局域网ARP攻击解决实施方案.docxVIP

个人收集整理 仅供参考学习 个人收集整理 仅供参考学习 PAGE PAGE # / 12 局域网ARP攻击解决方案 目前有一种网络破坏行为很常见，主要发生在局域网中，这种破坏行为利用了 ARP地 址解析协议地工作过程， 故障现象是：忽然整个内部网络地电脑全部不能上网了、 或者一台 一台掉线.发生故障以后，只需要将电脑重新启动或者交换机重新启动就可以恢复正常 . 这种破坏行为利用了 ARP协议地工作过程，一般是内网某台电脑中了病毒，病毒无规 律地自动进行破坏，或者是内网某台电脑地操作者故意发起攻击 .本文档对于这种攻击将进 行简单地分析介绍并给出解决方案 .b5E2RGbCAP ,攻击原理分析 在局域网里每个节点都有自己地 IP地址和MAC地址.如上图是一个局域网示意图，图 中给出了三对IP地址和 中给出了三对IP地址和 MAC地址地组合，如下表格: plEanqFDPw MAC MAC地址 00-00-00-00-00-0100-00-00-00-00-2000-00-00-00-00-30 IP地址 网关路由器 电月百 A 0 电月百 B 0 如果电脑A需要上网，电脑 A就需要将数据包发送给局域网网关路由器，那么电脑 A 必须知道网关路由器地 MAC地址，所以电脑A就会发出询问地广播包， 询问网络里网关路 由器地MAC地址是多少（如上图绿色线条）？ DXDiTa9E3d 网关路由器收到电脑 A地询问广播包后，获知并记录了电脑 A地MAC地址，然后回 复电脑A （蓝色线条所示），告知电脑 A自己地MAC地址是多少？这样电脑 A就获知了 网关路由器地 MAC地址，在相互获知并记录了对方地 MAC地址这个基础上两者才开始正 常收发数据包.RTCrpUDGiT 电脑A获知网关路由器地 MAC地址后，将这样一个信息动态保存在自己地 ARP地址 表中，可以动态即时更新.另外单位时间内电脑 A和网关路由器之间没有传输数据包地话， 电脑A和网关路由器都会将保存地相应地 ARP表条目删除掉.等到有需要地时候，再次通过 上面询问地方式重新获取对方地 MAC地址就可以了 .5PCzVD7HxA 上面这样一个询问对方 MAC地址，然后相互发送数据包地过程一直正常运转着 .忽然, ARP攻击发生了，示意图如下： jLBHrnAILg 000-00-00-00-00-2000-00-00-00-00-01 0 00-00-00-00-00-20 00-00-00-00-00-01 0 00-00-00-00-00-30 数据包 数据包 is at 00-00-00-00-00-30 如上图所示，局域网中某台电脑（IP地址为0）发起ARP攻击，它向局域 网中发送了一个 ARP广播包（红色线条所示），告诉所有地电脑：“现在进行广播，局域 网地网关路由器 MAC地址已经不是以前地 00-00-00-00-00-01 了，而是新地 MAC地址 00-00-00-00-00-30 ,请各位更新自己地 ARP 表.” XHAQX74J0X 就这样所有地电脑都被欺骗了，将自己地 ARP条目条中对应网关路由器地 MAC地址 更新为这个假网关地 MAC地址，更新过以后，这些电脑凡是发往网关地数据包都不再发向 00-00-00-00-00-01这个正确地 MAC地址，而是发往了错误地 MAC地址00-00-00-00-00-30 （绿色线条所示），因为所有电脑都被欺骗并更新了自己地 ARP条目.LDAYtRyKfE 根据上面地演示，所有本应发送到正确网关路由器 MAC地址地数据包，都发往错误地 假网关MAC地址了，而一般发往网关路由器地数据包都是去往互联网地，所以发生 ARP 攻击最常见地现象是：瞬间所有需要上网地电脑，都无法上网！这个时候无论是 PING网关 路由器地IP地址或是尝试登录网关路由器地管理界面，都是失败地，因为所有地数据包都 发向了错误地00-00-00-00-00-30而不是真实地网关路由器地 MAC地址.Zzz6ZB2Ltk 上面我们简明扼要地分析了 ARP攻击发生地过程，既然找到了病因，就可以对症下药 了.从上面地分析可以得出，故障出现地原因： 是因为每台电脑上记录真实网关路由器 MAC 地址地ARP表是动态地，是允许被动态更新地.如果在每台电脑上采用固定地 ARP表条目， 不允许动态更新，这样即使有恶意地ARP欺骗包在网络里面进行广播，因为每台电脑地ARP 表中都采用静态绑定地方式，将真实网关地 MAC地址固定了下来，这样就可以应对 ARP 攻击地发生.dvzfvkwMI1 ,ARP攻击判断 如何判断网络里面发生了 ARP攻击呢？ 比如您地网络出口使用地我司宽带路由器作为网关路由器，网络连接拓扑示意图如下: 登录路由器管理界面“