用抓包的方法處理ARP病毒欺騙攻擊

最近網(wǎng)絡(luò)中有主機頻繁斷線， 剛剛開始還比較正常， 但是一段時間后就出現(xiàn)斷線情況， 有時很快恢復(fù)， 但是有時要長達好幾分鐘啊， 這樣對工作影響太大了。 最初懷疑是否是物理上的錯誤， 總之從最容易下手的東西開始檢查， 檢查完畢后沒有發(fā)現(xiàn)異常！突然想到目前網(wǎng)上比較流行的ARP攻擊， ARP攻擊出現(xiàn)的故障情況與此非常之相似！對于ARP攻擊， 一般常規(guī)辦法是很難找出和判斷的， 需要抓包分析。

　　1.原理知識

　　在解決問題之前， 我們先了解下ARP的相關(guān)原理知識。

　　ARP原理：

　　首先， 每臺主機都會在自己的ARP緩沖區(qū)(ARPCache)中建立一個ARP列表， 以表示IP地址和MAC地址的對應(yīng)關(guān)系。 當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時， 會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址， 如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有， 就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包， 查詢此目的主機對應(yīng)的MAC地址。 此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。

　　網(wǎng)絡(luò)中所有的主機收到這個ARP請求后， 會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。 如果不相同就忽略此數(shù)據(jù)包；如果相同， 該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中， 如果ARP表中已經(jīng)存在該IP的信息， 則將其覆蓋， 然后給源主機發(fā)送一個ARP響應(yīng)數(shù)據(jù)包， 告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應(yīng)數(shù)據(jù)包后， 將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中， 并利用此信息開始數(shù)據(jù)的傳輸。 如果源主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包， 表示ARP查詢失敗。

　　ARP欺騙原理：

　　我們先模擬一個環(huán)境：

　　網(wǎng)關(guān)：192.168.1.1 MAC地址：00:11:22:33:44:55

　　欺騙主機A：192.168.1.100 MAC地址：00:11:22:33:44:66

　　被欺騙主機B：192.168.1.50 MAC地址:00:11:22:33:44:77

　　欺騙主機A不停的發(fā)送ARP應(yīng)答包給網(wǎng)關(guān)， 告訴網(wǎng)關(guān)他是192.168.1.50主機B， 這樣網(wǎng)關(guān)就相信欺騙主機， 并且在網(wǎng)關(guān)的ARP緩存表里就有192.168.1.50對應(yīng)的MAC就是欺騙主機A的MAC地址00:11:22:33:44:66， 網(wǎng)關(guān)真正發(fā)給主機B的流量就轉(zhuǎn)發(fā)給主機A；另外主機A同時不停的向主機B發(fā)送ARP請求， 主機B相信主機A為網(wǎng)關(guān)， 在主機B的緩存表里有一條記錄為192.168.1.1對應(yīng)00:11:22:33:44:66， 這樣主機B真正發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)流量就會轉(zhuǎn)發(fā)到主機A；等于說主機A和網(wǎng)關(guān)之間的通訊就經(jīng)過了主機A， 主機A作為了一個中間人在彼此之間進行轉(zhuǎn)發(fā)， 這就是ARP欺騙。

　　2.解決方法

　　看來只有抓包了， 首先， 我將交換機做好端口鏡像設(shè)置， 然后把安裝有科來網(wǎng)絡(luò)分析系統(tǒng)的電腦接入鏡像端口， 抓取網(wǎng)絡(luò)的所有數(shù)據(jù)進行分析。 通過幾個視圖我得出了分析結(jié)果：診斷視圖提示有太多“ARP無請求應(yīng)答”。

　　在診斷中， 我發(fā)現(xiàn)幾乎都是00:20:ED:AA:0D:04發(fā)起的大量ARP應(yīng)答。 而且在參考信息中提示說可能存在ARP欺騙。 看來我的方向是走對了， 但是為了進一步確定， 得結(jié)合其他內(nèi)容信息。 查看協(xié)議視圖了解ARP協(xié)議的詳細情況，

　　ARPResponse和ARPRequest相差比例太大了， 很不正常啊。 接下來， 再看看數(shù)據(jù)包的詳細情況。

　　我從數(shù)據(jù)包信息已經(jīng)看出問題了， 00:20:ED:AA:0D:04在欺騙網(wǎng)絡(luò)中192.168.17.0這個網(wǎng)段的主機， 應(yīng)該是在告訴大家它是網(wǎng)關(guān)吧， 想充當中間人的身份吧， 被欺騙主機的通訊流量都跑到他那邊“被審核”了。

　　現(xiàn)在基本確定為ARP欺騙攻擊， 現(xiàn)在我需要核查MAC地址的主機00:20:ED:AA:0D:04是哪臺主機， 幸好我在平時記錄了內(nèi)部所有主機的MAC地址和主機對應(yīng)表， 終于給找出真兇主機了。 可能上面中了ARP病毒， 立即斷網(wǎng)殺毒。 網(wǎng)絡(luò)正常3.總結(jié)（故障原理）

　　我們來回顧一下上面ARP攻擊過程。 MAC地址為00:20:ED:AA:0D:04的主機， 掃描攻擊192.168.17.0這個網(wǎng)段的所有主機， 并告之它就是網(wǎng)關(guān)， 被欺騙主機的數(shù)據(jù)都發(fā)送到MAC地址為00:20:ED:AA:0D:04的主機上去了， 但是從我抓取的數(shù)據(jù)包中， MAC為00:20:ED:AA:0D:04的主機并沒有欺騙真正的網(wǎng)關(guān)， 所以我們的網(wǎng)絡(luò)會出現(xiàn)斷網(wǎng)現(xiàn)象。

　　4.補充內(nèi)容

　　對于ARP攻擊的故障， 我們還是可以防范的， 以下三種是常見的方法：

　　方法一：平時做好每臺主機的MAC地址記錄， 出現(xiàn)狀況的時候， 可以利用MAC地址掃描工具掃描出當前網(wǎng)絡(luò)中主機的MAC地址對應(yīng)情況， 參照之前做好的記錄， 也可以找出問題主機。

　　方法二：ARP–S可在MS-DOS窗口下運行以下命令：ARP–S手工綁定網(wǎng)關(guān)IP和網(wǎng)關(guān)MAC。 靜態(tài)綁定， 就可以盡可能的減少攻擊了。 需要說明的是， 手工綁定在計算機重起后就會失效， 需要再綁定， 但是我們可以做一個批處理文件， 可以減少一些煩瑣的手工綁定！

　　方法三：使用軟件（Antiarp）使用AntiARPSniffer可以防止利用ARP技術(shù)進行數(shù)據(jù)包截取以及防止利用ARP技術(shù)發(fā)送地址沖突數(shù)據(jù)包。

了， 嗚呼！整個世界又安靜了！