交换机与ARP病毒间的对决

鸿鹄

常在河边走，哪有不湿鞋？作为网络管理员无时无刻都可能受到病毒的困扰。ARP病毒是局域网中非常普遍的攻击类型，可很多人在遇到突如其来的ARP攻击时却手足无措。
    最近，公司的局域网老是遭到ARP攻击，一上班同事就纷纷抱怨自己电脑上网速度很慢，还时不时提示遭受ARP攻击。忙活了大半天才让整个网络恢复正常。本文整理了遭遇ARP后的一些处理办法，以期能对同行有所帮助。按照常理来说，应对ARP攻击预防应该是第一位的，但根据很多网络故障的实际情况来看，往往又是一个个亡羊补牢的故事。
    “低能”交换机
    每个客户端主机都用一个ARP高速缓存存放最近IP地址与MAC硬件地址之间的映射记录。只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断地发出伪造的ARP响应包，就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
    有一种说法是交换机上可以防止ARP攻击，但是如果交换机没有进行过安全设置，一样避免不了ARP病毒爆发后的混乱局面。要知道交换机上同样维护着一个动态的MAC缓存，对应的列表保存了交换机的接口（Port）对应MAC地址。这个表开始是空的，交换机从来往数据帧中学习。
    由于MAC-Port缓存表是动态更新的，那么让整个交换机的接口表都改变的方法是对交换机进行MAC地址欺骗的洪泛攻击，不断发送大量假MAC地址的数据包让交换机更新MAC-Port缓存。如果能通过这样的办法把以前正常的MAC和Port对应表更换。那么交换机就会进行洪泛发送给每一个接口，让交换机基本变成一个 Hub，向所有的接口发送数据包。ARP攻击将造成交换机 MAC-Port缓存的崩溃，所以说没有进行安全管理的交换机和Hub一样，都是“低能儿”。
    拜金ＡＲＰ攻击
    ARP欺骗攻击根据其攻击位置的不同，可以分为以下几种：
    仿冒网关
    攻击者发送伪造的网关ARP报文，欺骗同网段内的其他主机。主机访问网关的流量，被重定向到一个错误的MAC地址，导致用户无法访问网络。
    欺骗网关
    攻击者伪造虚假的ARP报文，欺骗网关。网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致用户无法访问网络。
    欺骗终端用户
    攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户间无法正常互访。
    ＡＲＰ洪泛攻击
    攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致用户无法访问网络。
    笔者研究了很多ARP攻击后对外部网络的联系方式，发现他们总是和制造者的邮箱有着千丝万缕的联系，如今的ARP病毒攻击与制造者的经济利益密不可分。比如局域网内某台主机感染ARP木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网，现在却要通过病毒主机过滤数据，切换的时候用户会断一次线。切换到病毒主机过滤后，如果用户已经登录了某些游戏或者网上银行服务器，那么病毒主机就会经常伪造断线的假象，用户就得重新登录服务器，此过程就是病毒主机盗取用户账户和密码的过程。

gantengjun

what is it