局域網(wǎng)絡(luò)維護(hù)經(jīng)驗(yàn)談概要

1、局域網(wǎng)絡(luò)維護(hù)經(jīng)驗(yàn)談本文由375041353貢獻(xiàn)局域網(wǎng)絡(luò)維護(hù)經(jīng)驗(yàn)談導(dǎo)言近期在全國(guó)范圍內(nèi)大規(guī)模爆發(fā)arp病毒及其各種 變種,對(duì)各種行業(yè)與部門的網(wǎng)絡(luò)管理人員是一 個(gè)考驗(yàn). 如果局域網(wǎng)中發(fā)現(xiàn)許多臺(tái)電腦中毒,電腦中毒 后會(huì)向同網(wǎng)段內(nèi)所有計(jì)算機(jī)發(fā)ARP欺騙包. 由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大 量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞,用戶會(huì)感覺 上網(wǎng)速度越來越慢,掉線;甚至無法上網(wǎng),同 時(shí)造成整個(gè)局域網(wǎng)的不穩(wěn)定,這種現(xiàn)象就是我 們常見的ARP病毒.ARP 病毒一,故障原理 二,故障現(xiàn)象 三,故障檢測(cè) 四,故障查殺 五,故障防治【一,故障原理】局域網(wǎng)內(nèi)有人安裝運(yùn)行了使用ARP欺騙 的木馬程序(比如:QQ外掛

2、,網(wǎng)游外掛, 某些非官方網(wǎng)站下載的QQ之類的常用軟 件也被惡意加載了此類程序). 該程序一旦被安裝后,就會(huì)把自己放入系 統(tǒng)自動(dòng)啟動(dòng)組內(nèi),每次開機(jī)都會(huì)加載自身. 程序的目的一般是為了盜取QQ,網(wǎng)游, 網(wǎng)上交易等密碼,然后發(fā)送給木馬作者, 以獲取經(jīng)濟(jì)利益.【一,故障原理】要了解ARP故障原理,我們先來了解一下ARP 協(xié)議. ARP病毒原理:arp是一種將ip轉(zhuǎn)化成以ip對(duì)應(yīng) 的網(wǎng)卡的物理地址的一種協(xié)議,或者說ARP協(xié) 議是一種將ip地址轉(zhuǎn)化成MAC地址的一種協(xié)議. 它靠維持在內(nèi)存中保存的一張表來使ip得以在網(wǎng) 絡(luò)上被目標(biāo)機(jī)器應(yīng)答. 在局域網(wǎng)中,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換 為第二層物理地址(即

3、MAC地址)的. ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義. 通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能 夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞.【一,故障原理】ARP協(xié)議是"Address Resolution Protocol" (地址解析協(xié)議)的縮寫. 在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?quot;幀",幀 里面是有目標(biāo)主機(jī)的MAC地址的. 在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直 接通信,必須要知道目標(biāo)主機(jī)的MAC地址. 但這個(gè)目標(biāo)MAC地址是如何獲得的呢?它就是 通過地址解析協(xié)議獲得的. 所謂"地址解析"就是主機(jī)在發(fā)送幀前將目標(biāo) IP地

4、址轉(zhuǎn)換成目標(biāo)MAC地址的過程. ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地 址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的 順利進(jìn)行.【一,故障原理】為什么要將ip轉(zhuǎn)化成mac呢?簡(jiǎn)單的說,這是因?yàn)樵趖cp網(wǎng) 絡(luò)環(huán)境下,一個(gè)ip包走到哪里,要怎么走是靠路由表定義. 但是,當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后,哪臺(tái)機(jī)器響應(yīng)這個(gè)ip包卻是靠 該ip包中所包含的mac地址來識(shí)別. 也就是說,只有機(jī)器的mac地址和該ip包中的mac地址相同 的機(jī)器才會(huì)應(yīng)答這個(gè)ip 包. 因?yàn)樵诰W(wǎng)絡(luò)中,每一臺(tái)主機(jī)都會(huì)有發(fā)送ip包的時(shí)候.所以, 在每臺(tái)主機(jī)的內(nèi)存中,都有一個(gè) arp-> mac 的轉(zhuǎn)換表.通 常是動(dòng)態(tài)的轉(zhuǎn)換表(注意在

5、路由中,該arp表可以被設(shè)置成 靜態(tài)). 也就是說,該對(duì)應(yīng)表會(huì)被主機(jī)在需要的時(shí)候刷新.這是由 于以太網(wǎng)在子網(wǎng)層上的傳輸是靠48位的mac地址而決定的.【一,故障原理】每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一 個(gè)ARP緩存表,表里的IP地址與MAC地 址是一一對(duì)應(yīng)的,如下表所示. 主機(jī) IP地址 MAC地址 A aa-aa-aa-aa-aa-aa B bb-bb-bb-bb-bb-bb C cc-cc-cc-cc-cc-cc D dd-dd-dd-dd-dd-dd【一,故障原理】WINDOWS

6、的ARP表 cmd, arp a輸出結(jié)果【一,故障原理】華為三層交換機(jī)的ARP表 dis arp輸出結(jié)果【一,故障原理】華為二層交換機(jī):MAC端口對(duì)照表 dis mac 輸出結(jié)果【一,故障原理】思科交換機(jī)MAC端口對(duì)照表 show mac address dynamic輸出結(jié)果【一,故障原理】港灣交換機(jī)MAC端口對(duì)照表 show fdb輸出結(jié)果【一,故障原理】我們以主機(jī)A()向主機(jī)B ()發(fā)送數(shù)據(jù)為例.當(dāng)發(fā)送數(shù)據(jù)時(shí), 主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo) IP地址.如果找到了,也就知道了目標(biāo)MAC地址, 直接把目標(biāo)MAC地址寫入幀里面發(fā)送

7、就可以了; 如果在ARP緩存表中沒有找到相對(duì)應(yīng)的IP地址, 主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播,目標(biāo)MAC地 址是"FF.FF.FF.FF.FF.FF",這表示向同一網(wǎng)段內(nèi) 的所有主機(jī)發(fā)出這樣的詢問:"的 MAC地址是什么?"網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng) ARP詢問,只有主機(jī)B接收到這個(gè)幀時(shí),才向主 機(jī)A做出這樣的回應(yīng):"的MAC地 址是bb-bb-bb-bb-bb-bb".【一,故障原理】這樣,主機(jī)A就知道了主機(jī)B的MAC地址, 它就可以向主機(jī)B發(fā)送信息了.同時(shí)它還 更新了自己的ARP緩存表,下

8、次再向主 機(jī)B發(fā)送信息時(shí),直接從ARP緩存表里查 找就可以了.ARP緩存表采用了老化機(jī) 制,在一段時(shí)間內(nèi)如果表中的某一行沒有 使用,就會(huì)被刪除,這樣可以大大減少 ARP緩存表的長(zhǎng)度,加快查詢速度.【一,故障原理】從上面可以看出,ARP協(xié)議的基礎(chǔ)就是 信任局域網(wǎng)內(nèi)所有的人,那么就很容易實(shí) 現(xiàn)在以太網(wǎng)上的ARP欺騙.對(duì)目標(biāo)A進(jìn)行 欺騙,A去Ping主機(jī)C卻發(fā)送到了DD-DDDD-DD-DD-DD這個(gè)地址上.如果進(jìn)行欺 騙的時(shí)候,把C的MAC地址騙為DD-DDDD-DD-DD-DD,于是A發(fā)送到C上的數(shù) 據(jù)包都變成發(fā)送給D的了.這不正好是D 能夠接收到A發(fā)送的數(shù)據(jù)包了么,嗅探成 功.【一,故障原理】

9、A對(duì)這個(gè)變化一點(diǎn)都沒有意識(shí)到,但是接下來的 事情就讓A產(chǎn)生了懷疑.因?yàn)锳和C連接不上了. D對(duì)接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C. 做"man in the middle"(中間人攻擊),進(jìn)行 ARP重定向.打開D的IP轉(zhuǎn)發(fā)功能,A發(fā)送過來 的數(shù)據(jù)包,轉(zhuǎn)發(fā)給C,好比一個(gè)路由器一樣.不 過,假如D發(fā)送ICMP重定向的話就中斷了整個(gè) 計(jì)劃.【一,故障原理】D直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā),捕獲到A 發(fā)送給C的數(shù)據(jù)包,全部進(jìn)行修改后再轉(zhuǎn) 發(fā)給C,而C接收到的數(shù)據(jù)包完全認(rèn)為是 從A發(fā)送來的.不過,C發(fā)送的數(shù)據(jù)包又 直接傳遞給A,倘若再次進(jìn)行對(duì)C的ARP 欺騙.現(xiàn)在D就完全成為A與C的

10、中間橋 梁了,對(duì)于A和C之間的通訊就可以了如 指掌了.【二,故障現(xiàn)象】當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序 時(shí),會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,讓所 有上網(wǎng)的流量必須經(jīng)過病毒主機(jī).其他用戶原 來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī) 上網(wǎng),切換的時(shí)候用戶會(huì)斷一次線. 切換到病毒主機(jī)上網(wǎng)后,如果用戶已經(jīng)登陸了 QQ,網(wǎng)游服務(wù)器,那么病毒主機(jī)就會(huì)經(jīng)常偽造 斷線的假像,那么用戶就得重新登錄QQ,網(wǎng)游 服務(wù)器,這樣病毒主機(jī)就可以盜號(hào)了.【二,故障現(xiàn)象】當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序 時(shí),會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,讓所 有上網(wǎng)的流量必須經(jīng)過病毒主機(jī).其他用戶原來直接通過路由器上網(wǎng)

11、現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上 網(wǎng),切換的時(shí)候用戶會(huì)斷一次線.【二,故障現(xiàn)象】由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì) 發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以 及其自身處理能力的限制,用戶會(huì)感覺上 網(wǎng)速度越來越慢. 當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)(宿 主機(jī)開關(guān)機(jī),重起),用戶會(huì)恢復(fù)從正常 的路由器上網(wǎng),切換過程中用戶會(huì)再斷一 次線. 如果網(wǎng)絡(luò)規(guī)模較大,會(huì)出現(xiàn)頻繁的IP地址 沖突,斷線過程.【二,故障現(xiàn)象】當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)(宿主機(jī)開 關(guān)機(jī),重起),用戶會(huì)恢復(fù)從正常的路由器上 網(wǎng),切換過程中用戶會(huì)再斷一次線. 用ping 這個(gè)工具一至檢測(cè)到網(wǎng)關(guān)的連接情況, 得到的表現(xiàn)如下:【二,故障現(xiàn)象】Fr

12、eeBSD用戶快速發(fā)現(xiàn)ARP欺騙木馬 在FreeBSD路由器的console屏幕上看到大量如 下的信息:【二,故障現(xiàn)象】或者用以下命令查看近期發(fā)生的ARP欺 騙歷史紀(jì)錄(FreeBSD): cat /var/log/messages |grep arp【二,故障現(xiàn)象】這個(gè)消息代表了用戶的MAC地址發(fā)生了變化, 在ARP欺騙木馬開始運(yùn)行的時(shí)候,局域網(wǎng)所有 主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址 (即所有信息的to MAC地址都一致為病毒主機(jī) 的MAC地址),同時(shí)在路由器的ARP 信息中看 到所有用戶的MAC地址信息都一樣. MAC 如果看到大量MAC from 地址都一致,則說明局 域網(wǎng)內(nèi)曾

13、經(jīng)出現(xiàn)過ARP欺騙(ARP欺騙的木馬 程序停止運(yùn)行時(shí),主機(jī)在路由器上恢復(fù)其真實(shí) 的MAC地址).【二,故障現(xiàn)象】Windows 主機(jī)也可以安裝ARP防火墻類軟件. 平時(shí)開啟監(jiān)聽,發(fā)現(xiàn)ARP攻擊后就可以迅速找 到源頭MAC地址. 解決問題的第一個(gè)關(guān)鍵就是:找到攻擊源頭. 根據(jù)MAC地址的唯一性,排除仿造的MAC地址, 定位攻擊源頭主機(jī).【三,故障檢測(cè)】在局域網(wǎng)內(nèi)查找病毒主機(jī). 在上面我們已經(jīng)找到了使用ARP欺騙木馬的主機(jī)的MAC地 址了.怎樣找到這臺(tái)主機(jī)呢? 如果平時(shí)有好習(xí)慣,書面的MAC地址登記表,那就可以輕 松找到這臺(tái)機(jī)器了. 可以使用軟件來查找ip地址和NETBIOS 名稱(windows

14、 網(wǎng)上鄰居名稱,也就是安裝系統(tǒng)時(shí)取的主機(jī)名字) 如果名字無規(guī)律,但是交換機(jī)端口或網(wǎng)線有標(biāo)記,而且交 換機(jī)是二層以上的,可以用上面的mac命令來找到這臺(tái)插 在哪個(gè)端口. 如果交換機(jī)是傻瓜交換機(jī),或者網(wǎng)線沒有任何標(biāo)記,我們 還有最后一招:馬上動(dòng)手,發(fā)動(dòng)群眾,登記MAC地址.這 張登記表格千萬(wàn)要保存好,以后ARP來臨時(shí)就派上用場(chǎng)了.【三,故障檢測(cè)】FreeBSD: 安裝samba 后可以用命令findsmb 直接輸出當(dāng)前vlan的網(wǎng) 上鄰居列表.rootearth # findsmb *=DMB +=LMB IP ADDR NETBIOS NAME WORKGROUP/OS/VERSION -192

15、.168.0.1 SUN YXMS Unix Samba 3.0.24 WWW YXMS Windows 5.0 Windows 2000 LAN Manager ADS *YXMS Windows 5.0 Windows 2000 LAN Manager 2 URANUS YXMS Unix Samba 3.0.24 6 SATURN YXMS Unix Samba 3.0.20 8 JUPITER YXMS Unix Samba 3.0.25a 84 IB

16、M X365000939 YXMS 85 IBM X365000940 YXMS 92 IBMX3650 +WORKGROUP Windows Server 2003 3790 Service Pack 1 Windows Server 2003 5.2【三,故障檢測(cè)】FreeBSD: 未安裝samba,可以安裝nbtscan獲得該列表. cd /usr/ports/net-mgmt/nbtscan/ make install clean rehash nbtscan -r /24【三,故障檢測(cè)】NBTSCAN(下載地址: 工具

17、來快速查找它. NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址,如果有"ARP木 馬"在做怪,可以找到裝有木馬的PC的IP/和MAC地址. 命令:"nbtscan -r /24"(搜索整個(gè)/24網(wǎng) 段, 即 -54);或"nbtscan 5-137"搜索5-137 網(wǎng)段,即537.輸出結(jié)果第一列是IP地址,最后一列是MAC地址.【三,故障檢

18、測(cè)】Windows NBTSCAN的使用范例: 假設(shè)查找一臺(tái)MAC地址為"000d870d585f"的病毒主機(jī). 1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下. 2)在Windows開始運(yùn)行打開,輸入cmd(windows98輸 入"command"),在出現(xiàn)的DOS窗口中輸入: C:nbtscan -r /24(這里需要根據(jù)用戶實(shí)際網(wǎng)段 輸入),回車.【三,故障檢測(cè)】目前局域網(wǎng)主要流行有兩種方式:DHCP(動(dòng)態(tài)主機(jī)配置) 固定的ip地址 DHCP(動(dòng)態(tài)主機(jī)配置) 使網(wǎng)絡(luò)管理員能夠集中管理和自動(dòng)

19、分配 IP 網(wǎng)絡(luò)地址的通信 協(xié)議.在 IP 網(wǎng)絡(luò)中,每個(gè)連接 Internet 的設(shè)備都需要分配 唯一的 IP 地址.DHCP 使網(wǎng)絡(luò)管理員能從中心結(jié)點(diǎn)監(jiān)控和 分配 IP 地址.當(dāng)某臺(tái)計(jì)算機(jī)移到網(wǎng)絡(luò)中的其它位置時(shí),能 自動(dòng)收到新的 IP 地址.DHCP 使用了租約的概念,或稱為 計(jì)算機(jī) IP 地址的有效期.租用時(shí)間是不定的,主要取決于 用戶在某地聯(lián)接 Internet 需要多久, DHCP 能夠在一個(gè)計(jì) 算機(jī)比可用 IP 地址多的環(huán)境中動(dòng)態(tài)地重新配置網(wǎng)絡(luò). 如果這種網(wǎng)絡(luò)感染了這種病毒,可想而知,因?yàn)樗械挠?jì) 算機(jī)沒有固定的ip地址,計(jì)算機(jī)的重啟,重新獲取了新的ip 地址.只有通過Tracert

20、和固定ip沖突來查找病毒計(jì)算機(jī).【三,故障檢測(cè)】我們假設(shè)在這樣局域網(wǎng)中增加一臺(tái)機(jī)器,操作系統(tǒng)均為 WINDOWSXP,該計(jì)算機(jī)的IP地址和網(wǎng)卡硬件地址分別為 00和00- 00-0D-50-EE-B1. 該局域網(wǎng)內(nèi)網(wǎng)網(wǎng)關(guān)為;外網(wǎng)網(wǎng)關(guān)為222.*.*.1.當(dāng) 網(wǎng)絡(luò)出現(xiàn)斷流時(shí), 通過Tracert 你可以觀察 出路由變化情況,正常的第一跳為 , 不正常為 , 該病毒計(jì)算機(jī). 雖然判斷出哪個(gè)固定ip地址的計(jì)算機(jī)在出問題,由于固定ip 地址隨意行,不好判斷是那臺(tái)計(jì)算機(jī); 利用IP沖突方式來判斷(一個(gè)局域網(wǎng)中不可以同時(shí)有兩個(gè)相 同的

21、ip,否則就會(huì)發(fā)生沖突,結(jié)果必然是其中的一臺(tái)機(jī)器無 法上網(wǎng)),同時(shí)抓取ip地址對(duì)應(yīng)mac 地址.【三,故障檢測(cè)】網(wǎng)卡的工作有兩種模式:一種是正常模式,即只能接收到 指定目的MAC的廣播包或都是目的MAC與網(wǎng)卡MAC相同的 包.第二種是不檢查目的MAC而接收所有的包,sniffer(監(jiān) 聽程序)就是用這種原理來竊取網(wǎng)絡(luò)上的數(shù)據(jù)的. 那么也就是說我們只要檢測(cè)出局域網(wǎng)中哪個(gè)網(wǎng)卡工作在混 雜模式,它就很可能是在進(jìn)行攻擊的那臺(tái)計(jì)算機(jī)了. 固定的ip地址 所謂固定的ip地址是指每臺(tái)計(jì)算機(jī)ip地址是靜態(tài)的(網(wǎng)絡(luò)管 理員根據(jù)自己的網(wǎng)絡(luò)分配). 單純使用 tracert命令就可以找到問題的根源.(這里不在詳述)

22、【四,故障查殺】斷開病毒宿主機(jī)網(wǎng)絡(luò),重起終端交換機(jī)(和客戶端PC 相連 的底層交換機(jī)),或所有客戶端PC.局域網(wǎng)將迅速恢復(fù)健 康.其中重起終端交換機(jī)的方式是最快捷的.沒必要不要 隨意重起核心交換機(jī)和路由器,除非你確認(rèn)核心交換機(jī)和 路由器在病毒的攻擊下已經(jīng)失去響應(yīng). 其實(shí)相當(dāng)于插拔了一次網(wǎng)線.原理是當(dāng)斷開交換機(jī)電源時(shí), 相當(dāng)于斷開了插在主機(jī)上的網(wǎng)線,然后又插上,就是對(duì)所 有主機(jī)的網(wǎng)絡(luò)連接進(jìn)行一次修復(fù)操作. 重裝病毒宿主機(jī)系統(tǒng),或者有時(shí)間的話慢慢清除病毒也可 以.在此不多羅嗦,有興趣的老師可以參考我的另一個(gè)講 義:校園網(wǎng)信息安全.記住在病毒殺除前千萬(wàn)不要接入網(wǎng)絡(luò).【五,故障防治】【解決思路】 不要

23、把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上,(rarp 同樣存在欺騙的問題),理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上. 設(shè)置靜態(tài)的MAC->IP對(duì)應(yīng)表,不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表. 除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對(duì) 應(yīng)表中. 使用ARP服務(wù)器.通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他 機(jī)器的ARP廣播.確保這臺(tái)ARP服務(wù)器不被黑. 使用""proxy""代理IP的傳輸. 使用硬件屏蔽主機(jī).設(shè)置好你的路由,確保IP地址能到達(dá)合法的路徑. (靜態(tài)配置路由ARP條目),注意,使用傻瓜交換集線器和網(wǎng)橋無 法阻

24、止ARP欺騙. 管理員定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求,然后檢查ARP響應(yīng)的 真實(shí)性. 管理員定期輪詢,檢查主機(jī)上的ARP緩存. 使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò).注意有使用SNMP的情況下,ARP的欺騙 有可能導(dǎo)致陷阱包丟失.【五,故障防治】:選擇合適 的方案因?yàn)椴《纠玫氖茿RP協(xié)議的缺陷,目前來說,針對(duì)校園 網(wǎng)環(huán)境,沒有非常完美有效的方法來防止網(wǎng)關(guān)設(shè)備的ARP 表不被修改. 當(dāng)前最有效的方法是迅速阻斷攻擊來源.因此,要有快速 的手段監(jiān)測(cè)到攻擊,并定位攻擊來源,比如關(guān)閉可網(wǎng)管的 二層交換機(jī)相應(yīng)的端口. 下面按照網(wǎng)絡(luò)規(guī)模大小,列出各級(jí)網(wǎng)絡(luò)適用的防治ARP病 毒的方案.根據(jù)自己的網(wǎng)絡(luò)情況選擇最適

25、合你的方案. 每個(gè)學(xué)校的情況都不同,以上方案僅供參考.可以根據(jù)自 己的網(wǎng)絡(luò)情況選擇一個(gè),也可以同時(shí)使用幾個(gè)互不沖突方 案. 如有其他更好的辦法,歡迎交流.【五,故障防治】各大硬件廠商和ISP(網(wǎng)絡(luò)接入提供商)的做法: 1,ISP 2,大學(xué) 3,大型校園網(wǎng):有若干個(gè)網(wǎng)段,有三層以上交 換機(jī)和獨(dú)立的NAT設(shè)備(路由器,防火墻) 4,中小型網(wǎng)絡(luò):有三層或二層可管理交換機(jī), 網(wǎng)絡(luò)規(guī)模較小. 5,小型網(wǎng)絡(luò):無網(wǎng)段分割或簡(jiǎn)單分割,無可管 理交換機(jī)或僅有極少量簡(jiǎn)單網(wǎng)管交換機(jī)(二層 及以下交換機(jī))【五,故障防治】1,ISP 一般使用ppp(點(diǎn)對(duì)點(diǎn))撥號(hào). 寬帶網(wǎng)絡(luò)的pppoe撥號(hào)也屬于ppp的一種. 用戶端p

26、pp網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單,該模式?jīng)Q定了 每個(gè)用戶與撥號(hào)服務(wù)器的虛擬端口構(gòu)成了 一個(gè)只有兩臺(tái)主機(jī)的網(wǎng)絡(luò).不存在其他被 欺騙的主機(jī). 如果欺騙了服務(wù)器,只能造成自己上網(wǎng)出 問題.因此ARP病毒發(fā)作的影響不存在.【五,故障防治】2,大學(xué):一般使用802.1x 認(rèn)證. 這是一個(gè)交換機(jī)端口,MAC地址和ip地址三者 同時(shí)綁定的認(rèn)證協(xié)議. 經(jīng)過認(rèn)證的主機(jī)只能在認(rèn)證通過后,才被分配 可用的IP地址,打開與外部的通訊.在認(rèn)證通 過前,最多只能使用指定的臨時(shí)地址并只允許 認(rèn)證數(shù)據(jù)包通過. 只允許認(rèn)證過的MAC地址從認(rèn)證過的交換機(jī)端 口接入,一旦MAC地址或端口變化,認(rèn)證立刻 失敗. 一旦ARP欺騙發(fā)生,主機(jī)的認(rèn)證立刻失

27、敗.網(wǎng) 絡(luò)立刻中斷.【五,故障防治】3,大型校園網(wǎng).有華為或思科或其他型 號(hào)的三層以上交換機(jī). 根據(jù)交換機(jī)型號(hào)啟用相應(yīng)的DHCP服務(wù)器 轉(zhuǎn)發(fā)授權(quán)和IP MAC 綁定功能. 比如華為三層,二層交換機(jī),一般都有 dhcp security 或dhcp-snooping 功能.啟 用它,基本上就控制arp病毒的范圍了.【五,故障防治】3,大型校園網(wǎng) 啟用dhcp security 或dhcp-snooping的步 驟: 三層交換機(jī)的dhcp security: 第一部分,指定有效的dhcp服務(wù)器# dhcp-server 1 ip dhcp-server 2 ip 192.1

28、68.128.2 dhcp-server 3 ip dhcp-server 4 ip 【五,故障防治】第二部分 指定某個(gè)vlan 的ip 有第幾號(hào)服務(wù)器分配.interface Vlan-interface2 description server ip address 54 dhcp-server 1這樣未經(jīng)批準(zhǔn)的dhcp服務(wù)器就無法分配 地址了【五,故障防治】查看交換機(jī)鎖定的ip地址和MAC對(duì)應(yīng)關(guān)系 表:display dhcp-security 下表就顯示了這臺(tái)核心交換機(jī)綁定成功的 ip地址和

29、MAC地址.【五,故障防治】?jī)H在核心做了以上綁定還不夠,如果下面 還有較低的二層交換機(jī)接PC,可以在二 層上做dhcp snooping 比如我一臺(tái)華為的20xx系列低端二層交 換機(jī), 輸入 dhcp-snooping 然后所有ip地址就和mac地址通過dhcp服 務(wù)器綁定了.也就是必須是dhcp分配的ip 地址才有效.【五,故障防治】察看:2403h_living_area_5#dis dhcp-snooping IP Address MAC Address 0040-9631-7652 0 00e0-60a2-0d7d 192.168.20

30、.88 0050-bae8-d374 4 0002-dd7b-13e7 5 0012-3fe7-8883 7 0003-0d4a-11ab 49 0016-d3ca-486e 74 0014-3809-b1ca 01 0012-f0bd-cfd0 16 0016-d3ca-4f3f 27 0050-ba27-c31e 37 001b-fc79-428d 39 0014-3805-ee0d每個(gè)ip地址和mac地址在交換機(jī)上對(duì)應(yīng)起來了. 亂改自己ip的病毒就失效了.因?yàn)樗约盒薷牧薸p地址, 只會(huì)讓自己上不了網(wǎng). 交換機(jī)只認(rèn)為上表中的ip 和mac對(duì)應(yīng)關(guān)系是有效的.【五,故障防治】如果還有中間層的二層交換機(jī),則需要啟 用dhcp-snooping 的同時(shí),指定dhcp服務(wù) 器從那個(gè)端口發(fā)送數(shù)據(jù). dhcp-snooping interface GigabitEthernet1/1 dhcp-snooping trust 信任g 1/1 端口 這樣底層dhcp 設(shè)備就上不來了.【五,