企業利用網絡管理防范與處理ARP欺騙、攻擊的實踐

摘要：文章從企業網絡安全的需要出發，提出如何利用網絡管理系統，防范和處理網絡攻擊中比較常見的ARP欺騙與攻擊的過程。并給出了近年來一些典型企業網絡中存在的ARP欺騙與攻擊進行實踐分析。

關鍵詞：網絡管理；ARP欺騙；ARP病毒攻擊；IP地址管理；排查與防控手段

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1006-8937（2012）26-0076-04

回顧企業網絡安全運行維護工作，有必要總結歸納近年來企業級網絡管理系統和網絡管理體系結構有效維護經驗，有效利用網絡管理防范與處理ARP欺騙、攻擊相關經驗。

從近年的網絡運維，網絡管理人員不斷接到網絡用戶反映——“所在的網絡在上網應用時網絡時斷時通，有時基本處于無法使用的狀態”。而與此同時網絡流量管理在對相應網段的監控中又沒有異常情況發生，所以一時間很難使用常規的網絡管理手段、經驗加以判斷與網絡定位，從而給網絡管理與網絡維護提出了新挑戰。

由于這種網絡故障來的較突然，既沒有可以參考的經驗，又沒有可用的網絡協議分析儀等條件進行客觀數據的實地采集，所以我們一開始采用的方法就是在網絡交換機處對網段進行人為手工的“再細分”，用逐段排除法對有問題的PC機進行定位后再采取整治方法，但這種方法費時費力，排除故障時間長。通過對故障網絡現場觀察和體會，加上對網絡TCP/IP協議的分析后，得出對ARP網絡欺騙和ARP網絡病毒攻擊的初步感性、理性雙重認識。那就是如何認識ARP欺騙與攻擊的共同點和區別，采取有效的防控手段來遏制這些網絡安全威脅。

1 ARP欺騙分析

ARP協議是一種將IP轉化成以IP對應網卡的物理地址的協議，或者說ARP協議是將IP地址轉化成MAC地址的一種協議。它靠內存中保存的一張表來使IP得以在網絡上被目標機器應答。在我們企業網絡架構的Vlan中，以太網的每一幀有兩種方式傳輸。一種對外傳，就是用戶有一個需求，當需要透過路由將網絡幀轉發到別的Vlan時，需要通過本地Vlan的網關。另外一種是內傳，當有用戶需求就在本身這個Vlan網絡中時就不需要網關了。

當遇到ARP欺騙的時候，我們就會發現原本發送給本地Vlan網關的數據幀，沒有得到本地Vlan網關MAC正確的回應。從而導致用戶任何應用都沒有辦法使用了，就感覺到反復“掉線”或者“斷線”，網絡好像處在“震蕩”中，迫使網絡用戶重新啟動自己的計算機以期重新獲得聯網的需求，此時正好中了欲進行ARP欺騙計算機的“招”，當用戶在重新啟動自己計算機獲得IP地址和本網段網關MAC地址時，進行ARP欺騙的計算機就會以自己網卡的MAC地址代替本網段網關的MAC地址，以至于給用戶一個重新獲得上網的感覺，其實用戶這時所有的外傳以太網幀全部發給了正在行使ARP欺騙的計算機，這就是ARP欺騙在一個Vlan中的基本原理。

進行網絡ARP欺騙的計算機在進行MAC欺騙的過程中，會將已知某其它主機的MAC地址用來使目標交換機向欺騙計算機轉發以該主機為目的地址的數據幀。通過發送帶有該主機以太網源地址的單個數據幀辦法，網絡欺騙計算機改寫了CAM表格中的條目，使得交換機將以該主機為目的地址的數據包轉發給該網絡實施ARP欺騙的計算機。除非該主機重新啟動PC并從網絡中獲取地址時CAM表中對應的條目會被再次改寫，以便它能恢復到原始的端口。但是否會再次受到ARP的MAC欺騙就取決于本網段中是否存在這樣的欺騙計算機了。

網絡欺騙——MAC的欺騙從來不會停止于只在本網段內進行“欺騙”，它很快就演變為與網絡病毒相結合的具有網絡攻擊特征的更具傳染與殺傷力的——“地址解析協議（ARP）攻擊”。

當有人在未獲得授權就企圖更改MAC和IP地址ARP表格中的信息時，就發生了ARP攻擊。通過這種方式，黑客們可以偽造MAC或IP地址，以便實施如下的兩種攻擊：“服務拒絕”和“中間人攻擊”。

目前以“服務拒絕”演變出來的攻擊以網絡上多種病毒為主，它們會發送假冒的ARP報文，比如發送網關IP地址的ARP報文，把網關的IP對應到自己的MAC上，或者一個不存在的MAC地址上去，同時把這假冒的ARP報文在網絡中廣播，所有的內部PC就會更新了這個IP和MAC的對應表，下次上網的時候，就會把本來發送給網關的MAC的報文，發送到一個不存在或者錯誤的MAC地址上去，這樣就會造成網絡斷線了。

這就是ARP地址欺騙攻擊，造成內部PC和外部網的斷線，該病毒在滿足一定條件的時候會表現的特別猖獗。也對企業內部分局部網段造成非物理“斷網”的中斷網絡破壞，由于它與網絡病毒相結合，所以無論在傳播的速度和攻擊特性都有較大的“聚變”，ARP 地址欺騙攻擊的實施是通過偽造IP地址和MAC地址實現ARP欺騙的同時，能夠在網絡中產生大量的ARP通信量，使網絡阻塞或者實現“中間人攻擊”（man in the middle） ，進行ARP重定向和嗅探攻擊。當攻擊源大量向局域網中發送虛假的ARP信息后，就會造成局域網中機器ARP緩存的崩潰。

下面給出ARP欺騙攻擊在Vlan229網絡交換機上所看到的特征。

3 原因分析

從對感染ARP欺騙的欺騙攻擊病毒計算機進行現場查殺和計算機系統安全基本要求方面的檢查來看，這些計算機大多存在如下的共同特征：

①系統安全補丁嚴重缺失，有的Winxp在SP2后只有一個補丁，所以補丁缺少很多（約兩年）。

②計算機開機進入系統時幾乎都缺少系統應有的“口令”。有的只有弱口令。

③大部分這樣的計算機系統無防病毒軟件或沒有及時對防病毒軟件升檔，特別是企業網絡中使用的Symantec通知升級后不執行升級就導致防病毒策略與防病毒代碼無法及時更新。

④有的網絡用戶違規下載并安裝“網絡游戲”或使用帶毒的“實時通信軟件”所至，如“傳奇”和“QQ”等。

⑤有的部門信息聯絡員沒有及時將計算機安全基本要求宣傳到位。

⑥有的部門領導忙于生產而無法具體落實計算機系統安全的相關規章制度。

4 利用網絡管理防范與處理

4.3 對主要網絡應用進行必要的網絡細分

從對企業總部大樓十二樓Vlan241和原基建大樓Vlan226網絡的整改后的使用效果來看，網絡規劃在必要的網段上要從多方面考慮網絡應用的實際需要，特別是要從防控類似ARP欺騙和欺騙攻擊病毒上考慮對重要網段的“細分”工作。企業總部大樓十二樓和基建大樓的網絡在被“細分”后，實際使用和管理上較整改以前都有較好的網絡使用和網絡安全的效果，充分說明了這一點。

4.4 用網絡管理軟件和工具軟件進行預防

充分利用網絡管理軟件的“IP地址管理”在MAC與IP綁定上的作用，對企業網絡上運行的計算機系統進行全天候不間斷的監控，再利用類似于Antiarp這樣的工具軟件對有問題故障網段進行現場“抓獲”。

5 結 語

在我們這樣大型國有企業網絡中，網絡故障錯綜復雜，不借助專業網絡管理軟件和認真細致地對網絡故障分析，很難對非物理性網絡故障，類似ARP欺騙和欺騙類攻擊病毒引起的網絡故障進行排查帶來很大的困難，同時會給網絡產生巨大的安全威脅。

所以，對于企業的網絡運行，需要網絡管理人員充分利用網絡管理工具，對網絡進行長期有效的監測和分析，才能最大程度地排除可能的網絡故障和網絡安全威脅。然而計算機系統安全是與各個使用計算機的企業網絡終端用戶密切相關的，計算機安全必須及時、有效地去“實施”的觀念離實際的網絡安全要求還相差的甚遠，僅靠企業每年要求信息中心利用“總廠例行崗檢”和“計算機系統專項安全大檢查”的方法來維持網絡安全，那是無法適應日益變換和增長的網絡安全需要的。

近年來在網絡安全運維實踐中在技術層面上總結出一些行之有效方法，讓參加企業IT網絡運維的同行們能有效地共享，充分利用網絡管理系統已有的功能，深化網絡與信息系統的安全運行具有重要意義。

參考文獻：

[1] 卿斯漢，蔣建春.網絡攻防技術原理與實踐[M].北京:科學出版社，2004.

[2] [美]KarenWebb著.李逢天，張帆譯.組建Cicso多層交換網絡[M].北京:人民郵電出版社，2010.