解决方案，有处理过该问题的兄弟姐妹们都可以来这里说说。请大家不要灌水。。。。

   1.什么是ARP病毒

    ARP病毒也叫ARP地址欺骗类病毒，这是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

　　ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。

以下六个步骤，即可有效防范ARP病毒：

　　1、做好IP－MAC地址的绑定工作（即将IP地址与硬件识别地址绑定），在交换机和客户端都要绑定，这是可以使局域网免疫ARP病毒侵扰的好办法。

　　2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁，这样可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。

　　MS06-014 中文版系统补丁下载地址：
　　http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx

　　MS07-017 中文版系统补丁下载地址：
　　http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

　　3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
     禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，
     依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。

　　4、在网络正常时候保存好全网的IP－MAC地址对照表，这样在查找ARP中毒电脑时很方便。

　　5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。

　　6、安装杀毒软件，及时升级病毒库，定期全网杀毒。

2.如何去检测网内是否中了ARP？

  首先判断是否是网络供应商那边出问题

1.公网固定IP地址也罢，ADSL上网也罢，都会通过路由走，将直线单独接在电脑上（不让电脑连接局域网），一直PING外网，看一下会不会丢包或掉线，如果会，则通过ISP商来协商解决（先检查网线是否有问题）

注意点：

1.1路由出现硬件问题，重启下

1.2电话线没有接好，产生干扰（有时候在旁边用手机打电话会产生断网）

1.3公司带宽供给不足，造成掉线，方案：

1.3.1 封闭80，BT等占用网络资源的端口，搭建代理上网服务器等来合理有效的分配网络资源

1.3.2 搭建内部软件下载服务器，员工需要什么软件，由IT去下载之后并放至内部服务器共享给大家

1.3.3 向公司申请加大带宽

1.3.4 IP或ADSL帐号被盗用

2.网络设备出现问题

2.1公司财务有POS刷卡机，该机号码和宽带电话号码绑在一起的，每当客户刷卡的时候，全公司掉网。原来刷卡的时候会产生拨号，把原来连接的网络给踢了下来。（ 这是我自己亲身经历过）

2.2网络电话交换机，网络电话也是通过网络走的，所以也会有IP地址，可用网络执法官查看出对应的IP地址。每当用户用网络电话通话的时候，路由突然断网

2.3交换机数据堵塞，如果交换机没有没有UPLINK口，级联的主干线必须做交叉线，即两端各为AB，避免交换机被阳光直射，灰尘土堆厚。交换机宽带不够。

2.4统一网络设备，将公司用HUB的，全改成交换机，避免产生网络广播

方案：

避免产生网络广播 除了提供好的通讯设备后，还可以划分多个网段。

3.人为行为

3.1员工私自拉网线，造成交换机回路。（方案：通过规则来限制员工）

3.2员工私自更改IP，造成路由，网关或服务器IP冲突（方案：如ARP绑定等）

3.3员工装了P2P,网络执法官的软件进行干扰正常办公（方案：网上有反侦查的教程）

4.老式机子硬件所为

注释：特别注意那些WIN98系统或P2`P3的机子，网卡老旧也会产生掉线。

大家若有相关经验可以跟帖发布，我会为大家进行评分（BST和MST值）。

[ 本帖最后由 yu2885 于 2008-5-9 10:05 编辑 ]

一、ARP Spoofing攻击原理分析

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。

用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。

每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。

默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。

攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和 MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。

当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。

Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个 Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下下面交换机中日志所示：

Internet  172.20.156.10000b.cd85.a193  ARPAVlan256
Internet  172.20.156.50000b.cd85.a193  ARPAVlan256
Internet  172.20.156.254 0000b.cd85.a193  ARPAVlan256
Internet  172.20.156.53 0000b.cd85.a193  ARPAVlan256
Internet  172.20.156.33 0000b.cd85.a193  ARPAVlan256
Internet  172.20.156.130000b.cd85.a193  ARPAVlan256
Internet  172.20.156.150000b.cd85.a193  ARPAVlan256
Internet  172.20.156.140000b.cd85.a193  ARPAVlan256

二、ARP病毒分析

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

在路由器的“系统历史记录”中看到大量如下的信息：

MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。

arp病毒清除方法:

故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。 故障原因：这是APR病毒欺骗攻击造成的。　　 引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。


临时处理对策：　　

步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。 注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。

步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。

手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC
例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后

输出如下： C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，

如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。 手工绑定的命令为： arp –s 218.197.192.254 00-01-02-03-04-05 绑定完，可再用arp –a查看arp缓存， C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。

但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法： 如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。 NBTSCAN的使用方法：下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令： nbtscan -r 218.197.192.0/24 （假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段） 。 注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。 补充一下： Anti ARP Sniffer 使用说明 一、功能说明: 使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。


二、使用说明：

1、ARP欺骗： 填入网关IP地址，点击［获取网关mac地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。 注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。

2、IP地址冲突 首先点击“恢复默认”然后点击“防护地址冲突”。 如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。 首先您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下： 右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。

当我们遇到疑似ARP病毒的时候可以使用
ARP -a
命令查看  

还有

route print 命令查看

看了这个帖子受益匪浅，领教了。。。。

不错不错，受教了。

精品文章！！

学习了 `~~不错 `~~
顶起！！！

菜鸟？菜。菜。菜。。。。

来到这里让我终于明白了多年来的ARP  感谢楼主  感谢版主