【導(dǎo)讀】論文時所利用的一切資料均已在參考文獻(xiàn)中列出。范和排除ARP攻擊的帶來的危害。本文為大家?guī)磉M(jìn)階的ARP攻擊防制方法。發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目。標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。里的IP地址與MAC地址是一一對應(yīng)的，如表所示。“的MAC地址是00-aa-00-62-c6-09。”同時它還更新了自己的ARP緩存表。線問題，這樣的情況就是典型的ARP攻擊，對遭受ARP攻擊的判斷，其方法很容易，內(nèi)網(wǎng)ping路由器的LANIP丟幾個包，然后又連上，這很有可能是中了ARP攻擊。為了進(jìn)一步確認(rèn)，我們可以通過查找ARP表來判斷。解決了ARP攻擊的源頭PC機(jī)的問題，可以保證內(nèi)網(wǎng)免受攻擊。有效地阻擋自來網(wǎng)絡(luò)的攻擊和病毒的入侵?；ⅲ覀兊秒S時警惕ARP攻擊，以減少受到的危害，提高工作效率，降低經(jīng)濟(jì)損失。ARP及IP攻擊泛濫，嚴(yán)重影響網(wǎng)絡(luò)安全；

　　

【正文】 報表生成器 Sniffer 報表生成器允許用戶創(chuàng)建圖形報告，該報告建立在Sniffer 所收集的 RMON 和類似于 RMON2 的數(shù)據(jù)基礎(chǔ)之上。那些經(jīng)預(yù)先存儲的、易于生成的報告可以提供快 速顯示受監(jiān)測網(wǎng)段的全部統(tǒng)計數(shù)據(jù)以及網(wǎng)絡(luò)層主機(jī)、矩陣和協(xié)議分配。這些報告還可以提供針對用戶網(wǎng)絡(luò)通訊趨勢的重要信息，例如，用戶可評估哪種資源、哪種協(xié)議占用了大部分的帶寬。這些數(shù)據(jù)不僅能幫助網(wǎng)絡(luò)管理者預(yù)測額外的帶寬需求，還可以幫助用戶分配網(wǎng)絡(luò)資源。 Sniffer 報表生成器在網(wǎng)絡(luò)性能下降發(fā)展成為嚴(yán)重的網(wǎng)絡(luò)故障之前，協(xié)助用戶預(yù)測并更正這些問題。 Sniffer 網(wǎng)絡(luò)分析儀的超強(qiáng)功能 34 故障定位及排除 Sniffer 涉及到系統(tǒng)、設(shè)備、應(yīng)用等多個層面，因此將網(wǎng)絡(luò)性能報告或網(wǎng)絡(luò)故障準(zhǔn)確定位在涉及到（線 路、設(shè)備、服務(wù)器、操作系統(tǒng)、電子郵件）的具體位置，是 Sniffer 提供的基本功能。 預(yù)防問題 通過在廣域網(wǎng)上對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)流量的實施監(jiān)控和分析， Sniffer 有效預(yù)防網(wǎng)絡(luò)故障的發(fā)生，即使在系統(tǒng)出現(xiàn)性能抖動時， Sniffer 也會及時發(fā)現(xiàn)，同時建議系統(tǒng)管理員采用正確的處理方法。 優(yōu)化性能 通過對線路和其他系統(tǒng)進(jìn)行透視化的管理，用戶可利用 Sniffer 管理系統(tǒng)提供的特殊功能對系統(tǒng)性能進(jìn)行優(yōu)化。 提供整體網(wǎng)絡(luò)運行的健康分析及發(fā)展趨勢分析 Sniffer 可對網(wǎng)絡(luò)系統(tǒng)的 整體運行情況作出長期的健康分析與發(fā)展趨勢報告，分析系統(tǒng)目前的使用情況，以及對新系統(tǒng)的規(guī)劃作出精確的報告。 Sniffer 網(wǎng)絡(luò)分析儀的優(yōu)勢 網(wǎng)絡(luò)癱瘓時間是衡量現(xiàn)代企業(yè)工作效率的一個標(biāo)準(zhǔn)。當(dāng)用戶抱怨 網(wǎng)絡(luò)太慢 時，可以打開 Sniffer，為網(wǎng)段做一次信息捕獲。 作為用于網(wǎng)絡(luò)故障與性能管理的業(yè)界標(biāo)準(zhǔn)分析工具， Sniffer 為用戶的網(wǎng)絡(luò)提供了領(lǐng)先于其他解決方案的分析、協(xié)議解釋、自動化與可見性等功能。 Sniffer 網(wǎng)絡(luò)分析儀具有如下優(yōu)勢?？焖俳鉀Q問題：利用自動的問題識別、分析 與推薦方案，用戶可從根本上精簡故障診斷時間；優(yōu)化投資：利用網(wǎng)絡(luò)性能降級原因的精確信息，用戶可以有效避免因某個偶然問題而草率投入大量資金的錯誤，利用 Sniffer，用戶可以明智地根據(jù)分析結(jié)果作出周密的網(wǎng)絡(luò)管理計劃；提高生產(chǎn)率：通過自動、連續(xù)地了解網(wǎng)絡(luò)配置， Sniffer 減少了網(wǎng)絡(luò)例行維護(hù)時間，由此提高效率和生產(chǎn)率；全方位滿足用戶需求， Sniffer 在網(wǎng)絡(luò)性能受到影響前會自動地傳送預(yù)先警告，使用戶能夠在事件發(fā)生之前主動地調(diào)整網(wǎng)絡(luò)，保證終端用戶的持續(xù)工作。 Sniffer 應(yīng)用實例分析 35 國 內(nèi)某大型企業(yè)的網(wǎng)絡(luò)主干是 ATM 網(wǎng)絡(luò)， 2020 年 8 月，網(wǎng)絡(luò)性能突然急劇下降，導(dǎo)致企業(yè)的網(wǎng)上應(yīng)用全部陷于癱瘓。網(wǎng)絡(luò)管理人員不但無法確定引起網(wǎng)絡(luò)癱瘓的原因，在甚至連最基本的網(wǎng)絡(luò)連接也無法恢復(fù)。而在這種了無頭緒的狀態(tài)下， Sniffer 卻顯示出強(qiáng)大的網(wǎng)絡(luò)管理能力。 Sniffer 工程師采用了 ATM 專用的 Sniffer 設(shè)備對該公司的 ATM 主干網(wǎng)絡(luò)進(jìn)行了測試，以下為測試的全部過程。 工程師首先調(diào)用了 Sniffer 的 Dashboard 功能對網(wǎng)絡(luò)的整體流量狀況進(jìn)行了監(jiān)控，該監(jiān)控功能旨在對網(wǎng)絡(luò) 的帶寬利用率（總體流量）、網(wǎng)絡(luò)每秒鐘的數(shù)據(jù)包數(shù)，以及網(wǎng)絡(luò)中每秒鐘的錯誤包數(shù)進(jìn)行監(jiān)控。從這些監(jiān)控中， Sniffer 的技術(shù)人員發(fā)現(xiàn)用戶的整體網(wǎng)絡(luò)帶寬占用率并不高（如左邊的儀表盤所示），只有 10%左右，網(wǎng)絡(luò)中的絕對流量也不大，但工程師同時發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)包卻非常多（如中間的儀表盤所示），甚至超過了 Sniffer 缺省定義的警戒值。從詳細(xì)的數(shù)值可以看出，網(wǎng)絡(luò)中 64 個字節(jié)以下的小包最多，因此，技術(shù)人員初步斷定，網(wǎng)絡(luò)中太多的小包可能是引起網(wǎng)絡(luò)癱瘓的原因。 為了確定到底是那些計算機(jī)在生成這些數(shù)據(jù)包，技術(shù)人員 又調(diào)用了 Sniffer 的另外一個流量監(jiān)控功能 HostTable， HostTable 可監(jiān)控網(wǎng)絡(luò)中每臺計算機(jī)的流量狀況，包括每臺計算機(jī)收到的數(shù)據(jù)包數(shù)、數(shù)據(jù)包字節(jié)數(shù)、每臺計算機(jī)發(fā)出的數(shù)據(jù)包數(shù)、發(fā)出數(shù)據(jù)包的字節(jié)數(shù)、總的包數(shù)和總的字節(jié)數(shù)等流量信息。在監(jiān)控中，技術(shù)人員很快發(fā)現(xiàn)了用戶網(wǎng)絡(luò)中發(fā)包最多的那些計算機(jī)的網(wǎng)絡(luò)流量都有一個共同特點，即他們收到的數(shù)據(jù)包非常少，有的計算機(jī)甚至為零。這些計算機(jī)在網(wǎng)絡(luò)中拼命發(fā)數(shù)據(jù)包，是非常不正常的，而這也正是當(dāng)時爆發(fā)的 CodeRed II 病毒的特征，感染了 CodeRed 病毒的計算機(jī)會往網(wǎng)絡(luò)中發(fā)送大量的數(shù)據(jù)包，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。通過這些特征，技術(shù)人員已經(jīng)十分確定用戶網(wǎng)絡(luò)的癱瘓原因是由于圖三中所示的那些計算機(jī)感染了 CodeRed 病毒引起的。 為了進(jìn)一步確定 CodeRed 病毒的特征，技術(shù)人員用 Sniffer 的 Capture 功能進(jìn)行了抓包，并將數(shù)據(jù)包進(jìn)行解碼分析，圖四就是 Sniffer 對 CodeRed 病毒產(chǎn)生的數(shù)據(jù)包的解碼分析報告，從中可以清楚地看到 CodeRed 就是通過發(fā)送特定的 Http Get 請求，利用微軟 IIS 的漏洞進(jìn)行傳播的，這些請求在傳播過程中產(chǎn)生大量的數(shù)據(jù)包，使網(wǎng)絡(luò)路由器和交換機(jī)陷于癱瘓。 36 正是采用了 Sniffer 網(wǎng)絡(luò)分析儀使用戶得以迅速地查明了網(wǎng)絡(luò)癱瘓的原因，并監(jiān)控到了每個感染 CodeRed 病毒的計算機(jī)情況，從而在很短的時間內(nèi)將這些計算機(jī)中的病毒進(jìn)行徹底清除，使用戶網(wǎng)絡(luò)得以快速恢復(fù)，有效避免了更大的損失。 基于出色的性能， Sniffer 近年獲得的全球性大獎超過 45 個，在 2020 年榮獲美國知名媒體《 NetwWork Computing》 十年來最佳網(wǎng)絡(luò)產(chǎn)品獎 ，同獲此殊榮的產(chǎn)品包括：MS Windows NT、 Novell Netware、 Cisco 路由器與 Apache Web 服務(wù)器。 三 結(jié)論 根據(jù)網(wǎng)絡(luò)調(diào)查接到很多用戶反應(yīng)說有些 ARP 防制方法很容易操作和實施，但經(jīng)過實際深入了解后，發(fā)現(xiàn)長期效果都不大。 對于 ARP 攻擊防制，本人建議，最好的方法是先踏踏實實把基本防制工作做好，才是根本解決的方法。由于解決方式眾多，無法一一加以說明優(yōu)劣，因此本文解釋了 ARP攻擊防制的基本思想。我們認(rèn)為讀者如果能了解這個基本思想，就能自行判斷何種防制方式有效，也能了解為何雙向綁定是一個較全面又持久的解決方式。 一、不堅定的 ARP 協(xié)議 一般計算機(jī)中的原始的 ARP 協(xié)議，很像一個思想不堅定，容易被其它人影響的人，ARP 欺騙 /攻擊就是利用這個特性，誤導(dǎo)計算機(jī)作出錯誤的行為。 ARP 攻擊的原理，互聯(lián)網(wǎng)上很容易找到，這里不再覆述。原始的 ARP 協(xié)議運作，會附在局域網(wǎng)接收的廣播包或是 ARP 詢問包，無條件覆蓋本機(jī)緩存中的 ARP/MAC 對照表。這個特性好比一個意志不堅定的人，聽了每一個人和他說話都信以為真，并立刻以最新聽到的信息作決定。 就像一個沒有計劃的快遞員，想要送信給 張三 ，只在馬路上問 張三住那兒？ ，并投遞給最近和他說 我就是！ 或 張三住那間！ ，來決定如何投遞一樣。 在一個人人誠實的地方，快遞員的工作還是能切實地進(jìn)行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會帶來混亂了。 我們再回來看 ARP 攻擊和這個意志不堅定快遞員的關(guān)系。常見 ARP 攻擊對象有兩種，一是網(wǎng)絡(luò)網(wǎng)關(guān)，也就是路由器，二是局域網(wǎng)上的計算機(jī)，也就是一般用戶。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯誤的地址信息給快遞員，讓快遞員整個工作大亂，所有信件無法正常送達(dá)；而攻擊一般計算機(jī)就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機(jī)。 由于一般的計算機(jī)及路由器的 ARP 協(xié)議的意志都 不堅定，因此只要有惡意計算機(jī) 37 在局域網(wǎng)持續(xù)發(fā)出錯誤的 ARP 訊息，就會讓計算機(jī)及路由器信以為真，作出錯誤的傳送網(wǎng)絡(luò)包動作。一般的 ARP 就是以這樣的方式，造成網(wǎng)絡(luò)運作不正常，達(dá)到盜取用戶密碼或破壞網(wǎng)絡(luò)運作的目的。針對 ARP 攻擊的防制，常見的方法，可以分為以下三種作法： 利用 ARP echo 傳送正確的 ARP 訊息：通過頻繁地提醒正確的 ARP 對照表，來達(dá)到防制的效果。 利用綁定方式，固定 ARP 對照表不受外來影響：通過固定正確的 ARP 對照表，來達(dá)到防制的效果。 舍棄 ARP 協(xié)議，采用其它尋址協(xié)議：不采用 ARP 作 為傳送的機(jī)制，而另行使用其它協(xié)議例如 PPPoE 方式傳送。 以上三種方法中，前兩種方法較為常見，第三種方法由于變動較大，適用于技術(shù)能力較佳的應(yīng)用。下面針對前兩種方法加以說明。 二、 PK 賽之 ARP echo ARP echo 是最早開發(fā)出來的 ARP 攻擊解決方案，但隨著 ARP 攻擊的發(fā)展，漸漸失去它的效果?，F(xiàn)在，這個方法不但面對攻擊沒有防制效果，還會降低局域網(wǎng)運作的效能，但是很多用戶仍然以這個方法來進(jìn)行防制。以前面介紹的思想不堅定的快遞員的例子來說， ARP echo 的作法，等于是時時用電話提醒快遞員正確的發(fā)送對 象及地址，減低他被鄰近的各種信息干擾的情況。 但是這種作法，明顯有幾個問題：第一，即使時時提醒，但由于快遞員意志不堅定，仍會有部份的信件因為要發(fā)出時剛好收到錯誤的信息，以錯誤的方式送出去；這種情況如果是錯誤的信息頻率特高，例如有一個人時時在快遞員身邊連續(xù)提供信息，即使打電話提醒也立刻被覆蓋，效果就不好；第二，由于必須時時提醒，而且為了保證提醒的效果好，還要加大提醒的間隔時間，以防止被覆蓋，就好比快遞員一直忙于接聽總部打來的電話，根本就沒有時間可以發(fā)送信件，耽誤了正事；第三，還要專門指派一位人時時打電話給快遞 員提醒，等于要多派一個人手負(fù)責(zé)，而且持續(xù)地提醒，這個人的工作也很繁重。 以 ARP echo 方式對應(yīng) ARP 攻擊，也會發(fā)生相似的情況。第一，面對高頻率的新式ARP 攻擊， ARP echo 發(fā)揮不了效果，掉線斷網(wǎng)的情況仍舊會發(fā)生。 ARP echo 的方式防制的對早期以盜寶為目的的攻擊軟件有效果，但碰到最近以攻擊為手段的攻擊軟件則公認(rèn)是沒有效果的。第二， ARP echo 手段必須在局域網(wǎng)上持續(xù)發(fā)出廣播網(wǎng)絡(luò)包，占用局域網(wǎng)帶寬，使得局域網(wǎng)工作的能力降低，整個局域網(wǎng)的計算機(jī)及交換機(jī)時時都在處理ARP echo 廣播包，還沒受到攻擊 局域網(wǎng)就開始卡了。第三，必須在局域網(wǎng)有一臺負(fù)責(zé)負(fù)責(zé)發(fā) ARP echo 廣播包的設(shè)備，不管是路由器、服務(wù)器或是計算機(jī)，由于發(fā)包是以一 38 秒數(shù)以百計的方式來發(fā)送，對該設(shè)備都是很大的負(fù)擔(dān)。 本次對 ARP 病毒的攻擊這課題研究涉及到了局域網(wǎng)的掉線問題的探討；重點講敘了 ARP 病毒的攻擊所造成的危害。探討 ARP 的防范措施以及解決方法對今后的網(wǎng)絡(luò)發(fā)展起著至關(guān)重要作用，做好 ARP 防范才能構(gòu)造好一個良好的網(wǎng)絡(luò)將會提高我們今后工作效率以及社會的發(fā)展。及時的研究 ARP 技術(shù)，無論是對我們現(xiàn)在和未來，都將帶來相當(dāng)大的影響。 由于本人的能力局 限性，初步實現(xiàn)對 ARP 攻擊的防范與局域網(wǎng)受攻擊的快速解決方法階段，在接下來的時間里，如果有機(jī)會的話，我將進(jìn)一步的深入 ARP 病毒的研究，以及做好一個更強(qiáng)的防范措施，讓 ARP 病毒再也無法影響到我們。 做好 ARP 防范是一個任重而道遠(yuǎn)的過程，必須高度重視這個問題，而且不能大意馬虎，我們得隨時警惕 ARP 攻擊， 以減少受到的危害，提高工作效率，降低經(jīng)濟(jì)損失 。 致 謝 感謝我的導(dǎo)師朱強(qiáng)，他們嚴(yán)謹(jǐn)細(xì)致、一絲不茍的作風(fēng)一直是我工作、學(xué)習(xí)中的榜樣；他們循循善誘的教導(dǎo)和不拘一格的思路給予我無盡的啟迪。 感謝我所有老師， 這片論文的的完成，都離不開你們的細(xì)心指導(dǎo)。 感謝我的室友們，從遙遠(yuǎn)的家來到這個陌生的城市里，是你們和我共同維系著彼此之間兄弟般的感情，維系著寢室那份家的融洽。三年了，仿佛就在昨天。三年里，我們沒有紅過臉，沒有吵過嘴，沒有發(fā)生上大學(xué)前所擔(dān)心的任何不開心的事情。只是今后大家就難得再聚在一起吃每年元旦那頓飯了吧，沒關(guān)系，各奔前程，大家珍重。但愿我們寢室的的同學(xué)們都開開心心每有天。我們在一起的日子，我會記一輩子的。 感謝我的爸爸媽媽，焉得諼草，言樹之背，養(yǎng)育之恩，無以回報，你們永遠(yuǎn)健康快樂是我最大的 心愿。 在論文即將完成之際，我的心情無法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯的謝意！