揪出ARP病毒的伪装之ARP进阶篇

揪出ARP病毒的伪装之ARP进阶篇

一、引言：

经常在网上看到有同行在上面***子，说公司内部网络遭ARP攻击，严重影响网络的正常运行，但又为不能快速的找出ARP攻击源而烦恼，发愁。这个时候就希望有个得力的设备，刚好众至UTM设备在ARP防御这块有很大的突破，下面就让我们一起来探讨下吧，希望对大家有所帮助。

在上篇“众至UTM设备之ARP病毒防制攻略”中，我们了解到什么是ARP病毒、ARP原理、以及如何开启众至UTM设备来预防网络中的ARP病毒攻击行为，但是这并不能阻止或找出ARP攻击源，因此仍然会给网络带来严重的负载或造成网络瘫痪。那么，使用众至UTM设备如何轻松的找出ARP病毒源呢？首先我们先来了解下ARP发展历程；

二、ARP攻击的发展

ARP 是个早期的网络协议。早期的互联网采取的是信任模式，在科研、大学内部使用，他们追求功能、速度的时候，没考虑网络安全，从而被***和不怀好意着利用。

ARP初期的时候***初为***所用，成为******网络数据的主要手段。***通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了***的电脑上，达到***数据的目的。

ARP中期有人利用这一原理，制作了一些所谓的“管理软件”，例如网络剪刀手、***官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意***为目的，多是为了让别人断线，逞一时之快。

现在的ARP攻击***近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。首先是病毒加入了ARP攻击的行列。病毒制造者将目光投向局域网，开始尝试ARP攻击，例如***近流行的威金病毒，ARP攻击是其使用的攻击手段之一。

随着ARP攻击的演化，网络管理者也有了相对应的防御方法，但是ARP攻击是以广播的方式，对网络设备而言，很难侦测到的攻击类型就是广播型的封包，如ARP欺骗、私架DHCP服务器等，因为通讯协定的***缺陷，导致这一类的攻击行為很难被侦测出来，就算找到了攻击者，因為侦测机制无法跟***线的防火墙或是交换器互相沟通，无法做立即的***或阻挡，更何况ARP攻击很难找到攻击源，传统的方式是发生问题时，请人到每一台交换器上拔线测试外，别无他法。下面先介绍下ARP攻击过程：

三、ARP攻击过程

首先每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。

主机ip地址        MAC地址

A:192.168.1.1      aa-aa-aa-aa-aa-aa

B:192.168.1.2      bb-bb-bb-bb-bb-bb

C:192.168.1.3      cc-cc-cc-cc-cc-cc

D:192.168.1.4      DD-DD-DD-DD-DD-DD

我们以主机A（192.168.1.1）向主机B（192.168.1.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，把C的MAC地址欺骗为DD-DD-DD-DD-DD-DD，这样A去Ping主机C的时候，icmp包却发送到了DD-DD-DD-DD-DD-DD这个地址上。于是A发送到C上的数据包都变成发送给D的了。这时不正好是D能够接收到A发送的数据包了么，嗅探成功。

    A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

    做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。

    D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。

但是如何防范呢，下面就来探讨下如何防范这样的arp攻击，一般arp攻击都会以广播的形式，在局域网内发送大量的数据包，这里只是单独列举一个例子而已。

四、先分析下常见的网络ARP攻击防御方法

防御方式   优点   缺点

1.双绑措施  1.双绑是在路由器和终端上都进行IP-MAC绑定的措施具有约束的作用

2.从ARP欺骗原理上进行防范     1.终端静态绑定易被病毒删除

2．路由器在做ip-mac绑定时，费时费力，不易维护

3.不能阻挡arp攻击

2.个人防火墙     1.在杀毒软件中加入arp个人防火墙

2.终端上对网关进行绑定，保证不被***关欺骗1.不能保证网关绑定一定正确

2.只能保护自己，不能保护整个网络

3.不能阻挡arp攻击

3.vlan和交换机端口绑定      1.减小广播域，使arp在小范围内起作用

2.交换机端口绑定ip地址     1.不能保护网关

2.端口固定，不适合移动用户

3.端口绑定交换机比较***，成本较高

4.不能阻挡arp攻击

4.PPPoE1.给用户分配PPPOE账户、密码，上网必须通过PPPOE认证

2.PPPOE拨号方式是对封包进行了二次封装，使其具备了不受ARP欺骗影响  1.PPPOE对封包进行二次封装，在接入设备上再解封装，降低了网络传输效率，造成网络带宽浪费

2.PPPOE方式下，局域网间无法访问

5众至URM设备      1.直观，智能

2.使用方便，灵活

3.可以有效阻挡arp攻击       1.需要交换机支持SNMP功能

2.下面会详细介绍众至UTM设备阻挡arp攻击的使用方法

五．众至UTM设备阻挡arp攻击“进阶防护”设置步骤；

其实，众至UTM设备进阶防护这块，设置比较简单，但是用起来更简单，直观、明了、而且非常的智能。

1.先来介绍下arp防护设置，设置怎么个简单法呢？只需要一个步骤，那就是在进阶防护—内网防护—防护设定—arp***警戒值开启ARP 防护即可

 2.解释下ARP封包警戒值中的意思：

2.1每个来源IP位址每秒发送超过100个ARP 封包(***小值50)：会被记录

2.2自动***：开启了自动***，被记录的ip地址，将会自动***这个ip地址所在交换机的端口

2.3通知管理者：是以邮件的方式发送给管理者，告诉管理者网络***，可以随时警惕ARP攻击，以减少受到的危害，提高工作效率，降低经济损失。

但是怎么的直观和智能呢，并不是在任何情况下都智能，需要在一定的条件下才能达到理想的效果，问：

a.    那需要什么条件呢？

b.    在什么条件下又会有什么不同的效果呢？

条件   效果

低端交换机、不带SNMP功能   

1.    能记录

2.    能发送邮件通知

3.    不能***

非众至合作品牌交换机二层、三层

带SNMP功能   

1.    能记录

2.    能发送邮件通知

3.    只能***和UTM直连的交换机端口

众至和众至合作品牌交换机带SNMP功能    

1.    能记录

2.    能发送邮件通知

3.    能***网络中每一台带snmp交换机的端口

看到上面这个表，你心中是不是已经有了答案了呢？在结合“众至UTM设备之ARP病毒防制攻略”篇，相信你的网络已经可以防止ARP攻击率在百分之***十以上了。ARP攻击防护是一个***而道远的过程，必须高度重视这个问题，而且不能大意马虎。

           众至UTM设备更多功能，期待和大家分享，请大家多给建议！