用抓包的方法处理ARP病毒欺骗攻击

最近网络中有主机频繁断线， 刚刚开始还比较正常， 但是一段时间后就出现断线情况， 有时很快恢复， 但是有时要长达好几分钟啊， 这样对工作影响太大了。 最初怀疑是否是物理上的错误， 总之从最容易下手的东西开始检查， 检查完毕后没有发现异常！突然想到目前网上比较流行的ARP攻击， ARP攻击出现的故障情况与此非常之相似！对于ARP攻击， 一般常规办法是很难找出和判断的， 需要抓包分析。

　　1.原理知识

　　在解决问题之前， 我们先了解下ARP的相关原理知识。

　　ARP原理：

　　首先， 每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表， 以表示IP地址和MAC地址的对应关系。 当源主机需要将一个数据包要发送到目的主机时， 会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址， 如果有﹐就直接将数据包发送到这个MAC地址；如果没有， 就向本地网段发起一个ARP请求的广播包， 查询此目的主机对应的MAC地址。 此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

　　网络中所有的主机收到这个ARP请求后， 会检查数据包中的目的IP是否和自己的IP地址一致。 如果不相同就忽略此数据包；如果相同， 该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中， 如果ARP表中已经存在该IP的信息， 则将其覆盖， 然后给源主机发送一个ARP响应数据包， 告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后， 将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中， 并利用此信息开始数据的传输。 如果源主机一直没有收到ARP响应数据包， 表示ARP查询失败。

　　ARP欺骗原理：

　　我们先模拟一个环境：

　　网关：192.168.1.1 MAC地址：00:11:22:33:44:55

　　欺骗主机A：192.168.1.100 MAC地址：00:11:22:33:44:66

　　被欺骗主机B：192.168.1.50 MAC地址:00:11:22:33:44:77

　　欺骗主机A不停的发送ARP应答包给网关， 告诉网关他是192.168.1.50主机B， 这样网关就相信欺骗主机， 并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66， 网关真正发给主机B的流量就转发给主机A；另外主机A同时不停的向主机B发送ARP请求， 主机B相信主机A为网关， 在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66， 这样主机B真正发送给网关的数据流量就会转发到主机A；等于说主机A和网关之间的通讯就经过了主机A， 主机A作为了一个中间人在彼此之间进行转发， 这就是ARP欺骗。

　　2.解决方法

　　看来只有抓包了， 首先， 我将交换机做好端口镜像设置， 然后把安装有科来网络分析系统的电脑接入镜像端口， 抓取网络的所有数据进行分析。 通过几个视图我得出了分析结果：诊断视图提示有太多“ARP无请求应答”。

　　在诊断中， 我发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。 而且在参考信息中提示说可能存在ARP欺骗。 看来我的方向是走对了， 但是为了进一步确定， 得结合其他内容信息。 查看协议视图了解ARP协议的详细情况，

　　ARPResponse和ARPRequest相差比例太大了， 很不正常啊。 接下来， 再看看数据包的详细情况。

　　我从数据包信息已经看出问题了， 00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机， 应该是在告诉大家它是网关吧， 想充当中间人的身份吧， 被欺骗主机的通讯流量都跑到他那边“被审核”了。

　　现在基本确定为ARP欺骗攻击， 现在我需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机， 幸好我在平时记录了内部所有主机的MAC地址和主机对应表， 终于给找出真凶主机了。 可能上面中了ARP病毒， 立即断网杀毒。 网络正常3.总结（故障原理）

　　我们来回顾一下上面ARP攻击过程。 MAC地址为00:20:ED:AA:0D:04的主机， 扫描攻击192.168.17.0这个网段的所有主机， 并告之它就是网关， 被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了， 但是从我抓取的数据包中， MAC为00:20:ED:AA:0D:04的主机并没有欺骗真正的网关， 所以我们的网络会出现断网现象。

　　4.补充内容

　　对于ARP攻击的故障， 我们还是可以防范的， 以下三种是常见的方法：

　　方法一：平时做好每台主机的MAC地址记录， 出现状况的时候， 可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况， 参照之前做好的记录， 也可以找出问题主机。

　　方法二：ARP–S可在MS-DOS窗口下运行以下命令：ARP–S手工绑定网关IP和网关MAC。 静态绑定， 就可以尽可能的减少攻击了。 需要说明的是， 手工绑定在计算机重起后就会失效， 需要再绑定， 但是我们可以做一个批处理文件， 可以减少一些烦琐的手工绑定！

　　方法三：使用软件（Antiarp）使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。

了， 呜呼！整个世界又安静了！