解決ARP攻擊造成的局域網(wǎng)斷網(wǎng)問題

1、解決ARP攻擊造成的局域網(wǎng)斷網(wǎng)問題SolvestheLocalAreaNetworkwhichtheARPAttackCreatestoBreakthenetQuestionLIYong(FushunBroadElectricityCableNetworkTransmissionCenter,Fushun113006,China):ThisarticleintroducedtheARPvirus'scharacteristicandthevirusmanifestsuddenlywhentothelocalareanetworktheinfluence,introducedwithem

2、phasishowsearchestheARPvirustheoriginandtheeliminationmethod,finallyintroduceddailycopeswiththeARPvirustheprotectionmethod.最近，撫順廣播電視局大樓內(nèi)的局域網(wǎng)總是不穩(wěn)定，連連出現(xiàn)斷網(wǎng)的現(xiàn)象。給同事們網(wǎng)絡(luò)辦公帶來很多不便。由于整個(gè)大樓通過局域網(wǎng)共享internetr的方式連接互聯(lián)網(wǎng)，起初我們還以為是樓內(nèi)Internet出口的故障呢？可是掉線情況越來越頻繁，經(jīng)過我們認(rèn)真的走訪發(fā)現(xiàn)樓內(nèi)有的電腦正常，沒有發(fā)生過掉線現(xiàn)象。這下我們認(rèn)定問題出現(xiàn)在單位內(nèi)部，并斷定是病毒在搗鬼！根據(jù)局域網(wǎng)

3、內(nèi)計(jì)算機(jī)頻繁掉線的現(xiàn)象，我們認(rèn)為單位內(nèi)的某臺(tái)電腦可能中了AR閑毒(AR譚AddressResolutionProtocol“地址解析協(xié)議”的縮寫)，這種病毒有些殺毒軟件很難根除，病毒發(fā)作時(shí)其癥狀表現(xiàn)為計(jì)算機(jī)網(wǎng)絡(luò)連接正常，卻無法打開網(wǎng)頁；或由于ARP欺騙的木馬程序（病毒）發(fā)作時(shí)發(fā)出大量的數(shù)據(jù)包，導(dǎo)致局域網(wǎng)內(nèi)用戶上網(wǎng)不穩(wěn)定，極大地影響了用戶的正常使用，給整個(gè)局域網(wǎng)的安全帶來嚴(yán)重的隱患。于是我們便在整個(gè)網(wǎng)絡(luò)內(nèi)展開了AR閑毒的捕殺過程。AR嗝毒發(fā)作時(shí)候的具體特征：當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARPB騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和交換機(jī)，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過交換機(jī)上

4、網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從交換機(jī)上網(wǎng)（此時(shí)交換機(jī)MAC地址表正常），切換過程中用戶會(huì)再斷一次線。該病毒發(fā)作時(shí)，僅影響同網(wǎng)段內(nèi)機(jī)器的正常上網(wǎng)。1 找出病毒的根源首先我們通過局辦公室的協(xié)助打開局域網(wǎng)內(nèi)所有的電腦，隨后下載了一款名為“AntiArpSniffer”的工具，這是一款A(yù)RP防火墻軟件，該軟件通過在系統(tǒng)內(nèi)核層攔截虛假AR嚶?lián)鼇慝@取中毒電腦的IP地址和MACM址。止匕外，該軟件能有效攔截ARP病

5、毒的攻擊，保障該電腦數(shù)據(jù)流向正確。使用“AntiArpSniffer”查找感染毒電腦時(shí)，啟動(dòng)該程序，隨后我們?cè)谟覀?cè)的“網(wǎng)關(guān)地址”項(xiàng)中輸入該局域網(wǎng)內(nèi)的網(wǎng)關(guān)IP，隨后單擊“枚取MAC這時(shí)該程序會(huì)自動(dòng)獲取到網(wǎng)關(guān)電腦網(wǎng)卡的MAC&址（見圖1）。MAO取后單擊“自動(dòng)保護(hù)”按鈕，這樣“AntiArpSniffer”便開始監(jiān)視通過該網(wǎng)關(guān)上網(wǎng)的所有電腦了。片刻功夫，看到系統(tǒng)的任務(wù)欄中的“AntiArpSniffer”圖標(biāo)上彈出一個(gè)“ARP欺騙數(shù)據(jù)包”提示信息（見圖2）。這就說明該軟件已經(jīng)偵測(cè)到ARPW毒。于是我打開“AntiArpSniffer”程序的主窗口，在程序的“欺騙數(shù)據(jù)詳細(xì)記錄”列表中看到一條

6、信息（見圖3），這就是“AntiArpSniffer”程序捕獲的AR嗝毒信息。其中“網(wǎng)關(guān)IP地址”和“網(wǎng)關(guān)MAO址”兩項(xiàng)中是網(wǎng)關(guān)電腦的的真實(shí)地址，后面的欺騙機(jī)MAC&址就是中ARP病毒的MAC地址。ARP病毒將該局域網(wǎng)的網(wǎng)關(guān)指向了這個(gè)IP地址，導(dǎo)致其他電腦無法上網(wǎng)。2 獲取欺騙機(jī)IP“AntiArpSniffer”雖然能攔截ARPW毒，但是不能有效的根除病毒。要想清除病毒小武決定還要找到感染ARP病毒的電腦才行。通過“AntiArpSniffer”程序我們已經(jīng)獲取了欺騙機(jī)的MAC這樣只要找到該MAC寸應(yīng)的IP地址即可。獲取IP地址，我們下載了網(wǎng)管工具“網(wǎng)絡(luò)執(zhí)法官”，運(yùn)行該程序后，在“指

7、定監(jiān)控范圍”中輸入單位局域網(wǎng)IP地址段，隨后單擊“添加/修改”按鈕，這樣剛剛添加的IP地址段將被添加到下面的IP列表中。如果局域網(wǎng)內(nèi)有多段IP，還可以進(jìn)行多次添加。添加后，單擊“確定”按鈕，進(jìn)入到程序主界面?！熬W(wǎng)絡(luò)執(zhí)法官”開始對(duì)局域網(wǎng)內(nèi)的所有電腦進(jìn)行掃描，隨后顯示出所有在線電腦信息，其中包括網(wǎng)卡MAO址、內(nèi)網(wǎng)IP地址、用戶名、上線時(shí)間以及下線時(shí)間等。在這樣我就可以非常方便地通過MAC查找對(duì)應(yīng)的IP地址了(見圖4)。3清除AR閑毒順藤摸瓜，通過IP地址有找到了感染病毒的電腦，我們的第一反應(yīng)就是將這臺(tái)電腦斷網(wǎng)，隨后在該電腦上運(yùn)行“ARP病毒專殺”包中的“TSC.EXE程序，該程序運(yùn)行后，自動(dòng)掃描電

8、腦中的AR嗝毒，功夫不大就將該電腦上的ARPW毒清除了。4常用的防護(hù)方法終于將AR閑毒根除了，為了更好的防止ARP病毒的攻擊，我們做了如下的防護(hù)方法：(1)IP地址和MACM址的靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAO定。AR吸騙是通過ARP的動(dòng)態(tài)實(shí)時(shí)規(guī)則來欺騙內(nèi)網(wǎng)機(jī)器，所以我們把AR屋部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP地址和MACM址的靜態(tài)綁定，這樣的雙向綁定才是比較保險(xiǎn)的。方法如下：對(duì)每臺(tái)主機(jī)進(jìn)行IP和MAC1址靜態(tài)綁定。通過arp-s命令（arp?CsIPMAC地址）實(shí)現(xiàn)。例如：“arp?Cs192.168.10.1AA-AA-AA-AA-AA-AA”。如果設(shè)置成功在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示：InternetAddressPhysicalAddressType192.168.1.1AA-AA-AA-AA-AA-AAstatic（靜態(tài)）一般不綁定,在動(dòng)態(tài)的情況下：InternetAddressPhysicalAddressType192.168.1.1A