寧夏馬蓮臺電廠的網絡是典型的三層交換,採用了思科的設備,核心層是一臺Cisco 6500 , 匯聚層是兩臺Cisco 6500,分別連接生產樓和生活區的設備,在生產區樓裏如集控室、化驗樓、燃供樓、檢修間、除灰樓、小車庫都掛着Cisco 3550作爲接入層。全廠一共有200多臺計算機透過交換機連成一個局域網。
馬蓮臺電廠網絡拓撲圖
2、網絡故障現象
局域網內的計算機出現外部網站訪問速度緩慢,甚至無法開啟的現象,客戶端用戶頻繁出現斷網並發現IP衝突。最嚴重的時候出現部分生產樓網絡癱瘓。
3、故障分析:
3.1故障原因查找
在開始不能上網的計算機上執行arp –a,說明:是網關地址,後面的00-00-0c-07-0a-01是網關的物理地址。此物理地址默認情況下是不會發生改變的,如果發現物理地址不是此地址說明自己已經受到了arp病毒的攻擊 。
查找過程:
(1)、執行arp –a 列出了:
00-0F-EA-11-00-5E
00-0F-EA-11-00-5E (網關)
由於之前我們已經知道網關的正確物理地址是00-00-0c-07-0a-01,此時卻變成了00-0F-EA-11-00-5E,說明正在利用arp進行欺騙,冒充網關。
(2)、執行arp –d 清除ARP列表資訊。重新執行arp –a看數據類表的可疑IP位址是否存在,不存在說明此IP位址正常;存在,說明該機器肯定有ARP病毒。
(3) 使用tracert命令
在任意一臺受影響的主機上,在DOS命令視窗下執行如下命令:tracert (外網IP位址)。假定設定的缺省網關爲,在跟蹤一個外網地址時,第一跳卻是,那麼,就是病毒源。
3.2 ARP攻擊原理分析
ARP,全稱Address Resolution Protocol,中文名爲地址解析協議,它工作在數據鏈路層,在本層和硬件接口聯繫,同時對上層提供服務。ARP病毒造成網絡癱瘓的'原因可以分爲對路由器ARP表的欺騙,和對內網PC的網關欺騙兩種。第一種必須先截獲網關數據。它使路由器就收到一系列錯誤的內網MAC地址,並按照一定的頻率不斷更新學習進行,使真實的地址資訊無法透過更新儲存在路由器中,造成的PC主機無法正常收到迴應資訊。第二種是透過交換機的MAC地址學習機制,當局域網內某臺主機已經感染ARP欺騙的木馬程序,就會欺騙局域網內所有主機和路由器,讓所有上網的流量都必須經過病毒主機。
4、調查結論:
透過以上查找分析,局域網內有計算機感染ARP 病毒,中毒的機器的網卡不斷髮送虛假的ARP數據包,告訴網內其他計算機網關的MAC地址是中毒機器的MAC地址,是其他計算機將本來發送網關的數據發送到中毒機器上,導致整個局域網都無法上網,嚴重乃至整個網絡的癱瘓。我們知道局域網中的數據流向是:網關→本機; 如果網絡有ARP 欺騙之後,數據的流向是:網關→攻擊者→本機,因此攻擊者能隨意偷聽網絡數據,截獲局域網中任一臺機器收發的郵件,WEB瀏覽資訊等,還會竊取用戶密碼。如盜密碼、盜取各種網絡遊戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。
5、防範所採取措施
5、1 用戶端防範措施:
安裝arp防火牆或者開啓局域網ARP防護,比如360安全衛士等arp病毒專殺工具,並且實時下載安裝系統漏洞補丁,關閉不必要的服務等來減少病毒的攻擊。
如果在沒有防範軟件安裝的情況下,也可以透過編寫簡單的批處理程序來綁定網關來防止ARP欺騙,步驟如下:
(1)首先,獲得安全網關的內網的MAC地址。以windows xp爲例。點擊“開始”→“執行”→輸入cmd,點擊“確定”後,將出現相關網絡狀態及連接資訊,輸入arp –a,可以檢視網關的MAC地址
(2)編寫批處理檔案內容如下:
@echo off
arp –d
arp –s (安全網關) 00-09-ac-82-0d (網關的MAC地址)注:arp -s 是用來手動綁定網絡地址(IP)對應的物理地址(MAC)
(3) 編寫完以後,點擊“檔案” →“另存爲”。注意,檔案名一定要是*,點擊儲存就可以。
(4) 將這個批處理檔案拖到“windows→開始→程序→啓動”中,最後重起電腦即可。
5.2 網管員採取的防範措施
(1) 學會使用Sniffer抓包軟件。
ARP病毒最典型的現象就是網絡時通時斷,用Sniffer抓包分析,會發現有很多的ARP包。
(2) 在全網部署安裝ARP防火牆服務端及客戶端軟件
(3) 使用多層交換機或路由器:接入層採用基於IP位址交換進行路由的第三層交換機。由於第三層交換技術用的是IP路由交換協議,以往的鏈路層的MAC地址和ARP協議失效,因而ARP欺騙攻擊在這種交換環境下起不了作用。
6、結束語
ARP欺騙在相當長的時間內還會繼續存在,ARP欺騙也在不斷的發展和變化中,希望廣大網絡管理員密切注意它,從而減少對我們網絡的影響。
參考文獻:
[1] 王奇.以太網中ARP欺騙原理與解決辦法[J].網絡安全技術與應用,2007,(2)
[2]謝希仁.計算機網絡.北京:人民郵電出版社,2006.
[3] 趙鵬.計算機網絡系統中基於ARP協議的攻擊與保護[J].網絡安全技術與應用, 2005.1:101.