告别ARP净化网络环境

现在ARP不仅是协议的缩写，也是掉话的同义词。很多网吧和企业网络不稳定，无故掉线，经济损失很大。根据情况可以看出，这是网络普遍存在的问题。造成这种问题的主要原因是ARP攻击。由于其变种多，传播速度快，让很多技术人员和企业无所适从。下面就从原理到应用来谈谈这个话题。希望能帮你解决这样的问题，净化网络环境。

在局域网中，利用ARP协议完成IP地址到第二层物理地址的转换，从而实现局域网机器之间的通信。ARP协议对网络安全具有重要意义。这是建立在相互信任的基础上。如果通过伪造IP地址和MAC地址来实现ARP欺骗，那么网络中就会产生大量的ARP流量，对网络进行阻塞、丢弃、重定向和嗅探。

我们知道每台主机都使用ARP缓存来存储最近的IP地址和MAC硬件地址之间的映射记录。Windows缓存中每条记录的生存期一般为60秒，开始时间从创建之时算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目根据ARP响应数据包动态变化。因此，每当ARP响应数据包发送到网络上的本地计算机时，ARP缓存中的IP-MAC条目都会更新。比如X给Y发了一个假的ARP回复，这个回复中数据发送方的IP地址是192 . 168 . 1 . 3(Z的IP地址)，MAC地址是DD-DD-DD-DD-DD(Z的真实MAC地址是CC-CC-CC-CC-CC-CC，这里是伪造的)。当Y收到X伪造的ARP回复时，会更新本地ARP缓存(Y不知道是伪造的)。如果它被伪造成一个入口呢？

交换机上还维护了一个动态MAC缓存，一般是这样的。首先，交换机内部有一个对应的列表，交换机的端口MAC地址表记录了每个端口下存在的那些MAC地址。该表以空开头，交换机从传入和传出的数据帧中学习。因为MAC-PORT缓存表是动态更新的，整个交换机的端口表都是变化的，欺骗交换机MAC地址的洪水不断发送大量带有假MAC地址的数据包，交换机就会更新MAC-PORT缓存。如果能采用这种方法，那么之前正常的MAC和端口的关系就被破坏了。然后交换机会泛洪发送到各个端口，使交换机基本成为一个HUB，向所有端口发送数据包，同样可以达到嗅探攻击的目的。它还会导致交换机MAC端口缓存崩溃，如下图交换机中的日志所示:

互联网192 . 168 . 1 . 4 0000 b . cd85 . a193 arpavlan 256

互联网192 . 168 . 1 . 5 0000 b . cd85 . a193 arpavlan 256

互联网192 . 168 . 1 . 6 0000 b . cd85 . a193 arpavlan 256

互联网192 . 168 . 1 . 7 0000 b . cd85 . a193 arpavlan 256

互联网192 . 168 . 1 . 8 0000 b . cd85 . a193 arpavlan 256

互联网192 . 168 . 1 . 9 0000 b . cd85 . a193 arpavlan 256

ARP攻击的主要现象

网上银行和机密数据频繁丢失。*当域网络中的主机运行ARP欺骗的木马程序时，会欺骗本地网络中的所有主机和路由器，使得所有的上网流量都必须经过病毒主机。其他用户以前是直接通过路由器上网，现在是通过病毒主机上网。切换时，用户会断开一次。切换到病毒主机上网后，如果用户已经登录了服务器，病毒主机往往会伪装成断线的假象，然后用户不得不重新登录服务器，这样病毒主机就可以窃取所有机器的信息。

网速时快时慢，极不稳定，但单机测试光纤数据时一切正常。频繁局部区域或整个局域网断网，电脑或网络设备重启恢复正常。

由于被ARP欺骗的木马程序在攻击时会发出大量数据包，导致局域网通信拥塞，自身处理能力受限，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会从路由器恢复上网，切换过程中用户会再次断网。