【摘 要】arp病毒經(jīng)常造成企業(yè)網(wǎng)絡(luò)掉線，但網(wǎng)絡(luò)連接正常，內(nèi)網(wǎng)的部分PC機(jī)不能上網(wǎng)，或者所有電腦不能上網(wǎng)，無(wú)法打開(kāi)網(wǎng)頁(yè)或打開(kāi)網(wǎng)頁(yè)慢，局域網(wǎng)時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等現(xiàn)象。

【關(guān)鍵詞】arp病毒 仿冒網(wǎng)關(guān) ACL訪問(wèn)控制列表

一、ARP病毒及其攻擊介紹

ARP地址欺騙類病毒（以下簡(jiǎn)稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬（Trojan）病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。它經(jīng)常造成我們企業(yè)網(wǎng)絡(luò)掉線，但網(wǎng)絡(luò)連接正常，內(nèi)網(wǎng)的部分PC機(jī)不能上網(wǎng)，或者所有電腦不能上網(wǎng)，無(wú)法打開(kāi)網(wǎng)頁(yè)或打開(kāi)網(wǎng)頁(yè)慢，局域網(wǎng)時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等現(xiàn)象。

按照TCP/IP協(xié)議的原理，一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的，也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信，但也為“ARP欺騙”創(chuàng)造了條件。

晉煤集團(tuán)網(wǎng)絡(luò)中，常見(jiàn)的ARP攻擊有如下幾種形式：

（一）仿冒網(wǎng)關(guān)

攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為網(wǎng)關(guān)IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給被攻擊的主機(jī)，使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來(lái)，主機(jī)訪問(wèn)網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。

（二）欺騙網(wǎng)關(guān)

攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給網(wǎng)關(guān)；使網(wǎng)關(guān)更新自身ARP表中原合法用戶的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來(lái)，網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。

（三）欺騙終端用戶

攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給同網(wǎng)段內(nèi)另一臺(tái)合法主機(jī)；使后者更新自身ARP表中原合法用戶的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來(lái)，網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯(cuò)誤的MAC地址，同網(wǎng)段內(nèi)的用戶無(wú)法正?；ピL。

（四）“中間人”攻擊

ARP “中間人”攻擊，又稱為ARP雙向欺騙。例如，Host A和Host C通過(guò)Switch進(jìn)行通信。此時(shí)，如果有惡意攻擊者（Host B）想探聽(tīng)Host A和Host C之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似“直接”的通信，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人”的角色，可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作“中間人（Man-In-The-Middle）攻擊”。

（五）ARP報(bào)文泛洪攻擊

惡意用戶利用工具構(gòu)造大量ARP報(bào)文發(fā)往交換機(jī)的某一端口，導(dǎo)致CPU負(fù)擔(dān)過(guò)重，造成其他功能無(wú)法正常運(yùn)行甚至設(shè)備癱瘓。

二.解決方案：

（一）阻止仿冒網(wǎng)關(guān)IP的arp攻擊

1.二層交換機(jī)

3652是三層設(shè)備，其中ip：100.1.1.1是所有pc的網(wǎng)關(guān)，3652上的網(wǎng)關(guān)mac地址為000f-e200-3999。PC-B上裝有arp攻擊軟件。現(xiàn)在需要對(duì)3126_A進(jìn)行一些特殊配置，目的是過(guò)濾掉仿冒網(wǎng)關(guān)IP的arp報(bào)文。

對(duì)于二層交換機(jī)如3126c等支持ACL number為5000到5999的交換機(jī)，可以配置acl來(lái)進(jìn)行報(bào)文過(guò)濾。

（1）全局配置deny 所有源IP是網(wǎng)關(guān)的arp報(bào)文（自定義規(guī)則）

ACL num 5000

rule 0 deny 0806 ffff 24 64010101 ffffffff 40

rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34

rule0目的：把整個(gè)3126C_A端口冒充網(wǎng)關(guān)的ARP報(bào)文禁掉，其中藍(lán)色部分64010101是網(wǎng)關(guān)ip地址的16進(jìn)制表示形式：100.1.1.1=64010101。

rule1目的：把上行口的網(wǎng)關(guān)ARP報(bào)文允許通過(guò)，藍(lán)色部分為網(wǎng)關(guān)3652的mac地址000f-e200-3999。

注意配置Rule時(shí)的配置順序，上述配置為先下發(fā)后生效的情況。

在S3126C-A系統(tǒng)視圖下發(fā)acl規(guī)則：

[S3126C-A]packet-filter user-group 5000

這樣只有3126C_A上連設(shè)備能夠下發(fā)網(wǎng)關(guān)的ARP報(bào)文，其它pc就不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報(bào)文。

（二）三層交換機(jī)

對(duì)于三層設(shè)備，需要配置過(guò)濾源IP是網(wǎng)關(guān)的arp報(bào)文的acl規(guī)則，配置如下acl規(guī)則：

ACL num 5000

rule 0 deny 0806 ffff 24 64010105 ffffffff 40

rule0目的：把所有3652E端口冒充網(wǎng)關(guān)的ARP報(bào)文禁掉，其中藍(lán)色部分64010105是網(wǎng)關(guān)ip地址的16進(jìn)制表示形式：100.1.1.5=64010105。

三、阻止仿冒他人IP的arp攻擊

作為網(wǎng)關(guān)的設(shè)備有可能會(huì)出現(xiàn)arp錯(cuò)誤表項(xiàng)，因此在網(wǎng)關(guān)設(shè)備上還需對(duì)仿冒他人IP的arp攻擊報(bào)文進(jìn)行過(guò)濾。

當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報(bào)文，源mac是PC-B的mac （000d-88f8-09fa），源ip是PC-D的ip（100.1.1.3），目的ip和mac是網(wǎng)關(guān)（3652）的，這樣3652上就會(huì)學(xué)習(xí)錯(cuò)誤的arp，如下所示：

------ 錯(cuò)誤 arp 表項(xiàng)-----

IP Address MAC Address VLAN ID Port Name Aging

100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20

100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20

PC-D的arp表項(xiàng)應(yīng)該學(xué)習(xí)到端口e0/8上，而不應(yīng)該學(xué)習(xí)到e0/2端口上。

①在3652上配置靜態(tài)arp，可以防止該現(xiàn)象：arp static 100.1.1.3 000f-3d81-45b4 1 e0/8

②同理，S3652E上也可以配置靜態(tài)arp來(lái)防止設(shè)備學(xué)習(xí)到錯(cuò)誤的arp表項(xiàng)。

③對(duì)于三層設(shè)備（3600系列），除了可以配置靜態(tài)arp外，還可以配置IP+mac+port綁定，比如在3126C端口4上作如下操作：

am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4，則ip為100.1.1.4并且mac為000d-88f8-09fa的arp報(bào)文可以通過(guò)e0/4端口，仿冒其它設(shè)備arp報(bào)文無(wú)法通過(guò)，從而不會(huì)出現(xiàn)錯(cuò)誤arp表項(xiàng)。

參考文獻(xiàn)：

[1]計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)及應(yīng)用 吳曉葵主編 高等教育出版社 2008

[2]計(jì)算機(jī)網(wǎng)絡(luò)安全案例教程 陳昶 楊艷春主編 北京大學(xué)出版社.2008

[3]網(wǎng)絡(luò)操作系統(tǒng)與配置管理 王達(dá)主編 電子工業(yè)出版社 2008