图1 某局域网拓扑图
常在河边走,哪有不湿鞋?作为网络管理员无时无刻都可能受到病毒的困扰。ARP病毒是局域网中非常普遍的攻击类型,可很多人在遇到突如其来的ARP攻击时却手足无措。
最近,公司的局域网老是遭到ARP攻击,一上班同事就纷纷抱怨自己电脑上网速度很慢,还时不时提示遭受ARP攻击。忙活了大半天才让整个网络恢复正常。本文整理了遭遇ARP后的一些处理办法,以期能对同行有所帮助。按照常理来说,应对ARP攻击预防应该是第一位的,但根据很多网络故障的实际情况来看,往往又是一个个亡羊补牢的故事。
“低能”交换机
每个客户端主机都用一个ARP高速缓存存放最近IP地址与MAC硬件地址之间的映射记录。只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断地发出伪造的ARP响应包,就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
有一种说法是交换机上可以防止ARP攻击,但是如果交换机没有进行过安全设置,一样避免不了ARP病毒爆发后的混乱局面。要知道交换机上同样维护着一个动态的MAC缓存,对应的列表保存了交换机的接口(Port)对应MAC地址。这个表开始是空的,交换机从来往数据帧中学习。
由于MAC-Port缓存表是动态更新的,那么让整个交换机的接口表都改变的方法是对交换机进行MAC地址欺骗的洪泛攻击,不断发送大量假MAC地址的数据包让交换机更新MAC-Port缓存。如果能通过这样的办法把以前正常的MAC和Port对应表更换。那么交换机就会进行洪泛发送给每一个接口,让交换机基本变成一个 Hub,向所有的接口发送数据包。ARP攻击将造成交换机 MAC-Port缓存的崩溃,所以说没有进行安全管理的交换机和Hub一样,都是“低能儿”。
拜金ARP攻击
ARP欺骗攻击根据其攻击位置的不同,可以分为以下几种:
攻击者发送伪造的网关ARP报文,欺骗同网段内的其他主机。主机访问网关的流量,被重定向到一个错误的MAC地址,导致用户无法访问网络。欺骗网关
攻击者伪造虚假的ARP报文,欺骗网关。网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致用户无法访问网络。
欺骗终端用户
攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机。网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户间无法正常互访。
ARP洪泛攻击
攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致用户无法访问网络。
笔者研究了很多ARP攻击后对外部网络的联系方式,发现他们总是和制造者的邮箱有着千丝万缕的联系,如今的ARP病毒攻击与制造者的经济利益密不可分。比如局域网内某台主机感染ARP木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网,现在却要通过病毒主机过滤数据,切换的时候用户会断一次线。切换到病毒主机过滤后,如果用户已经登录了某些游戏或者网上银行服务器,那么病毒主机就会经常伪造断线的假象,用户就得重新登录服务器,此过程就是病毒主机盗取用户账户和密码的过程。