计算机软考网络工程：交换机与ARP病毒间的对决

常在河边走，哪有不湿鞋？作为网络管理员无时无刻都可能受到病毒的困扰。ARP病毒是局域网中非常普遍的攻击类型，可很多人在遇到突如其来的ARP攻击时却手足无措。
　 最近，公司的局域网老是遭到ARP攻击，一上班同事就纷纷抱怨自己电脑上网速度很慢，还时不时提示遭受ARP攻击。忙活了大半天才让整个网络恢复正常。本文整理了遭遇ARP后的一些处理办法，以期能对同行有所帮助。按照常理来说，应对ARP攻击预防应该是第一位的，但根据很多网络故障的实际情况来看，往往又是一个个亡羊补牢的故事。
　“低能”交换机
　每个客户端主机都用一个ARP高速缓存存放最近IP地址与MAC硬件地址之间的映射记录。只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断地发出伪造的ARP响应包，就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
　有一种说法是交换机上可以防止ARP攻击，但是如果交换机没有进行过安全设置，一样避免不了ARP病毒爆发后的混乱局面。要知道交换机上同样维护着一个动态的MAC缓存，对应的列表保存了交换机的接口（Port）对应MAC地址。这个表开始是空的，交换机从来往数据帧中学习。
　 由于MAC-Port缓存表是动态更新的，那么让整个交换机的接口表都改变的方法是对交换机进行MAC地址欺骗的洪泛攻击，不断发送大量假MAC地址的数据包让交换机更新MAC-Port缓存。如果能通过这样的办法把以前正常的MAC和Port对应表更换。那么交换机就会进行洪泛发送给每一个接口，让交换机基本变成一个 Hub，向所有的接口发送数据包。ARP攻击将造成交换机 MAC-Port缓存的崩溃，所以说没有进行安全管理的交换机和Hub一样，都是“低能儿”。