怎么防範(fàn)被室友惡意斷網(wǎng)路?

開(kāi)學(xué)季又要到了， 不管你有沒(méi)有住宿的經(jīng)驗(yàn)， 相信大家有時(shí)候都會(huì)遇到明明網(wǎng)路設(shè)備是開(kāi)的可是上不了網(wǎng)的問(wèn)題。 電腦也沒(méi)什麼異狀， 有裝掃毒軟體但也沒(méi)有病毒訊息， 也看的到自己的IP， 但是就是連不上網(wǎng)。

這種時(shí)候可以合理的懷疑:你被攻擊了!

首先可以看看是不是被室友使用了網(wǎng)路剪刀手(Netcut)等軟體把你惡意斷網(wǎng)， 或者是區(qū)域網(wǎng)路中有人中了ARP病毒。 這種攻擊沒(méi)有防毒軟體能夠防範(fàn)， 電腦也不會(huì)有異狀， 唯一的癥狀就是電腦有IP可是就是ping不到router， 也就是你上網(wǎng)的連接器。

由於Netcut使用的是假造ARP封包造成目標(biāo)主機(jī)ARP table記錄錯(cuò)誤來(lái)達(dá)成斷線(xiàn)目的， 最新版本的Netcut 2.0或變種ARP病毒已能快速的同時(shí)竄改目標(biāo)主機(jī)與路由器(閘道器) ARP記錄， 簡(jiǎn)易的Netcut防護(hù)軟體或靜態(tài)ARP記錄已經(jīng)無(wú)法解決危害， 因此要徹底解決此一問(wèn)題必需自Netcut工作原理著手。

首先要解釋DHCP的運(yùn)作方式：在開(kāi)機(jī)的時(shí)候原本電腦沒(méi)有IP(預(yù)設(shè)為0.0.0.0)， 當(dāng)電腦要連接網(wǎng)路的時(shí)候， 會(huì)要求DHCP分配IP， 一旦取得IP以後就可以上網(wǎng)了(圖一)。

(圖一)DHCP發(fā)送流程

在電腦A剛開(kāi)機(jī)， 還沒(méi)有取得IP的時(shí)候並不會(huì)受到來(lái)自ARP的攻擊， 因?yàn)橐�發(fā)動(dòng)ARP攻擊的條件就是要取得對(duì)方的網(wǎng)卡卡號(hào)(MAC)和IP。 所以當(dāng)取得IP以後， 電腦A就曝露在ARP攻擊的環(huán)境中。

ARP其實(shí)是IP位址轉(zhuǎn)換成Mac位址的一種通訊協(xié)定， 當(dāng)某一臺(tái)電腦要傳送資料到某個(gè)IP位址時(shí)， 會(huì)先傳送ARP封包詢(xún)問(wèn)網(wǎng)路上哪臺(tái)電腦的MAC Address對(duì)應(yīng)到這個(gè)IP位址， 當(dāng)目的端的電腦接收到這個(gè)ARP封包之後便會(huì)回應(yīng)給來(lái)源電腦進(jìn)行資料傳送。 MAC Address的範(fàn)例格式如下: 00-E0-18-0E-B2-21

(圖二)電腦A廣播自己的MAC及IP以更新網(wǎng)域內(nèi)電腦的ARP table

(圖三) Router會(huì)依據(jù)ARP表 把資料依照適合的路徑傳送到 電腦A

而Netcut工作方式就是從封包傳遞這方面下手， Netcut會(huì)經(jīng)由IP掃描的方式(圖四)找尋區(qū)域網(wǎng)路上正在活動(dòng)的IP， 選定好攻擊的目標(biāo)以後(假設(shè)要攻擊A)， 就會(huì)大量發(fā)送廣播封包， 以自己或是編造的MAC搭配A的IP企圖讓網(wǎng)路上所有的電腦都把原本要傳給A的資料都無(wú)法送達(dá)， 這樣原本正常上網(wǎng)的A就無(wú)法上網(wǎng)了(因?yàn)榉獍�都有去無(wú)回)。 (如圖四)

(圖四) 電腦B探尋網(wǎng)域中的電腦MAC

(圖五)Router和 電腦Ａ收到廣播把MAC R和MAC A加進(jìn)ARP表

(圖六) B電腦攻擊A ,同時(shí)對(duì)Router作干擾， 並迫使Router及A更新MAC table

(圖七)Router以及電腦A的ARP table被B所發(fā)送的廣播封包給竄改， 導(dǎo)致A網(wǎng)路癱瘓

想要防治受到ARP攻擊的話(huà)， 需加裝VLAN Switch(在圖片範(fàn)例中是把VLAN Switch取代HUB)， 因?yàn)閂LAN Switch是把用戶(hù)端的連結(jié)在實(shí)體層做分割， 徹底的隔絕才能夠避免網(wǎng)路遭受攻擊以後災(zāi)情影響到了網(wǎng)域內(nèi)的所有用戶(hù)。 一旦以VLAN Switch做切割以後， 網(wǎng)域內(nèi)的用戶(hù)除了看到路由器以外都無(wú)法看到其他用戶(hù)， 如此一來(lái)用戶(hù)端的電腦都受到保障。 在稍後展示的實(shí)際操作(圖十一)中可以看到加裝VLAN以後的情形。

(圖八)經(jīng)由VLAN switch， 每個(gè)用戶(hù)端都不會(huì)互相看到。

並確實(shí)做好MAC綁IP即可避免ARP攻擊

以下示範(fàn)使用Router(BM-1000)以及VLAN switch(EZ-800V)來(lái)防護(hù)ARP攻擊

1. 首先在BM-1000中的設(shè)定裏面確實(shí)把用戶(hù)IP與MAC做連結(jié)， 這樣不但可以有效防範(fàn)ARP攻擊也可以防止使用者亂改IP影響其他用戶(hù)上網(wǎng)的權(quán)益， 也方便當(dāng)遭受ARP攻擊時(shí)做為對(duì)照。

(圖九)把IP和MAC綁定以避免被竄改

2. 在沒(méi)有經(jīng)過(guò)防護(hù)的區(qū)域網(wǎng)路環(huán)境下， 惡意軟體、病毒、或是木馬很容易的找到攻擊目標(biāo)。 因?yàn)橹灰獜V播封包， 網(wǎng)域上所有的電腦都會(huì)回應(yīng)你， 等於把網(wǎng)路曝露在危險(xiǎn)之中。

(圖十)從Netcut的掃描清單中， 可以看到網(wǎng)路上輕易的就找到一堆開(kāi)機(jī)的電腦。

3. 使用VLAN switch將區(qū)域網(wǎng)路確實(shí)做好實(shí)體層(Layer 2)切割， 把每個(gè)分接出去電腦確實(shí)分割以避免封包可以傳送到網(wǎng)域所有的電腦， 這樣ARP的封包就不能互相傳遞， 也就能防護(hù)ARP攻擊啦！

(圖十一)裝設(shè)VLAN switch以後網(wǎng)路上只看的到自己的電腦和路由器的IP。

4. 其實(shí)想要徹底解決ARP攻擊、病毒、木馬、或是駭客的攻擊， 最好是在規(guī)劃的時(shí)候就考慮好， 而且在區(qū)網(wǎng)裡面每一個(gè)switch都要有VLAN的功能， 只要有一臺(tái)沒(méi)有VLAN功能即成為漏洞。 另外最常見(jiàn)到的錯(cuò)誤就是直接使用路由器的4個(gè)LAN埠， 而使區(qū)網(wǎng)VLAN瓦解。 建議的架設(shè)方式請(qǐng)參考下圖

--

以上只是避免arp攻擊的概述， 有的比較難理解的地方就寫(xiě)的淺顯一點(diǎn)， 希望對(duì)想了解的朋友有些幫助， 想要了解更多的話(huà)可以提出您的疑問(wèn)， 歡迎轉(zhuǎn)載但請(qǐng)附出處， 有錯(cuò)也請(qǐng)不吝指教。