天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

工程师浅谈各行业ARP欺骗解决对策

2008-12-26天下网盟佚名

    【前言】
    近期,不少各行业朋友及客户的内网遇到ARP欺骗攻击。“ARP 欺骗”类病毒在各行业网内屡有发现,最近一段时间尤其严重,当某台电脑感染了这类 ARP 欺骗病毒后,会不定期发送伪造的 ARP 响应数据报文和广播报文。受感染电脑发出的这种报文会欺骗所在网段的其他电脑,对其他电脑宣称自己的 MAC 就是网关的MAC ,对实际的网关说其他电脑 IP的 MAC 都是自己的 MAC ,这样网关(交换机或路由器)无法学习到上网主机的 MAC ,更新不了网关 ARP 表,就无法转发数据帧。电脑中毒后会向同网段内所有计算机发ARP欺骗包,导致网络内其它电脑因网关物理地址被更改而无法上网,被欺骗电脑的典型症状是刚开机能上网,几分钟之后断网,过一会又能上网,或者重启一遍电脑就可以上网,一会又不好了,如此不断重复,造成各行业网络的不稳定,影响正常使用。

    【故障原理】
    要了解故障原理,我们先来了解一下ARP协议。
    在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
    ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
    每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。

主机

IP地址

MAC地址

A

192.168.16.1

aa-aa-aa-aa-aa-aa

B

192.168.16.2

bb-bb-bb-bb-bb-bb

C

192.168.16.3

cc-cc-cc-cc-cc-cc

D

192.168.16.4

dd-dd-dd-dd-dd-dd

    我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
    从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
    A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
    做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。

    【艾泰科技解决方案】 
    一、中小型企业/网吧行业:
    建议用户采用双向绑定的方法解决并且防止ARP欺骗。
    1、在PC上绑定路由器的IP和MAC地址:
    登陆HiPER路由器,在高级配置-IP/MAC绑定页面中点击“导出ARP绑定脚本文件”,保存。
    并将将这个导出文件拖到“windows--开始--程序--启动”中。如下图:
                                          

    2、在路由器上绑定用户主机的IP和MAC地址:
    在HiPER管理界面--高级配置—IP/MAC绑定中扫描局域网每台主机全部作绑定。
 

 

   二、酒店行业:
    大家都知道,酒店不同于网吧,随着住宿客人的不断更换,酒店客房里的主机也是不断变化的这就意味着遭遇ARP病毒风暴时,不可能通过单纯的IP与MAC地址绑定的传统方法解决此问题。同时,也很难让提自己笔记本住店的客人操作对路由器的ARP绑定,从而导致酒店会经常接到客户对上网速度慢或上不去网的一些投诉。由于不能够耽误酒店的正常使用,所以整个网络也不能有太大改动。
    鉴于酒店的特殊性,针对于以上几个问题,上海艾泰科技针对其路由器酒店用户,提出以下解决方案
    1、先进入隐藏界面:http://192.168.16.1/TaskScheduler.asp,建立计划任务,定期扫 描网络并自动绑定,为住店商务人员提供便利服务,同时也还给酒店一个健康的网络!如图1:

 
    图1: 全自动绑定

    2、酒店客人上线时,IP/MAC被自动绑定,酒店客人下线时,其IP/MAC绑定在一定时间内被自动删除,如图2:

    图2:IP/AMC自动绑定与删除

    三、小区行业/教育行业:
    对于小区行业:由于用户有时还涉及到上网的计费管理,可能上网的时间决定着自己的上网费用,同时又要求对目前猖狂的ARP病毒能起到很好的防御作用,针对用户的此类需求,上海艾泰科技也提供独特的解决方案
    对于教育行业:学校用户环境中ARP欺骗问题的屡禁不止,愈演愈烈之势,艾泰科技适时的推出了以往只在某些高端路由器上才会支持的PPPoE Server功能。
    通过近几年信息化飞速发展带给了做为教育机构的学校更多的体验,可是在接入互联网,与信息化进程同步的过程中却也总是遇到这样那样的各种问题,如:
    学校资金有限,网络投入是必须的,但是资金跟不上。
    没有完整的解决方案规划,拓展升级困难。
    上级教育部门提供校校通接入,但是接入带宽很低,根本满足不了流畅的上网需求。
    即使专业的老师对于数通网络设备的操纵能力也很有限,某些品牌的完全命令行操作给日常管理维护带来很大不便,非常依赖设备厂商的技术人员,但是这些厂商的技术支持跟不上,设备使用了,问题出现时根本无法及时解决,而对网络的依赖性日益逐渐增大决定着这样根本行不通。
    校园网络管理困难,各种病毒攻击猖獗,人员使用方面带宽滥用常时间下载BT,乱改ip,上网玩游戏,登陆不良网站等等。
    针对于以上两个行业的网络困境及网络问题,艾泰科技针对此间各种问题经过对自身优势的整合,推荐您使用已经集成了PPPoE Server和ReOS 2008网络操作系统于一身的HiPER 4240NB,让他完全带走您的各种烦心。
    对以太网有所认识的人都知道,ARP表是每台设备(电脑)的MAC地址和IP地址的关系对应表。如果设备需要在局域网中利用TCP/IP协议进行通信的话,必须有这样一张ARP表。ARP表是每台设备(电脑)自行维护的,而ARP表的数据,是来自于开放的“ARP广播”机制,由每台设备在网上广播自己的IP/MAC地址的对应关系来做到的。
    虽然使用下层设备和上层设备做双向绑定可解决ARP欺骗所造成的断网现象,但是此方式的缺陷是在网络内ARP数据包乱飞,影响网络质量,而且在用户多的情况下,用户端绑定不利于实施,仅适用于小型网络。在此我们推荐使用HiPER路由器最新推出的PPPoE Server方式上网,PPPoE不使用ARP协议,也就不会产生ARP,而且PPPoE不会改变原来的局域网拓扑结构,它是PPP在以太网上的二次封装。并且通过HiPER建立的PPPoE Server帐号在任何情况下都可以限制给若干个用户使用,既可内网全部机器使用一个账号上网也可通过MAC绑定使每个账号只允许一个或几个PC拨号上网。

【总结】
    以上针对于各个行业网络ARP欺骗的解决方法基本可以解决ARP病毒攻击对网络造成相关问题, ARP欺骗病毒在相当长的时间内还会继续存在,艾泰科技将一如既往的寻求更好解决方案,为用户服务,帮助用户打造一个属于自己行业的井然有序网络。

 

本文来源:天下网盟 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行