【正文】 地址的對應(yīng)表以此建立交換路徑，這個(gè)表就是通常我們所說的 CAM 表。CAM 表的大小是固定的，不同的交換機(jī)的 CAM 表大小不同。MAC/CAM 攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿 CAM 表，交換機(jī) CAM 表被填滿。黑客發(fā)送大量帶有隨機(jī)源 MAC 地址的數(shù)據(jù)包，這些新 MAC 地址被交換機(jī) CAM 學(xué)習(xí)，很快塞滿 MAC 地址表，這時(shí)新目的 MAC 地址的數(shù)據(jù)包就會廣播到交換機(jī)所有端口，交換機(jī)就像共享 HUB 一樣工作，黑客可以用 sniffer 工具監(jiān)聽所有端口的流量。此類攻擊不僅造成安全性的破壞，同時(shí)大量的廣播包降低了交換機(jī)的性能。當(dāng)交換機(jī)的 CAM 表被填滿后，交換機(jī)以廣播方式處理通過交換機(jī)的報(bào)文，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。更為嚴(yán)重的是，這種攻擊也會導(dǎo)致所有鄰接的交換機(jī) CAM 表被填滿，流量以洪泛方式發(fā)送到所有交換機(jī)的所有含有此 VLAN 的接口，從而造成交換機(jī)負(fù)載過大、網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 28 MAC 泛濫攻擊防范方法限制單個(gè)端口所連接 MAC 地址的數(shù)目可以有效防止類似 macof 工具和SQL 蠕蟲病毒發(fā)起的攻擊， macof 可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機(jī)源 MAC 地址和隨機(jī)目的 MAC 地址的數(shù)據(jù)包，可以在不到 10 秒的時(shí)間內(nèi)填滿交換機(jī)的 CAM表。Cisco Catalyst 交換機(jī)的端口安全（Port Security）和動態(tài)端口安全功能可被用來阻止 MAC 泛濫攻擊。例如交換機(jī)連接單臺工作站的端口，可以限制所學(xué)MAC 地址數(shù)為 1；連接 IP 電話和工作站的端口可限制所學(xué) MAC 地址數(shù)為3：IP 電話、工作站和 IP 電話內(nèi)的交換機(jī)。通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個(gè)端口所允許連接的合法 MAC 地址，實(shí)現(xiàn)設(shè)備級的安全授權(quán)。動態(tài)端口安全則設(shè)置端口允許合法MAC 地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法 MAC 地址。通過配置 Port Security 可以控制：? 端口上最大可以通過的 MAC 地址數(shù)量? 端口上學(xué)習(xí)或通過哪些 MAC 地址? 對于超過規(guī)定數(shù)量的 MAC 處理進(jìn)行違背處理端口上學(xué)習(xí)或通過哪些 MAC 地址，可以通過靜態(tài)手工定義，也可以在交換機(jī)自動學(xué)習(xí)。交換機(jī)動態(tài)學(xué)習(xí)端口 MAC，直到指定的 MAC 地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是 Sticky Port Security，交換機(jī)將學(xué)到的mac 地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。對于超過規(guī)定數(shù)量的 MAC 處理進(jìn)行處理一般有三種方式（針對交換機(jī)型號會有所不同）：? Shutdown：端口關(guān)閉。? Protect：丟棄非法流量，不報(bào)警。溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 29 ? Restrict：丟棄非法流量，報(bào)警。 DHCP 欺騙攻擊的防范采用 DHCP 管理的常見問題采用 DHCP server 可以自動為用戶設(shè)置網(wǎng)絡(luò) IP 地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP 管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有：? DHCP server 的冒充。? DHCP server 的 DOS 攻擊。? 有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。? 由于 DHCP 的運(yùn)作機(jī)制，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺 DHCP 服務(wù)器將會給網(wǎng)絡(luò)照成混亂。? 由于不小心配置了 DHCP 服務(wù)器引起的網(wǎng)絡(luò)混亂也非常常見。黑客利用類似 Goobler 的工具可以發(fā)出大量帶有不同源 MAC 地址的DHCP 請求，直到 DHCP 服務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成 DOS 的破壞，也可和 DHCP 服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。DHCP 服務(wù)器欺詐可能是故意的，也可能是無意啟動 DHCP 服務(wù)器功能，惡意用戶發(fā)放錯(cuò)誤的 IP 地址、 DNS 服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，以此來實(shí)現(xiàn)流量的截取。DHCP Snooping 技術(shù)概述DHCP Snooping 技術(shù)是 DHCP 安全特性，通過建立和維護(hù) DHCP Snooping綁定表過濾不可信任的 DHCP 信息，這些信息是指來自不信任區(qū)域的 DHCP 信息。 通過截取一個(gè)虛擬局域網(wǎng)內(nèi)的 DHCP 信息，交換機(jī)可以在用戶和 DHCP服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色， “DHCP 監(jiān)聽”功能基于動態(tài)地溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 30 址分配建立了一個(gè) DHCP 綁定表，并將該表存貯在交換機(jī)里。在沒有 DHCP 的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè) DHCP 綁定條目包含客戶端地址（一個(gè)靜態(tài)地址或者一個(gè)從 DHCP 服務(wù)器上獲取的地址） 、客戶端MAC 地址、端口、VLAN ID、租借時(shí)間、綁定類型（靜態(tài)的或者動態(tài)的） ?；痉婪稙榱朔乐惯@種類型的攻擊，Catalyst DHCP 偵聽（DHCP Snooping）功能可有效阻止此類攻擊，當(dāng)打開此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何 DHCP 響應(yīng)，因此欺詐 DHCP 響應(yīng)包被交換機(jī)阻斷，合法的 DHCP 服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。Catalyst DHCP 偵聽（DHCP Snooping）對于下邊介紹的其他阻止 ARP 欺騙和IP/MAC 地址的欺騙是必需的。 ARP 欺騙攻擊原理和處理方法ARP 欺騙攻擊原理從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP 欺騙分為二種，一種是對路由器 ARP表的欺騙；另一種是對內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺騙。 第一種 ARP 欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC 地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的 MAC 地址，造成正常PC 無法收到信息。第二種 ARP 欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的 PC 向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在 PC 看來，就是上不了網(wǎng)了， “網(wǎng)絡(luò)掉線了”。 近期，一種新型的“ ARP 欺騙”木馬病毒正在校園網(wǎng)中擴(kuò)散，嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。感染此木馬的計(jì)算機(jī)試圖通過“ ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 31 它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。ARP 欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時(shí)會突然掉線，過一段時(shí)間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE 瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果校園網(wǎng)是通過身份認(rèn)證上網(wǎng)的，會突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無法 ping 通網(wǎng)關(guān)） ，重啟機(jī)器或在 MSDOS 窗口下運(yùn)行命令arp d 后，又可恢復(fù)上網(wǎng)。ARP 欺騙木馬十分猖狂，危害也特別大，各大學(xué)校園網(wǎng)、小區(qū)網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情，帶來了網(wǎng)絡(luò)大面積癱瘓的嚴(yán)重后果。ARP 欺騙木馬只需成功感染一臺電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓。檢查和處理“ ARP 欺騙”木馬的方法 1 ．檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程 同時(shí)按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務(wù)管理器”，點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為 “ ”的進(jìn)程。如果有，則說明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程” 。參見右圖。 2 ．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī) 在“開始” “程序” “附件 ”菜單下調(diào)出“命令提示符” 。輸入并執(zhí)行以下命令： ipconfig 記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對應(yīng)的值，例如“ ”。再輸入并執(zhí)行以下命令： arp –a 溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 32 在“ Inter Address ” 下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對應(yīng)的物理地址，即“ Physical Address ”值，例如“ 0001e81f3554 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。 也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個(gè) IP 對應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個(gè) IP 地址和物理地址就是中毒計(jì)算機(jī)的 IP 地址和網(wǎng)卡物理地址。 3 ．設(shè)置 ARP 表避免“ ARP 欺騙” 木馬影響的方法 本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對本機(jī)的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令： arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址 ARP 綁定網(wǎng)關(guān) 步驟一： 在能正常上網(wǎng)時(shí)，進(jìn)入 MSDOS 窗口，輸入命令：arp －a ，查看網(wǎng)關(guān)的 IP 對應(yīng)的正確 MAC 地址， 并將其記錄下來。 注意：如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令 arp －d 將 arp 緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話） 。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線） ，再運(yùn)行 arp －a 。 步驟二： 溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 33 如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確 MAC 地址，在不能上網(wǎng)只需手工將網(wǎng)關(guān) IP 和正確的 MAC 地址綁定，即可確保計(jì)算機(jī)不再被欺騙攻擊。 要想手工綁定，可在 MSDOS 窗口下運(yùn)行以下命令： arp －s 網(wǎng)關(guān) IP 網(wǎng)關(guān) MAC 例如：假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為 ，本機(jī)地址為 ，在計(jì)算機(jī)上運(yùn)行 arp －a 后輸出如下： Cocuments and Settingsarp a Interface: 0x2 Inter Address Physical Address Type 000102030405 dynamic 其中，000102030405 就是網(wǎng)關(guān) 對應(yīng)的 MAC 地址，類型是動態(tài)（dynamic）的，因此是可被改變的。 被攻擊后，再用該命令查看，就會發(fā)現(xiàn)該 MAC 已經(jīng)被替換成攻擊機(jī)器的MAC。如果希望能找出攻擊機(jī)器，徹底根除攻擊，可以在此時(shí)將該 MAC 記錄下來，為以后查找該攻擊的機(jī)器做準(zhǔn)備。 手工綁定的命令為： arp －s 000102030405 溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 34 綁定完，可再用 arp －a 查看 arp 緩存： Cocuments and Settingsarp a Interface: 0x2 Inter Address Physical Address Type 000102030405 static 這時(shí)，類型變?yōu)殪o態(tài)（static） ，就不會再受攻擊影響了。 但是，需要說明的是，手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)，把病毒殺掉，才算是真正解決問題。 5 .作批處理文件 在客戶端做對網(wǎng)關(guān)的 arp 綁定，具體操作步驟如下： 步驟一： 查找本網(wǎng)段的網(wǎng)關(guān)地址，比如 192．168．1．1，以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時(shí)， “開始→ 運(yùn)行→cmd→確定”，輸入：arp －a，點(diǎn)回車，查看網(wǎng)關(guān)對應(yīng)的Physical Address。 比如：網(wǎng)關(guān) 對應(yīng) 00－01－02－03－04－05。 步驟二： 溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 35 編寫一個(gè)批處理文件 ，內(nèi)容如下： @echo off arp －d arp s 00－01－02－03－04－05 保存為： 。 步驟三： 運(yùn)行批處理文件將這個(gè)批處理文件拖到“Windows→開始→程序→啟動” 中，如果需要立即生效，請運(yùn)行此文件。 注意：以上配置需要在網(wǎng)絡(luò)正常時(shí)進(jìn)行 及時(shí)下載 Anti ARP Sniffer 軟件保護(hù)本地計(jì)算機(jī)正常運(yùn)行。具體使用方法可以在網(wǎng)上搜索。 如果已有病毒計(jì)算機(jī)的 MAC 地址，可使用 NBTSCAN 等軟件找出網(wǎng)段內(nèi)與該MAC 地址對應(yīng)的 IP，即感染病毒的計(jì)算機(jī)的 IP 地址，然后報(bào)告單位的網(wǎng)絡(luò)中心對其進(jìn)行查封。 或者利用單位提供的集中網(wǎng)絡(luò)防病毒系統(tǒng)來統(tǒng)一查殺木馬。另外還可以利用木馬殺客等安全工具進(jìn)行查殺。 溫州春華校園網(wǎng)絡(luò)設(shè)計(jì)方案 36 網(wǎng)絡(luò)管理管理人員利用上面介紹的 ARP 木馬檢測方法在局域網(wǎng)的交換機(jī)上查出受感染該病毒的端口后，立即關(guān)閉中病毒的端口，通過端口查出相應(yīng)的用戶并通知其徹底查殺病毒。而后，做好單機(jī)防范，在其徹底查殺病毒后再開放相應(yīng)的交換機(jī)端口，重新開通上網(wǎng)。 軟件應(yīng)用在客戶終端上還必須要安裝些應(yīng)用軟件來保證和維護(hù)校園辦公和教務(wù)的正常進(jìn)行：1）殺 毒 軟 件 　 　　 　 360 安 全 衛(wèi) 士 是 國 內(nèi) 最 受 歡 迎 免 費(fèi) 安 全 軟 件 ， 它 擁 有 查 殺 流 行 木 馬 、 清理 惡 評 及 系 統(tǒng) 插 件 ， 管 理 應(yīng) 用 軟 件 ， 卡 巴 斯 基 殺 毒 ， 系 統(tǒng) 實(shí) 時(shí) 保 護(hù) ， 修 復(fù) 系統(tǒng) 漏 洞 等 數(shù) 個(gè) 強(qiáng) 勁 功 能 ， 同 時(shí) 還