校园网ARP欺骗攻击分析及解决办法(0)_arp网络欺骗解决办法

校园网ARP欺骗攻击分析及解决办法(0)由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“arp网络欺骗解决办法”。

校园网ARP欺骗攻击分析及解决办法

张志刚

（作者单位：浙江省开化县实验小学 邮编：324300）

摘要：ARP攻击是当前校园网遇到的一个非常典型的安全威胁，受到ARP攻击后轻者校园网会出现大面积掉线，重者会窃取用户密码。目前，网上有关ARP资料较多，但作者发现：网上资料虽多但大多逻辑性和指导性均不强，甚至有一些还自相矛盾，不能自圆其说。该文来自于一线网管员的工作实践，具有较强的针对性和操作性。

关键词：校园网、ARP、原理、方法 正文：

ARP攻击是当前校园网遇到的一个非常典型的安全威胁，受到ARP攻击后校园网内各终端电脑会出现大面积掉线、ARP包爆增、拷贝文件无法完成，出现错误、无法ping通网关，但重启机器后又可恢复上网等情况。欺骗木马发作时还会窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号，盗窃网上银行账号来做非法交易活动等。在08年的暑期,我县的教育城域网就爆发了一次较大的ARP攻击事件，前后持续时间近一个月，给全县教育系统的暑期办公培训及新学期的准备工作带来了较大的影响，攻击源来自于乡下某学校的一台老师忘记关机并感染了ARP病毒的的办公电脑。

作为一名学校的网管员，在与多起ARP欺骗攻击的的斗争过程中，对ARP病毒相关基础知识、危害认识也越来越深刻，对如何在校园网内及时发现、有效防范查杀攻击源的具体处理上也有了一定的心得，现作一整理，供兄弟学校的各网管员们参考借鉴。

1.要了解APR病毒需先掌握的几个概念 1.1：IP地址

IP地址是出现频率非常高的词。它类似于电话通迅中的电话号码，在我们的校园网中，为了区别每一台不同的计算机，我们需要给每一台计算机都配臵一个号码，这个号码我们就将它叫做IP地址，有了这个IP地址我们在利用网络进行上网、传递文件，进行局域网聊天时才不会将发送给A计算机的信息错发到其

它的计算机上。一般情况下，在校园网内一台计算机只分配一个IP地址，IP地址采用十进制数字表示,如192.168.0.25。1.2、MAC地址：

在现实生活中，我们每个人由于工作等原因会经常的搬家，每台计算机的IP地址在使用中就会发生变化。IP地址发生变化了，为什么不会影响我们在网上收发信息呢？这主要是因为我们计算机的网卡MAC地址是不发生变化的。MAC地址也叫物理地址，它类似于我们每个人的身份证，是全球唯一的，只要MAC地址这个计算机的身份证存在，我们在全球庞大的计算机网络中就总能找到自已的这台计算机。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：00:0F:E2:70:70:BC。XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG –ALL命令进行查询。1.3、ARP（Addre Resolution Protocol：地址解析协议）

不管是在校园局域网中还是在广域网中，数据信息要从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。如果仅仅依靠IP地址去传递信息是要发生错误的，因为IP地址是要发生变化的，在某些时候我们就需要将IP地址与MAC地址进行捆定，保证网络中信息传递的准确性，完成这个功能的就是ARP地址解析协议。网络中的每台电脑，它都会收集网络上的各台计算机的IP地址与MAC地址信息，将它储存在一个叫“ARP缓存表”的地方，当机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据。

2.ARP欺骗的原理分析

为便于阐述，在这我们假设有一个有三台计算机甲、乙、丙组成的局域网，其中甲感染了ARP木马病毒。正常情况下，甲的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA，乙的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB，丙的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC。当计算机甲上运行了

ARP欺骗程序，向乙或丙发送了ARP欺骗包后，基于乙、丙对甲的完全信任关系，乙或丙计算机会自动更新本地的ARP缓存，将错误的IP与MAC地址信息替代了正确的信息对应表，这样当然也就不能保证乙、丙两台计算机能顺畅地对外通讯了。在校园网中，问题会随着ARP欺骗包针对网关而变本加厉，当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时我们的LAN访问也就出现问题了

3.校园网ARP病毒的预防措施及感染后的分析及处理 3.1、校园网ARP病毒的五条预防措施：

措施

1、及时升级客户端的操作系统和应用程序补丁。措施

2、安装和更新杀毒软件及ARP专用防火墙。

措施

3、如果网络规模较小，尽量使用手动指定IP设臵，而不是使用DHCP来分配IP地址。

措施

4、如果交换机或路由器支持，在交换机或路由器上绑定MAC地址与IP地址。

措施

5、在校园网正常运行时，备份一份网关与知终端的IP地址与MAC地址正常对应表，最好包含计算机名信息。现今学校一般都通过路由器上网，两地址信息均可在路由器的WEB设臵页面中找到，也可以使用网上常见的一些专业MAC地址扫描工具得到正确的地址信息。3.2、ARP病毒感染后的分析及处理

校园网如果还是不幸中招，出现本文第一段所说的那些症状时，我们首先应该判断是否为ARP病毒的原因，点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。如果计算机安装有ARP防火墙的话，也会在屏幕的右下角跳出报警信息，当确诊为ARP病毒是时，我们可以采取以下方法进行校园网的修复处理。

第一步：首先保证网络正常运行。在桌面上新建一个名为ARP文本文件，用

记事本写下：

@echo off arp-d

arp-s 网关IP MAC地址

保存后将记事本后缀名改名BAT（批处理文件）。将这个批处理文件发送给各计算机端，当遭受ARP攻击时，将它执行一遍，重新绑定网关的IP-MAC地址信息后就OK了。

第二步：找到感染ARP病毒的机器。

第一种判断方法:如果在你的周围有多台电脑均不能正常上网，出现时常掉线的情况，而你的电脑却安然无恙，数据通信正常，请不要沾沾自喜，这说明你的机器已经中了arp病毒，需要及时断网杀毒。

第二种判断方法:使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。如图1，两台电脑除了网关的IP，MAC地址对应项，都包含了192.168.0.54的这个IP，则可以断定192.168.0.54这台主机就是病毒源。一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.54）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。

第三种判断方法:在故障机上使用ARP －a的命令看得到的网关对应的MAC地址是否与网关真实地址相符，如不符，可去查找与该MAC地址对应的电脑。

第四种判断方法:使用ARP防火墙(例如360ARP防火墙)软件，360ARP防火墙拦截到外部ARP攻击后，可通过拦截界面“追踪攻击源IP”来精准定位局域网内攻击源，方便网管及时查询局域网内攻击源，及时解决问题。

第三步：在学校路由器的WEB页面上网过滤功能设臵中暂时停止病毒源主机的上网行为。考虑到校园网的各终端主机来源比较复杂，有一些来自于老师的笔记本电脑，有时根据MAC地址很难确定是某位老师的电脑，我们可以利用路由器的MAC地址过滤功能暂停该机的上网功能，待确定计算机主人后再通知其使用ARP专杀工具查杀病毒。这样就保证了校园网的健康运行。目前的路由器一般都有“上网黑白名单”的功能设臵，操作也较简单。

以上的分析查杀过程，在配备简陋的学校校园网内均可实现，基本上可以将ARP病毒的危害降至最低。目前市场上很多的路由器厂商专门推出一些具有ARP病毒防护功能的路由器，它可以在路由器端绑定IP与MAC地址正确信息并按一定频率向网络广播，该种路由器再配合客户端的双向绑定，在ARP的防治上效果非常不错，能还你一个波澜不惊、风平浪静的校园网环境，值得一试！但有些ARP防火墙会将路由器的广播视作是ARP攻击。配备一个功能强大的路由器不仅对ARP的防治有较好的效果，网管员们如仔细分析利用好路由器的系统运行信息，对其它网络病毒的防治诊断也有很好的帮助作用。

台上一分钟，台下十年功，校园网网管员平时的工作默默无闻，网络病毒将我们推上了表演的前台，我们网管员们要想立于不败之地，实现自身价值，一个重要的前提就是平时要做好校园网基本信息知识的积累整理工作，练好内功，加强软实力，这样才能在校园网的一些突发事件面前，做到从容不迫、大将风度。