职业学校校园网ARP攻击原理探究.docVIP

职业学校校园网ARP攻击原理探究 　　摘要：文章介绍了ARP攻击的原理以及由此引发的网络安全问题，并且结合实际解决方案情况，提出在校园网中实施多层次的防范方法，以解决因ARP攻击而引发的网络安全问题，最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。 关键词：ARP攻击；网络安全；防范方法 学校2007年入网升级为10M光纤后，应学校要求开放机房给学生，一段时间后，经常接到报告，部份计算机频繁掉线，严的影响到了办公区的正常上网。通过重启计算机或路由器问题解决，或第二天又能正常上网，机房一开放又出现同样问题，通过网上相关资料查询，断定这是局域网ARP攻击。 学校网络比较简单，全部使用192.168.0.0网段，用拔线的方法来控制上网与断网。用了很多方法，如批处理软件、杀毒，但效果并不理想，一段时间后又出现。最后通过静态MAC地址绑定与ARP防火墙的使用，终于解决了掉网问题，为此有效的防范ARP形式的网络攻击已成为确保学校网络畅通必要条件。 ARP的相关知识 1.什么是ARP ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的，ARP协议对网络安全具有重要的意义。 ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层，因此它的危害就更加隐蔽。 2.ARP欺骗的原理 ARP类型的攻击内藏于软件，扰乱其他局域网用户正常的网络通信，在计算机上运行ARP欺骗程序，来发送ARP欺骗包。伪造ARP应答与无效的MAC地址。 当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了。 出现ARP攻击的原因及特征 一个正常运行的局域网是不应该出现ARP攻击的，经过长时间的观测，发现ARP攻击的出现主要是由以下几个原因造成的： 1.人为破坏 主要是内网有人安装了P2P监控软件，如P2P终结者，网络执法官，聚生网管，QQ第六感等，恶意监控其他机器，限制流量，或者进行内网DDOS攻击。 2.木马病毒 传奇、跑跑卡丁车、劲舞团等游戏外挂，如：及时雨PK版，跑跑牛车，劲舞小生等，他内含一些木马程序，也会引起ARP欺骗。 其实真正有人恶意捣乱的是很少的，一次两次捣乱，次数多了自己也就腻了，更何况事后网管肯定会找到捣乱的主机，所以说人为破坏是比较好解决的。最麻烦的就是使用带木马的游戏外挂和浏览带有恶意代码的网页。 当出现ARP攻击后最明显的特征是网络频繁掉线，速度变慢，查看进程你会发现增加了down.exe 1.exe cmd.exe 9sy.exe中的任意一个或多个，严重的还能自动下载威金病毒，logo_1.exe.rundl132.exe，感染可执行文件。 解决方案及结果 从网上查询相关资料，目前对于ARP 攻击防护问题出现最多是绑定IP 和MAC 和使用ARP 防护软件。 1.发现ARP欺骗木马 在路由器的“系统历史记录”中看到大量如下的信息（440 以后的路由器软件版本中才有此提示）： MAC Chged 10.128.103.124 MAC Old 00：01：6c：36：d1：7f MAC New 00：05：5d：60：c7：18 这个消息代表了用户的MAC 地址发生了变化，在ARP 欺骗木马开始运行的时候，局域网所有主机的MAC 地址更新为病毒主机的MAC 地址，即所有信息的MAC New 地址都一致为病毒主机的MAC 地址，同时在路由器的“用户统计”中看到所有用户的MAC 地址信息都一样。 如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗，ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址。 2.查找病毒主机 在上面我们已经知道了使用ARP 欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。 NBTSCAN可以取到PC的真实IP 地址和MAC地址，如果有“ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP/和MAC地址。 命令：“nbtscan-r192.168.0.0/24”，搜索整个192