单位局域网中ARP攻击的故障处理

羼　单位局域网中ＡＲＰ攻击的故障处理　来江　（上海消防研究所，上海２０００３２）　１故障现象　上海消防研究所ｌｌ台接入层交换机通过一台　于开机状态且连接上了网络，将其网线拔掉后，ｌ１台接　入层交换机恢复了正常，ＣＰＵ利用率下降到了５％以内。　交换机和路由器进行级联，接入层交换机类型为ＺＸＲｌ０　２８２６（以下简称２８２６）。设备自开通两年以来一直运行正　常，用户上网和下载上传均正常，但是在某个时刻该ｌ１　台交换机上的４０％用户无法上网，表现为打开网页出现　“Ｉｎｔｅｒｎｅｔ　Ｅｘｐｌｏｒｅｒ不能链接到您请求的网页。此页可能　暂时不可用。”，但其余用户能正常上网，但表现为上网速　度大幅度下降。　组网示意图如图ｌ所示。　交粳机　路由器　同管终端　２８２６变搀巩　２８２６交换机　图１组网示意图　２故障分析　观察网管系统，发现这ｌｌ台交换机的确为断开状态，　在中心机房无法ｐｉｎｇ通。　维护人员到达其中４台交换机的弱电井，通过超级终　端接入一台交换机，其ＩＰ地址为：１７２．１６８．０．１２３，发现　交换机ＣＰＵ利用率达到了９３％一１００％，查看其告警信息　及配置信息，未发现异常。　随后连接汇聚层交换机Ｔ４０Ｇ，发现存在“ｇｅｉ一２／４　端口收到太多ＡＲＰ广播包”的告警。用命令显示该端口　流量信息，发现每１０秒内增加了近１０万个广播包。　分析此端口下边的接入交换机２８２６，可能存在以下　情况：（１）用户侧出现了环路；（２）用户主机中了病毒，不　停地发广播包；（３）用户主机安装了ＡＲＰ攻击软件，不停　地发ＡＲＰ攻击包。　在汇聚交换机上查明该端口下连２８２６的ＩＰ地址为：　１７２．１６８．０．１１１，通过网线连接上该交换机进行抓包，分　析抓包数据，发现的确有ＭＡ　Ｃ地址为“ｏ０：１９：ｅ０：　ａ９：５ａ：ｆｃ”的主机在不停地发ＡＲＰ广播包。　根据端口网线上的标签查到该主机来自于２６０６寝室，　到该寝室找到此主机，拥有此主机的学生不在，但主机处　３解决方法　Ａ　ＲＰ病毒是最近比较常见的、易爆发的网络病毒之　一，其典型表现为：机器以前是可以正常上网的，但现在　突然出现不能上网的现象（无法ｐｉｎｇ通自己的网关），重　启机器或在ＭＳ－ＤＯＳ窗口下运行命令ａｒｐ—ｄ后，又可　恢复上网一段时间。　引起ＡＲＰ病毒欺骗攻击的原因最初是由网络游戏　传奇》的外挂携带的ＡＲＰ木马产生的。当在局域网内　使用该外挂时，外挂携带的病毒会将该机器的ＭＡ　Ｃ地址　映射到网关的ＩＰ地址上，向局域网内大量发送Ａ　ＲＰ欺　骗包，假冒网关的ＭＡＣ地址，致使同一网段地址内的其　他机器误将其作为网关，这就是为什么掉线时内网是互通　的，计算机却不能上的原因。　解决ＡＰＲ病毒欺骗攻击的主要方法如下。　３．１在Ｐｃ上静态绑定ＡＲＰ，此方法不适用于大型网络。　（１）在能上网的情况下，进入ＭＳ—ＤＯＳ窗口，输入　命令：ａｒｐ—ａ查看网关ＩＰ对应的正确ＭＡＣ地址，将其　记录下来。如果已经不能上网，则先运行一次命令ａｒｐ－ｄ　将ａｒｐ缓存中的内容删空，计算机可暂时恢复上网（攻击　如果不停止的话），一旦能上网就立即将网络断掉（禁用　网卡或拔掉网线），再运行ａｒｐ－－ａ。　例如：假设计算机所处网段的网关为２ｌ８．１９７．１９２．２５４，　本机地址为２１８．１９７．１９２．１，网络正常时，在计算机ＭＳ—　ＤＯＳ窗口运行ａｒｐ－ａ后输出如下：　Ｃ：＼Ｄ　Ｏ　Ｃ　ｕ　ｍ　ｅ　ｎ　ｔ　Ｓ　ａ　ｎ　ｄ　Ｓ　ｅ　ｔ　ｔ　ｉ　ｎ　ｇ　Ｓ＞ａ　ｒ　ｐ－ａ　Ｉ　ｎ　ｔ　ｅ　ｒ　ｆ　ａ　ｃ　ｅ：２　ｌ　８．１　９　７．１　９　２．１一一一０　Ｘ　２　Ｉ　ｎ　ｔ　ｅ　ｒ　ｎ　ｅ　ｔ　Ａ　ｄ　ｄ　ｒ　ｅ　ｓ　ｓ　Ｐ　ｈ　ｙ　ｓ　ｉ　ｃ　ａ　ｌ　Ａ　ｄ　ｄ　ｒ　ｅ　ｓ　ｓ　Ｔｙ　Ｐ　ｅ　２１８．１９７．１９２．２５４　０（卜０１—Ｏ２—０３—Ｏ４—Ｏ５　ｄｙｎａｍｉｃ　其中００—０１一ｏ２—０３—０４—０５就是网关２１８．１９７．１９２．２５４　对应的真实ＭＡＣ地址，类型是动态（ｄｙｎａｍｉｃ）的，因此　是可被改变的。　（２）获得正确的网关ＭＡＣ地址后，在不能上网时，　维普资讯 http://www.cqvip.com

赫　手工将网关ＩＰ和正确ＭＡ　Ｃ绑定，可确保计算机不再被　攻击影响。手工绑定的方法是在ＭＳ—ＤＯＳ窗口下运行以　下命令：　ａｒＩ）一ｓ＜网关ＩＰ＞＜网关ＭＡＣ＞　ｍａｃ命令查找病毒机器接的交换机上的物理端口号，从而　确定病毒机的具体位置。如果机器接在Ｔ６４Ｇ上，输入命　令ｓｈｏｗ　ｍａｃ得到输出如图２所示。　例　如：ａ　ｒ　Ｐ—Ｓ　２　１　８．１　９　７．１　９　２．２　５　４　００—０　１—０２—０３—０４—０５　２ＬＸＲ１０（ｃｏｎｆｉｇＮｓｈｏ＇￣ｌ，ｉｌａｃ　ＴＯ船ｌｎ　ａｄｄｒｅｓｓ　６　Ｆｌａ￣：ｖｉｄ一、＿ＬＡＮ　ｋｋｓｔ￣ｓｔａｔｉｃ．ｐｅｔ—ｐｅｒｍａｎｅｍ　ｔｏＳ—ｔｏ—ｓｔａｔｉｃ　绑定完后，可再用ａ　ｒ　ｐ－ａ查看ａ　ｒ　Ｐ缓存：　Ｃ：＼Ｄｏｃｕｍｅｎｔｓ　ａｎｄ　Ｓｅｔｔｉｎｇｓ＞ａｒｐ—ａ　Ｉｎｔｅｒｆａｃｅ：２ｌ８．１９７．１９２．１～Ｏｘ２　ｓ　—ｓｏ帆ｅ　ｆｉｌｔｅｒ．ｄｓＦ－－ｄｅｓｔｉｎａｔｉｏｎ　ｆｉｌｌｅｒ　ｔｉｍｅ—ｄａｙ　ｈ矾Ｈ　ＪⅡｉｎ　ｓ　Ｆｎａ～ｍ　ｆｒｏｌｌｌ　ｗｈｅｒｅ：０　：　ｃｏｎ基ｇ：３　ＶＰＮ：３　８０２　ＩＸ：４．ｔｌｕｃｒｏ：５抽印　＾似ｃｄ　ｓｓ　ｐｏｒｔ　ｄ　ｓｔａｔｉｃ　ｌｏｃｋｅｄ㈣．　ｔｅｒ豳ｌ雠　一Ｉｎｔｅｍｅｔ　Ａｄｄｒｅｓｓ　Ｐｈｙｓｉｃａｌ　Ａｄｄｒｅｓｓ　Ｔｙｐｅ　０＇３０１　０６Ｏ　０８０９　ｆｅｉ　８／６　２００　ｏｏ∞００００　２２２２　ｌ　０　１　０　０　０　１　１　２ｌ８．１９７．１９２．２５４　００－０１－０２－０３－０４－０５　ｓｔａｔｉｃ　００００Ｏ０ＯＯ＿００２２　ｆｅｉ　８，１４　８８８　０　０　００００＿傩。。１ｌｉ１　Ｉ　３，？８８８　Ｊ　Ｏ　１　０　０　０　０　０　０　０　０　这时，　类型变为静态（ｓｔａｔｉｃ），就不会再受攻击影响　了。需要说明的是，手工绑定在计算机关机断电后就会失　效，需要再绑定。所以，要彻底根除攻击，只有找出网段　ＯＯＯＯ００００　３３３３始ｌ　３／３　８８８　Ｉ　００００００００００２１　ｌ　１２　８８８　０　０　内被病毒感染的计算机并杀毒，方可解决。　ＺＬＸＲＩｏ￣ｃｏｔｕＳｇ＿群　３．２找出中毒机器，清除病毒或者重装系统（建议在全　网Ｐｃ机上安装ＡＲＰ专用查杀工具）。　（１）在遭受ＡＲＰ攻击后，再用ａｒｐ—ａ命令查看，就　会发现网关的ＭＡ　Ｃ已经被替换成攻击机器的ＭＡ　Ｃ，本　例假设为００—０卜０６—０７—０８—０９。　Ｃ：＼Ｄｏｃｕｍｅｎｔｓ　ａｎｄ　Ｓｅｔｔｉｎｇｓ＞ａｒｐ—ａ　Ｉ　ｎ　ｔ　ｅ　ｒ　ｆ　ａ　ｃ　ｅ：２　ｌ　８．１　９　７．１　９　２．１一一一　０　ｘ　２　图２输出结果　其中显示了Ｍ　Ａ　Ｃ为００－０１－０６－０７－０８－０９的病毒　机接在了此交换机的ｆｅｉ一８／６口上。在其他系列交换机上　同样可以用ｓｈｏｗ　ｍａｃ或ｓｈｏｗ　ｍａｃ－ｔａｂｌｅ命令获得病　毒机所连接口的信息。　找到中ＡＲＰ病毒的机器后，将此机器与网络隔离，　使网络恢复正常。再对此机器进行杀毒或者格式化处理，　彻底清除ＡＲＰ欺骗病毒后再接入网络。　Ｉｎｔｅｍｅｔ　Ａｄｄｒｅｓｓ　Ｐｈｙｓｉｃａｌ　Ａｄｄｒｅｓｓ　Ｔｙｐｅ　２１８．１９７．１９２．２５４　００－０１－０６－０７－０８－０９　ｄｙｎａｍｉｃ　（２）全网ＰＣ机安装ＡＲＰ专用查杀工具，如ＡＲＰ防　火墙。　收稿日期：２００８－－０５－０４　如果希望能找出攻击机器，彻底根除攻击，可以在此　时将该ＭＡＣ记录下来，为以后查找做准备。　根据记录下来的病毒机器的ＭＡＣ地址，用ｓｈｏＷ　（上接９３页）　４．１购买技术更新快的杀毒软件　网络蠕虫病毒的发展，以使杀毒　合了防火墙功能，从而对蠕虫病毒　有着明显的克制作用。　北京邮电大学出版社，２００６．　【２武新华，翟长霖等．黑客攻防秘技　软件必须向内存实时监控和邮件实时　监控发展。在杀毒软件市场上，经过　多项测试，赛门铁克公司的ＮＯｒｔｏｎ　杀毒系列软件的脚本和蠕虫阻拦技术　能够阻挡大部分电子邮件病毒，而且　对网页病毒也有相当强的防范能力。　当然，国内的杀毒软件也具有了　４．２不随意查看陌生邮件　一大曝光［Ｍ】，北京：清华大学出版社，　２ＯＯ６．　定不要轻易打开扩展名为　ＶＢＳ、ＳＨＳ或ＰＩＦ的邮件附件。这　［５】仲治国．黑客攻防５６计［Ｍ】．山　东：山东电子音像出版社，２００７，　些扩展名从未在正常附件中使用过，　但它们经常被病毒和蠕虫使用。固　参考文献：　【１】思科系统（中国）网络技术有限　公司．下一代网络安全【Ｍ】，北京：　作者简介：白丽梅（１　９７４－），女，讲师，　研究方向：计算机网络技术及安全、软　件工程。　相当高的技术水平。如瑞星、金山、　ＫＶ等杀毒软件，在杀毒的同时还整　收稿日期：２００８－０１－１　６