【正文】 那是為了更好的維護(hù)好我們的網(wǎng)絡(luò)。完全單機(jī)的用戶也可直接關(guān)閉 Server 服務(wù)。此操作比較重要，解決了 ARP 攻擊的源頭 PC 機(jī)的問題，可以保證內(nèi)網(wǎng)免受攻擊 。 在理解了 ARP 之后， ARP 欺騙攻擊以及如何判斷此類攻擊，我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網(wǎng)絡(luò)造成的危害。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫入幀里面 發(fā)送就可以了；如果在 ARP 緩存表中 沒有找到相對應(yīng)的 IP 地址，主機(jī) A 就會(huì) 在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo) MAC 地址是 “” ，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問： “ 的 MAC 地址是什么？ ” 網(wǎng)絡(luò)上其它主機(jī) 并不響應(yīng) ARP 詢問，只有主機(jī) B 接收到這個(gè)幀時(shí)，才向主機(jī) A 做出這樣的回應(yīng)：“ 的 MAC 地址是 00aa0062c6 09。 ARP 攻擊 與 防護(hù)措施 及解決方案 摘 要 要了解 ARP 欺騙攻擊 , 我們首先要了解 ARP 協(xié)議以及它的工作原理，以更好的來防范和排除 ARP 攻擊的帶來的危害。 ARP 協(xié)議的工作原理：在每臺安裝有 TCP/IP 協(xié)議的電腦里都有一個(gè) ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對應(yīng)的，如表所示。輸入 ping （網(wǎng)關(guān) IP 地址） ， 如下圖： 圖 1 內(nèi)網(wǎng) ping 路由器的 LAN IP 丟幾個(gè)包，然后又連上，這很有可能是中了 ARP 攻擊。但是此動(dòng)作，如果重起了電腦，作用就會(huì)消失，所以可以把此命令做成一個(gè)批處理文件，放在操作系統(tǒng)的啟動(dòng)里面，批處理文件可以這樣寫： echo off arp d arp s 路由器 LAN IP 路由器 LAN MAC 在路由器端綁定用戶 IP/MAC 地址： 在 DHCP 功能中對 IP/MAC 進(jìn)行綁定， Qno 路由器提供了一個(gè)顯示新加入的 IP 地址的功能，通過這個(gè)功能可以一次查找到網(wǎng)絡(luò)內(nèi)部的所有 PC 機(jī)的 IP/MAC 的對應(yīng)列表，我們可以通過 “√” 選的功能選擇綁定 IP/MAC。安裝并使用 網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻在防病毒過程中也可以起到至關(guān)重要 的作用，能有效地阻擋自來網(wǎng)絡(luò)的攻擊和病毒的入侵。 ARP 攻擊只能在你內(nèi)部網(wǎng)絡(luò)中進(jìn)行，只要在你網(wǎng)絡(luò)中的任意一臺電腦上運(yùn)行 ARP 欺騙程序： ————可以在不知不覺中盜竊你網(wǎng)絡(luò)中傳輸?shù)娜魏涡畔ⅲ? ————也可以造成你整個(gè)網(wǎng)絡(luò)無法正常上網(wǎng)。一會(huì)兒全掉線，一會(huì)兒是幾臺幾臺的掉線。 ARP 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址以保證通信的順利進(jìn)行。 在局域網(wǎng)中，通過 ARP 協(xié)議來完成 IP 地址轉(zhuǎn)換為第二層物理地址（即 MAC 地址）的。 ARP 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進(jìn)行。 從上面可以看出， ARP 協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實(shí)現(xiàn)在以 太網(wǎng)上的 ARP 欺騙。打開 D 的 IP 轉(zhuǎn)發(fā)功能， A 發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給 C，好比一個(gè)路由器一樣。 由于 ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢。 NBTSCAN 的使用范例： 假設(shè)查找一臺 MAC 地址為 “000d870d585f” 的病毒主機(jī)。 第一種 ARP 欺騙的原理是 —— 截獲網(wǎng)關(guān)數(shù)據(jù)。為此，寬帶路由器背了不少 “ 黑鍋 ” 。如果您有所擔(dān)心，那么不妨選用欣向網(wǎng)吧路由 IXP機(jī)種，它可以使您寬心一些。這就是欣向路由能夠?qū)?ARP 先天免疫的原理。為此，產(chǎn) 品還專門提供了一個(gè) ARP 欺騙偵測、定位、防范的工具軟件，免費(fèi)發(fā)放給所有的網(wǎng)吧，幫助網(wǎng)管員們發(fā)現(xiàn) ARP 欺騙的 存在，為清除 ARP 欺騙源提供工作輔佐，并加入了欣向主動(dòng)防范機(jī)制 ,有效對付 ARP 欺騙。也就是將網(wǎng)絡(luò)層（ IP 層，也 就是相當(dāng)于 ISO OSI 的第三層）地址解析為數(shù)據(jù)連接層（ MAC 層，也就是相當(dāng)于 ISO OSI 的第二層）的 MAC 地址。同一網(wǎng)段中的所有其他 設(shè) 備都可以收到并分析這個(gè) ARP 請求報(bào)文，如果某設(shè)備發(fā)現(xiàn)報(bào)文中的目標(biāo) IP 地址與自己的 IP 地址相同，則它向源設(shè)備發(fā)回 ARP 響應(yīng)報(bào)文，通過該報(bào)文使源設(shè)備 獲得目標(biāo)設(shè)備的 MAC 地址信息。如果未找到， ARP 程序就在網(wǎng)上廣播一個(gè)特殊格式的消息，看哪個(gè)機(jī)器知道與這個(gè) IP 地址相關(guān)的 MAC 地址。 當(dāng)主機(jī) A 想與主機(jī) B 進(jìn)行通訊時(shí)， A 機(jī)只知道 B 機(jī)的 IP 地址是 ,當(dāng)數(shù)據(jù)包封裝到 MAC 層時(shí)他如何知道 B 的 MAC 地址呢，一般的 OS 中是這樣做的，在 OS 的內(nèi)核中保存一分 MAC 地址表，就是我們一中介始到的。這樣就是主機(jī) C 進(jìn)行 ARP 協(xié)議欺騙技術(shù)，對于網(wǎng)絡(luò)安全來是很重要的。而 Linux 系統(tǒng)，其靜態(tài) ARP 表項(xiàng)不會(huì)被動(dòng)態(tài)刷新，所以不需要 禁止相應(yīng)網(wǎng)絡(luò)接 口做 ARP 解析 即可對抗 ARP 欺騙攻擊。address，這是最常用的定義。advanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。 Capturebuffer 選項(xiàng)卡，將設(shè)置緩沖區(qū)文件存放的位置。 HostTable：可以查看通信量最大的前 10 位主機(jī)。Stop 或者 Capture224。 要對包進(jìn)行顯示過濾需切換到 Decode 模式。其他工具在 操作系統(tǒng) 中也有提供，不做介紹。因此，如何能夠快速、準(zhǔn)確診斷出造成網(wǎng)絡(luò)流量問題的原因，是確保網(wǎng)絡(luò)高可用性的重要保證。工程師首先利用 Dashboard 功能，對網(wǎng)絡(luò)的整體流量狀況進(jìn)行監(jiān)控（如圖所示），發(fā)現(xiàn)該用戶的整體網(wǎng)絡(luò)帶寬占用率并不高，只有 10%左右，網(wǎng)絡(luò)中的絕對流量也不大，但網(wǎng)絡(luò)中的數(shù)據(jù)包卻非常多，甚至超過了 Sniffer 的缺省定義警戒值。 今年 5 月，美國網(wǎng)絡(luò)聯(lián)盟又和 ISS 達(dá)成一個(gè)全面合作 協(xié)議 ，它將把 ISS 的 RealSecure 入侵檢測技術(shù)與 Sniffer 先進(jìn)的網(wǎng)絡(luò)故障隔離和性能管理技術(shù)相結(jié)合，在網(wǎng)絡(luò)管理系統(tǒng)中提供一流的網(wǎng)絡(luò)入侵檢測方案，這種產(chǎn)品預(yù)計(jì)陸續(xù)在今年年底和明年推出 。 解決問題的思路： 用戶使用網(wǎng)絡(luò)，訪問網(wǎng) 絡(luò)上的資源，就勢必會(huì)在網(wǎng)絡(luò)上傳輸數(shù)據(jù)。T。 Sniffer 可進(jìn)行全 OSI 七層解 碼 Sniffer 可以在全部七層 OSI 協(xié)議上進(jìn)行解碼，目前其他廠商還沒有任何一個(gè)系統(tǒng)可以做到對協(xié)議如此透徹的分析。 Sniffer還可根據(jù)網(wǎng)絡(luò)管理者的要求，自動(dòng)將統(tǒng)計(jì)結(jié)果生成多種統(tǒng)計(jì)報(bào)告格式，并可存盤或打印輸出。 優(yōu)化性能 通過對線路和其他系統(tǒng)進(jìn)行透視化的管理，用戶可利用 Sniffer 管理系統(tǒng)提供的特殊功能對系統(tǒng)性能進(jìn)行優(yōu)化。網(wǎng)絡(luò)管理人員不但無法確定引起網(wǎng)絡(luò)癱瘓的原因，在甚至連最基本的網(wǎng)絡(luò)連接也無法恢復(fù)。這些計(jì)算機(jī)在網(wǎng)絡(luò)中拼命發(fā)數(shù)據(jù)包，是非常不正常的，而這也正是當(dāng)時(shí)爆發(fā)的 CodeRed II 病毒的特征，感染了 CodeRed 病毒的計(jì)算機(jī)會(huì)往網(wǎng)絡(luò)中發(fā)送大量的數(shù)據(jù)包，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。我們認(rèn)為讀者如果能了解這個(gè)基本思想，就能自行判斷何種防制方式有效，也能了解為何雙向綁定是一個(gè)較全面又持久的解決方式。常見 ARP 攻擊對象有兩種，一是網(wǎng)絡(luò)網(wǎng)關(guān)，也就是路由器，二是局域網(wǎng)上的計(jì)算機(jī)，也就是一般用戶。下面針對前兩種方法加以說明。第二， ARP echo 手段必須在局域網(wǎng)上持續(xù)發(fā)出廣播網(wǎng)絡(luò)包，占用局域網(wǎng)帶寬，使得局域網(wǎng)工作的能力降低，整個(gè)局域網(wǎng)的計(jì)算機(jī)及交換機(jī)時(shí)時(shí)都在處理ARP echo 廣播包，還沒受到攻擊 局域網(wǎng)就開始卡了。 感謝我所有老師， 這片論文的的完成，都離不開你們的細(xì)心指導(dǎo)。 在論文即將完成之際，我的心情無法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯的謝意！ 。三年了，仿佛就在昨天。 本次對 ARP 病毒的攻擊這課題研究涉及到了局域網(wǎng)的掉線問題的探討；重點(diǎn)講敘了 ARP 病毒的攻擊所造成的危害?，F(xiàn)在，這個(gè)方法不但面對攻擊沒有防制效果，還會(huì)降低局域網(wǎng)運(yùn)作的效能，但是很多用戶仍然以這個(gè)方法來進(jìn)行防制。 由于一般的計(jì)算機(jī)及路由器的 ARP 協(xié)議的意志都 不堅(jiān)定，因此只要有惡意計(jì)算機(jī) 37 在局域網(wǎng)持續(xù)發(fā)出錯(cuò)誤的 ARP 訊息，就會(huì)讓計(jì)算機(jī)及路由器信以為真，作出錯(cuò)誤的傳送網(wǎng)絡(luò)包動(dòng)作。 ARP 攻擊的原理，互聯(lián)網(wǎng)上很容易找到，這里不再覆述。 為了進(jìn)一步確定 CodeRed 病毒的特征，技術(shù)人員用 Sniffer 的 Capture 功能進(jìn)行了抓包，并將數(shù)據(jù)包進(jìn)行解碼分析，圖四就是 Sniffer 對 CodeRed 病毒產(chǎn)生的數(shù)據(jù)包的解碼分析報(bào)告，從中可以清楚地看到 CodeRed 就是通過發(fā)送特定的 Http Get 請求，利用微軟 IIS 的漏洞進(jìn)行傳播的，這些請求在傳播過程中產(chǎn)生大量的數(shù)據(jù)包，使網(wǎng)絡(luò)路由器和交換機(jī)陷于癱瘓。 Sniffer 工程師采用了 ATM 專用的 Sniffer 設(shè)備對該公司的 ATM 主干網(wǎng)絡(luò)進(jìn)行了測試，以下為測試的全部過程。 Sniffer 網(wǎng)絡(luò)分析儀的優(yōu)勢 網(wǎng)絡(luò)癱瘓時(shí)間是衡量現(xiàn)代企業(yè)工作效率的一個(gè)標(biāo)準(zhǔn)。那些經(jīng)預(yù)先存儲的、易于生成的報(bào)告可以提供快 速顯示受監(jiān)測網(wǎng)段的全部統(tǒng)計(jì)數(shù)據(jù)以及網(wǎng)絡(luò)層主機(jī)、矩陣和協(xié)議分配。 Sniffer 對每一層都提供了 Summary（解碼主要規(guī)程要素）、 Detail（解碼全部規(guī)程要素）及 Hex（十六進(jìn)制碼）等幾種解碼窗口。現(xiàn)在，越來越多的中國企事業(yè)單位采用了 Sniffer 的安全解決方案，其中包括：中國人民銀行、中國建設(shè)銀行、中國工商銀行等。 解決方案： 經(jīng)過對各種方法的測試，筆者發(fā)現(xiàn)有一種方法可以在機(jī)器安裝了防火墻的情況下依然可以探測到它的存在并且查到它的網(wǎng)卡 MAC 地址，從而確定它的物理位置。為了找到是哪臺機(jī)器盜用了 IP 地址，一般可以采用如下方法： 31 1. 首先登記所有機(jī)器的網(wǎng)卡物理地址，即網(wǎng)卡的 MAC 地址。為了確定到底是哪些計(jì)算機(jī)在生成這些數(shù)據(jù)包，技術(shù)人員又調(diào)用了 Sniffer 的另外一個(gè)流量監(jiān)控功能 HostTable，在監(jiān)控中，他很 30 快發(fā)現(xiàn)了用戶網(wǎng)絡(luò)中發(fā)包最多的計(jì)算機(jī)的網(wǎng)絡(luò)流量都有一個(gè)共同特點(diǎn)，即他們收到的數(shù)據(jù)包非常少，有的甚至為零。見圖 1 圖 1 在去年年初，國家安全試點(diǎn)項(xiàng)目 863 計(jì)劃 S219 項(xiàng)目中，作為試點(diǎn)單位的農(nóng)行上海分行就選擇了 Sniffer。圖 9，定義一個(gè)廣播包，使其連續(xù)發(fā)送，包的發(fā)送延遲位 1ms 28 圖 9 點(diǎn)選 發(fā)送在 Decode 中所定位的數(shù)據(jù)包，同時(shí)可以在此包的基礎(chǔ)上對數(shù)據(jù)包進(jìn)行如前述的修改。definefilter，定義過濾規(guī)則。如圖 7： 26 圖 7 Decode:對每個(gè)數(shù)據(jù)包進(jìn)行解碼，可以看到整個(gè)包的結(jié)構(gòu)及從 鏈路層 到應(yīng)用層的信息，事實(shí)上， sniffer 的使用中大部分的時(shí)間都花費(fèi)在這上面的分析，同時(shí)也對使用者在網(wǎng)絡(luò)的理論及實(shí)踐經(jīng)驗(yàn)上提出較高的要求。 ApplicationResponseTime:可以了解到不同主機(jī)通信的最小、最大、平均響應(yīng)時(shí)間方面的信息。如圖 5： 24 圖 5 點(diǎn)選 SelectFilter224。 22 如圖 2 比如，想捕獲 FTP、 NETBIOS、 DNS、 HTTP 的數(shù)據(jù)包，那么說首先打開 TCP 選項(xiàng)卡，再進(jìn)一步選協(xié)議；還要明確 DNS、 NETBIOS 的數(shù)據(jù)包有些是屬于 UDP 協(xié)議，故需在 UDP選項(xiàng)卡做類 似 TCP 選項(xiàng)卡的工作，否則捕獲的數(shù)據(jù)包將不全。以定義 IP 地址過濾為例，見圖 1。但是其實(shí)還有一類危害非常大的被動(dòng)攻擊方式往往為大家所忽視 ,那就是利用 Sniffer 進(jìn)行嗅探攻擊。 2， ARP 協(xié)議欺騙技術(shù)相應(yīng)對策 各種網(wǎng)絡(luò)安全的對策都是相對的，主要要看網(wǎng)管平時(shí)對網(wǎng)絡(luò)安全的重視性了。 注意，在這個(gè)過程中，如果主機(jī) A 在發(fā)送 ARP 請求時(shí)，假如該局域網(wǎng)內(nèi)有一臺主機(jī)C 的 IP 和 A 相同， C 就會(huì)得知有一臺主機(jī)的 IP 地址同自已的 IP 地址相同，于時(shí)就蹦出一個(gè) IP 沖突的對話筐。 ARP 程序就更新自己的緩存然后發(fā)送此包到回應(yīng)的 MAC 地址。如果源設(shè)備沒有關(guān)于缺省網(wǎng)關(guān)的 MAC 信息，則它同樣通過 ARP 協(xié)議獲取缺省網(wǎng)關(guān)的 MAC 地址信息。一張 ARP 的