ARP欺骗问题
有1000余台电脑,按照每个楼层划分成不同VLAN,简易拓扑如图。中心交换机使用的是3COM的7700,在7700上划分VLAN,楼层交换机使用3COM的4400,终端计算机用户与楼层交换机相连。访问策略要求各个VLAN之间不能访问,VLAN内的终端用户可以相互访问。每台计算机使用DHCP的方式获取IP地址以及DNS网关。各个VLAN的网关由中心交换机统一设置,使用中心交换机默认的MAC地址。
 故障现象
最近,部分用户反映频繁掉线,局域网与Internet链接速度突然变慢甚至断开。重新启动后工作正常,但是工作一段时间以后,故障重现。 出现故障的用户都是集中在物理建筑的7层,对应的VLAN就是VLAN 7。其他VLAN内没有发现类似状况,初步认为可能是病毒或木马造成的网络堵塞,出现问题可能是VLAN 7内的用户。 VLAN 7网关的IP地址为:192.168.61.202,对应的MAC地址为:00- VLAN内的用户使用DHCP的方式获得IP地址,即动态获取。 故障排除
对故障机进行分析 在出现故障的用户计算机上使用DHCP获取的IP地址正常,使用ipconfig/release释放IP地址后,使用ipconfig/renew重新获取IP地址。 使用MAC地址解析工具解析MAC地址,在命令行模式下输入“Arp -a”,在没有出现故障的计算机上执行同样命令比较,发现两台计算机解析网关获取MAC地址不同。 使用局域网查看工具(LanSee)扫描VLAN 7下所有用户的IP地址和MAC地址,发现故障机MAC地址为 将故障机的网关绑定为正常网关
在故障机上安装“Anti ARP Sniffer”arp检测工具,启用“获取网关MAC地址”和“启用自动防护”功能,可以监测到欺骗源。立即进行测试,发现有机器正在攻击本台机器。 从日志列表中看到目前此计算机正在遭受MAC非法攻击,而且来源都是同一台计算机。由此可以断定,在VLAN中的ARP欺骗是由MAC地址为 定位到欺骗源以后,找到用户为WW的计算机,拔掉网线,继续监测,“Anti ARP Sniffer”arp检测工具没有检测到欺骗数据包。 将故障机断开网络后,使用防病毒软件对机器进行杀毒,清除木马,完成后接入网络,跟踪监测一段时间之后,没有发现类似的故障。  欺骗机理
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址。在局域网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但目标MAC地址如何获得呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,保证通信的顺利进行。 以主机A(192.168.100.1)向主机B(192.168.100.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,询问目标IP的MAC地址,网段内的所有主机都会收到这个询问,但网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。 ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表长度,加快查询速度。 ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在局域网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址欺骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。 由于ARP欺骗的木马程序发作时会发出大量的数据包导致局域网通讯拥塞,加上其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从默认的网关上网,用户重启动机器就可以恢复正常。 MAC地址解析工具——ARP
ARP(地址转换协议)是TCP/IP协议簇中的一个重要协议,通常用来确定对应IP地址的网卡物理地址、查看本地计算机或另一台计算机的ARP高速缓存中的当前内容,以及用来将IP地址和网卡MAC地址进行绑定等。  查看IP-MAC对照表
在系统的ARP高速缓存中,记录了IP与MAC地址的对应数据,可通过arp -a命令来获得已经绑定的IP与MAC地址,其中“static”表示该数据是静态的,“dynamic”表示该数据为动态的,动态数据在下次启动时会消失。 按照缺省设置,ARP高速缓存中的项目是动态的,每当发送一个指定地点的数据包且高速缓存中不存在当前项目时,ARP便会自动添加该项目。一旦高速缓存的项目被输入,它们就已经开始走向失效状态。例如,在Windows网络中,如果输入项目后不进一步使用,物理/网络IP地址对就会在2~10分钟内失效。因此,如果ARP高速缓存中项目很少或根本没有时,并不一定是网络故障导致的,通过另一台计算机或路由器的ping命令即可添加。所以,需要通过arp命令查看高速缓存中的内容时,可先试用ping命令测试到该计算机的连通性。 绑定IP与MAC地址
在管理网络时,经常会遇到IP地址冲突的问题。这是因为有些用户乱设IP地址,造成冲突,如果与服务器的IP地址相冲突,还会造成网络故障,其他用户将不能与服务器正确连接等。有些用户为了上网,还会盗用IP地址。为防止IP地址冲突以及IP地址盗用,可以使用ARP命令将IP与MAC地址一一对应起来,这样,只有网卡设置了被绑定的IP地址才可正常使用,从而有效地避免网络故障。  |
digit
博客统计信息
热门文章
最新评论
友情链接