ARP的分析与解决 ARP

aiping_520

如果您的网络出现,整体突然掉线,或者有不定时的部分机器掉线,再或者出现一台一台机器的掉线.而且一般情况下几种掉线都会自动恢复.那我非常热切的恭喜您,您中奖啦.奖品是ARP欺骗. 不用高兴也不用激动,因为这个奖项量很大,很朋友都在深受其意.ARP到底咋回事,这里咱说道说道. ; i2 m$ h2 H$ ^

$ S7 {( y. H  LARP欺骗原理: 1 _  O6 G, z0 P2 M4 c0 o
在同一NET内的所以机器是通过MAC地址通讯。方法为，PC和另一台设备通讯，PC会先寻找对方的IP地址，然后在通过ARP表（ARP表里面有所以可以通讯IP和IP所对应的MAC地址）调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址，而不是IP地址。 3 s( A* m  t9 M7 ~8 m+ v5 [
但是当初ARP方式的设计没有考虑到过多的安全问题。给ARP留下很多的隐患，ARP欺骗就是其中一个例子。
; N, z0 Z7 n# L3 _- s3 B 网内的任何一台机器都可以轻松的发送ARP广播，来宣称自己的IP和自己的MAC。这样收到的机器都会在自己的ARP表格中建立一个他的ARP项，记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。例如： 192。168。1。11机器MAC是 00:00:00:11:11:11,他在内网广播自己的IP地址是192。168。1。254(其实是路由器的IP)，MAC地址是00:00:00:11:11:11(他自己的真实MAC).这样大家会把给192。168。1。254的信息和发给00:00:00:11:11:11.也就是192。168。1。11..。 有了这个方法欺骗者只需要做一个软件,就可以在内网想骗谁就骗谁.而且软件网上到处都是,随便DWON随便用.要多随便有多随便啊...
/ F- e/ W; ?, S) ` 基于原理,ARP在技术上面又分为,对PC的欺骗和对路由的欺骗.他们的区别在后面的ARP解决里面仔细阐述. 1 [9 j3 L9 R2 A5 U* j5 E
ARP欺骗的起因： & A/ f* P9 K" P# j* u2 _3 J* Z
网络游戏兴起后网络盗号，木马也跟着疯狂。ARP欺骗就是一种很好的盗号方式。欺骗者利用自己在网吧上网时，先找到内网网关的MAC地址，然后发送自己ARP欺骗，告送内网所以的机器自己是网关。例如：192。168。1。55 MAC00-14-6c-18-58-5a 机器为欺骗者的盗号机器，首先，他会先找到内网的网关（内网网关为 192。168。1。1 MAC为XX.XX.XX.XX.XX.XX）。之后他就会发送ARP广播，说自己的IP地址是192。168。1。1 MAC地址是00-14-6c-18-58-5a.这样，内网的所有收到他发信息得机器都会把它误认为内网的网关。所有上网信息都会通过他的MAC地址发给这个机器，由于找不到真正的网关，这些被骗的机器就无法上网。而发送的所有信息都会被这个盗号机器收到，通过分析收到的信息他可以在里面找到有用的信息，特别是有关于帐号的部分，从而得到正在游戏的玩家的帐号，发生盗号事件。 8 O; X$ o$ N/ }! r9 h, v1 u
ARP的发现： 6 V/ g* c- }! {* w
ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别，1。一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限，过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP，使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的)，他是不断的通过非常大量ARP欺骗来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2。打开被骗机器的DOS界面，输入ARP -A命令会看到相关的ARP表，通过看到的网关的MAC地址可以去判别是否出现ARP欺骗，但是由于时限性，这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分.
0 I* t* K( y& j4 m7 k& v5 K ARP解决： $ H7 ?3 g, Z9 m0 R9 J( W
现在看到ARP解决方案,都感觉有点效率低下,而且不够稳定.本人对欣向路由较为了解,以他为例吧.
, T2 j7 A  j4 i+ q. j$ b1 b  h& D$ w  ~  7 C( D2 j; u) B# y7 X) U
1.路由ARP广播.
' j; O# U$ d# ^, I 国内部分硬件路由有此功能,最早是在欣向的路由里面发现这个功能.感觉不错,挺有方法的,但是在软路由里面好像还未发现,软路由的兄弟们加把劲啦.他的原理是路由器不间断的广播正确的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就会不停的每秒广播自己的正确ARP.不管你内网机器是否喜欢收,1秒收一个一秒收一个,收到了就改一次ARP表收到了就改一次ARP表.无穷无尽无止无息,子子孙孙无穷亏也.....如果出现ARP欺骗,欺骗者发出欺骗信息,PC刚收到欺骗信息就收到了正确信息.所以问题也就解决了.但是有个隐患,就是广播风暴的问题.不间断的广播是否会应该内网的网络呢??? (带着问题请教了国内某厂家欣X的工程师,工程师很热情的解除了我的疑惑,感谢一下先).以每秒次的频率发送APR广播在内网是微乎其微的,因为任何一个机器都会有广播发生,多一个ARP最多相当于多几台机器的信息量,对内网是不会有影响的.但是这种方式有他的问题,当欺骗者加大欺骗ARP的频率超过路由时(在欺骗软件上面实现非常容易),还是会造成欺骗的效果.解决也应该很简单就是加大路由器的广播频率,但是欣X的工程师却否定了这种方法,原因请看第2条.
. `0 f6 z: w# k1 J, `, I* e  
6 U. U. S7 x& ~6 b2.超量路由ARP广播. . T* j& w, o1 ?& e: C; h- F
近期发现个别路由厂家宣传可以完全防止ARP问题.我抱着崇敬的心态去学习了一下处理方法,不得不让人失望,是非常失望和痛心.所谓完全防止其实就是前面的路由ARP广播,只是简单的把频率加大到每秒100.200.....次. 这种方法效果单看ARP方面确实比每秒一次要好.但是却是得不偿失,甚至有点.....不说了,免得让人骂.简单给大家分析一下,每秒100为例吧,也就是说,路由器1秒时间会发出100个ARP广播,200台的电脑,每台机器每秒处理100次.如果有10台交换机,就会有10个交换机处理100次.每次交换机都会把信息互相转发,这每秒ARP信息的处理量要按照10N次方＊100去计算的.大家如果了解广播的模式就会清楚,交换家之间会互相不停的传递信息,你发给大家,我收到了,还会发给大家.大家收到了还是要发给大家.这样每台PC最终收到的信息每秒要上万条吧(这个量应该只小没大吧?).每秒都这样干100次.不知道网络内部要成为什么样子??PC的就没事老维护ARP表就不干别的了吗?为了一个ARP,7*24小时的折腾网络值得吗?网络性能要降低多少啊.人满时或者有点内网的小攻击时,网吧不瘫痪估计有点难啊,,,死字很容易写啊.当然平时你是感觉不到的.但是我要问一句想出此方法的工程师,你出这个方案,是为了解决问题吗?" z  D* k. J) v% U
3.极力推荐的方法.静态绑定. 2 I" U0 |# ~7 L, r7 U
ARP解决最有效的方法，就是从根本杜绝他的欺骗途径。 4 z0 w4 t' x0 u+ N( s' _
欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗。
, o; \( I7 r" Y 方法为：找到路由器的lan口的MAC地址，把MAC地址通过静态的方式帮定到每台PC上面。通过命令，ARP -S 可以实现。 首先，建立一个批处理文件。内容只有一行命令，“ARP -S 内网网关 网关的MAC地址 ”，例如：“ARP -S 192.168.1.1 00-13-32-33-12-11 ”.把批处理文件放到启动里面,这样每次开机都会执行这个文件,即使出现ARP欺骗,由于我们设置的是静态方式,PC也不会去理会欺骗的ARP. * O% k% j3 t  `" }
; J1 F1 `3 C( Q" k+ d3 U

  ]( e4 H+ I$ ~4 b 如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示: % E0 Y3 F: `+ y" W( ]8 h$ g
Internet Address Physical Address Type(注意这里)  
: N4 X0 \7 q# f& V, d 192.168.1.1 00-0f-7a-05-0d-a4 static(静态)
: l  k0 o5 o; `/ r: L 一般不绑定,在动态的情况下:
8 B7 u% z- U& T1 x Internet Address Physical Address Type
2 s3 }. {' z: Z  t8 u# O# ~$ L- ? 192.168.1.1 00-0f-7a-05-0d-a4 dynamic(动态) 4 H$ ~2 x  Q! ^3 n

1 T' I0 K4 Q7 u2 g
' o3 P- @( c0 x/ c/ v) M' j1 b ARP对路由的欺骗. $ g& I# U% V2 v6 ^) u5 P) J8 O
做了静态绑定之后,为什么还会掉线呢?还是ARP吗?不幸的是,还是ARP( ARP对路由欺骗).
' `. Y. G9 }, C8 H. ? 因为有种情况下的问题,没有得到解决.大家设想一下,现在的处理方法如果碰到欺骗者不是冒充网关,而是冒充内网的PC会如何呢?答案是掉线,冒充谁,谁掉线.因为路由器收到欺骗ARP后找不到你了,转发给你的信息全部给了欺骗者的机器啦... 我们在PC上面可以绑定网关.难道在路由上面也绑定PC吗? 答案是否定的,难道我内网每台PC的MAC地址都在路由里面绑定,累死了,而且几百个MAC地址看着就眼晕,而且如果有任何改动都需要调整路由器,几百条记录也太累了吧.针对这个问题对多台设备进行了测试,包括3个版本的软路由,欣X,侠X,艾X等等的产品(大家也想测试的话,给当地的厂家代理商说你要试用,简单啊).最终结果不尽人意,软路由3种里面只有1种有可以解决的方法,而且是每台绑定方法.3款硬路由有1款是可以完全防范,2款需要绑定(提醒大家,2款产品都有绑定数量的限制,超过数量无法解决,采购时注意询问).对于1款可以防范的产品做了一些研究但是没有结果,再次打通了欣X的工程师电话,请教处理方法.工程师给出了答案,欣X路由是采用的WINDRIVER的VxWORKSII的操作系统.在效率与安全性要比免费LINUX系统的强很多,这套2代的系统本身就可以维护一个数据库,不从硬件的数据库提取数据,数据表内容都是在PC上网时收集的,对于ARP欺骗根本就不予理睬,针对ARP对路由的欺骗在基础上面就已经给屏蔽了.而且内网可以随意的改动与调整...打住..有点象厂家稿子啦...... . _+ x- e8 n. y3 o
, q7 F. d4 T, {# Z; n- `0 u

6 Y0 a1 l( S( L+ f! W2 M ARP的问题这里基本都提到了,如果还有想法请大家提出来.我们一起讨论.......   N4 n* }2 A/ o! b( h+ d
6 E# ]& d/ |6 H: L8 r4 n) X5 W) y8 w
后面在补充一种ARP欺骗的问题,他就是对交换机,很多带管理的交换机他们都有一张ARP表格需要维护,而且通过这张表来提高数据的交换效率.如果出现ARP欺骗,交换机就无法给目标IP发送数据啦,所以需要在交换机里面做静态ARP绑定. : m3 O) {  M9 |# w

: N6 T6 ^1 }% q; q$ a为什么会有不掉线,一切看似正常的ARP  6 Y7 p; }( W1 S; F8 l
0 w1 U# i7 t% ]) o7 U; C6 G$ X
大家是否出现过网吧丢游戏号,丢QQ号,丢钱包的问题呢?   r  t8 Y" q% X4 y1 r4 }4 X
* K4 F$ ]' X  p: \. n: `0 F
特别是大面积的丢失帐号,很大部分就是ARP造成的.原理是:欺骗者,先骗了PC后骗了路由器. * c- G, i! X! J. c  z
% K" A6 A, F9 u; Y5 k
这种情况下,PC把信息发给欺骗者,然后欺骗者把信息再转发给路由器.当欺骗者收到路由器回来的信息后再发给相对应的PC.这样就可以再不影响内网PC正常上网情况下,截获PC的上网信息,就可以盗你的游戏帐号,盗你的qq号.偷你的钱包他就要换另一个方法了(下一篇文章着重讨论防范偷钱包.) . Y7 u) I5 h+ Q
; R& l- q8 l. d* l, a1 ?, }0 }
大家问题的解决：
3 [  ]. Z, O4 I% U: P1。欣X不需要升级就可以解决ARP欺骗路由器的问题，因为他可以本身就防范，原因就是用了VxWorks II,具体看前面就不详细解决啦。另外,这里重申一点大家容易进入的误区...路由器发送ARP包解决ARP欺骗的方法,是很很笨拙,一秒几百次ARP发送的方法更是.......... - H) O/ l' r0 V: R$ ]/ i/ l
2。杀病毒还是重装系统都没有太多的意义，因为你能保证不在感染吗，能保证么有人在网络内主动运行吗？
( I+ X5 X3 q" W3。对于那些各类的SERVER，确实比较头痛，因为不论是LIUXN还是WINDOWS都要面临各种内网的机器变动啊，调换啊之类的事情。但是有个好消息，欣向有一个类似网管的软件，好象可以解决类似问题。以欣向的技术估计软件不会差了。
5 T# z6 q7 ], t$ X! L  r- `  U* l" C' I* Q# v/ I
4。有朋友提出改动内网PC的IP与MAC，设置为与路由冲突，使路由DWON掉。这个问题超出了ARP的范畴。但是，你说的方法确实破坏力很强，我之前的软路由确实很怕这个东西。但是用欣向的路由就没事啦。 + S5 k# F' s- W0 B7 _# s0 e6 Y# J! z) h
* }1 C$ |, b) m( k
大家有问题继续提，我会尽量和大家一起深入探讨的。。。 / y* @  O: H* N% p- v

0 P1 N  w; j' M( W3 q8 c追加欣向ARP工具，并介绍使用方法与技巧。
2 @# p* R) Z, ~4 j& `! }1 z
' i6 I. O( K$ j: F* P! v/ S0 M) O经过这2天的测试与使用，发现欣向的这个工具还是非常适应潮流地，是大家需要地，是不错地，是个好同志地，是。。。。好了，先和大家探讨一下如何使用。
. C, t# t! @( E+ p+ G* n
# v. v' z/ ^0 c2 P4 N这里给大家推荐的工具包括： 5 U% ?3 G7 u$ S2 @, R/ q+ c

! r8 }- z3 a. J: E4 {: r4 B1。欣向ARP工具。包括很全面的ARP防范的功能。（其中包括WinPcap_3_0.,请务必先安装此软件）
1 E+ F, N: ^3 P7 w
) Y& A7 j7 Q+ @下载地址： http://www.nuqx.com/downcenter.asp 7 n: ^+ E! p) v5 G5 e% I4 p* E

4 _* u, Q' h$ d$ z0 O(试了1个小时，咱这论坛的上传功能实在是不会玩，大家去欣向下吧。)
" m( M! q! h2 v( K
. Z  c! `& C1 v/ S2 d2。抓包看包工具。ethereal-setup-0.10.8。 6 B2 C( f% I, A; a+ K" @! g
* Z$ {4 T! E3 ^
http://www.ethereal.com/distribution/win32/ethereal-setup-0.10.8.exe
2 d% |+ m  J) G! }# P/ B! j7 J
6 K" r" s) z  m" w% y: A欣向ARP工具。（欣全向ARP工具.exe） 8 i* D! x8 X' d$ P, v2 f; w2 a
+ K# Q8 d2 H1 \- [. s
共分5大功能 （软件中所有需要保存文件的功能都会保存在软件所在的目录中）
2 G# |# P% @9 G, Q0 d, o0 u+ P+ N1 w. f6 W! k; g
1。IP/MAC清单
$ y  H) q- P5 i9 W7 Y9 {. j7 U0 w4 T( J9 g5 a
a。选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
# R9 f9 @( K: B/ X0 O0 y: |3 w% w- H; C
b。IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。 7 X+ j/ e3 |5 p9 \  v' O" c' d- K; y
' a8 q7 ~% s9 j6 h0 m3 Z4 y
之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。
5 b" j: U8 t/ Z; n* [7 V# s. m" s( o/ N
2。ARP欺骗检测
# m& @, M' R1 F5 T, c( I  I0 {/ x: B$ @5 ^" T% {& P' R
这个功能会一直检测内网是否有PC冒充表格内的IP.你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP. 5 L, Y, e  X9 w3 W, K8 _) H

' h1 R) g# g+ ?% u- |( p(补充")ARP欺骗记录"表如何理解: # N1 V" K" Y: a; B: m$ j
1 s7 [! {: m$ M" s5 @3 r+ [# ?
" time":发现问题时的时间;  
1 Z& x6 a( V9 y' y7 j7 M
3 W7 C) c" D, ~) u- G; ["sender":发送欺骗信息的IP或MAC;
5 W! t" _9 m" _8 w
$ w5 T( M5 k5 i+ D' F) ?8 o "Repeat":欺诈信息发送的次数;  % J3 q/ X8 N& N' F

2 U( P  U$ _5 M " ARP info":是指发送欺骗信息的具体内容.如下面例子:
4 ?$ R+ Z$ _2 K9 e: e$ I& G8 {& h$ K" D2 E4 s; _( }
time sender Repeat ARP info 1 f  Y6 Q8 b9 C* Q1 M, x

: e7 n4 Z; y6 ^* _7 E0 q22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8 * n0 N2 Y8 q$ v. i

* D: J+ Q, k. d, j9 e这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8.
- t) T  Y- S$ J2 o! Q2 w' r' P1 i; H. I4 _: S5 P7 D  m7 y& n
打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100％的准确。所有请不要以暴力解决某些问题。
9 n! z& t, P5 e5 o# s6 ^
0 x, q) Y3 Y( k: n9 u4 v3。主动维护（快速解决）
; s( m3 a5 Z- N  g; i% G$ g+ g
- T* S" r3 y8 h, ?/ S2 a) L" J这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
4 L  u; D' `: t5 S/ W, P6 `5 L! m
, F/ d/ [, L( h* O"制定维护对象"的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50－100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定方法。 # @0 v# V- z7 V6 s2 [
8 P/ x! ^% o' I: \9 \' u' t7 A3 m
4。欣向路由器日志
- w" z6 s9 Z. k- m* y, N0 ~6 L
) [1 z+ f: M* f1 k+ h; B5 \收集欣向路由器的系统日志，等功能。
4 S, R* j! p$ }9 y# n: n& L; X+ H
5。抓包 : R$ f8 e& P, q* U, K- N6 ~# L3 `

8 F, `# b7 R: i( @& Z' @% a" X. @, z网吧很少接触到包级别的设置或问题。欣向的这个功能很可能把大家带到一个新技术高度，但是对于包的分析比一般的问题要复杂很多了，但是却可以提高对网络的把控力。   Y+ g) N, M8 ~* y! P: r
% D" S* c& G% |+ Y" R
大家通过抓到的包可以分析内网的各种问题。具体这里不解释啦，基本所有的TCP/IP问题都可以分析。 0 `3 N+ B5 j  `/ @/ B- E

1 ^. t' b  W# M) {; Y; O2 b' U 抓包功能里面的空白条是控制抓包规则的，ethereal软件就是给大家分析包用的，大家把包文件直接拖到ethereal里面就可以打开。ethereal即可以抓包也可以看包，如果有机会可以研究一下。
$ J) q* A/ g4 r) r; b6 z! L( Q8 }% D( c( U0 Y5 B
这几天看到很多朋友都在提出一些网络方案,询问是否可以彻底解决ARP问题.还有朋友请求帮忙.不在挨个说了,一起抓吧. 8 X, k5 n* f  g7 I5 {

, d: r5 O' X9 m0 f. k' _, c2 k* H首先要在3个方面考虑,1.路由器.2.PC.3.中间的交换机. 8 V  `8 K9 p8 v2 l- G+ x0 O
) }& ~' c. A& d' B  N! B
1.路由器要选择可以防范ARP对路由器欺骗的,应该如果选择看自己的情况.具体品牌就不推荐了,后面我会出一个真假ARP防范区别的方法.让大家可以放心的采购.
' T  X" c: c( V$ _2 W' u; e( G) ?$ H8 ]- @. I4 \2 n
2.PC都需要对路由器绑定,还有比较重要的服务器.(一般服务器绑定不是很重要) / b' P0 |* u  h* u. V
* e9 _6 K/ s8 e5 n  F5 C
3.中间的交换机要关闭MAC管理功能,或者做交换机下面的PC与其他连接交换机端口的MAC-IP绑定.再或者就选用不带MAC管理的交换机.这个功能对网吧其实真是没大用,因为主要业务还是对外网的访问,内网的那电流量再现在强大的交换机面前可以说忽略不计. 7 j) `: I. ~6 f

2 [) P: p$ r; H  h; _1 B以上3点全部做到ARP就无作恶之处啦..... " N( T. A( z6 x# }
, Y- d2 S" Y: |  e
真假ARP防范识别.
: X; t' p9 h9 |' z9 U: n, U8 A, K$ ~( [
好多朋友都再说ARP的防范啊,什么100次200次的啊.看着那个烦啊.  . N5 W8 D9 H1 _0 f! W# }
$ T; ]# v! j8 a
给大家一个检测方法,简单有效.
9 \) X. _: ]8 V: m& O9 [9 @8 ]. g* G: X) i7 i
1.测试PC的欺骗防范. / j  H0 T6 ]) O) ?
( z; v3 P2 ^# T
,关闭路由器,把PC1设置为与路由器同IP,打开欣向ARP工具.记录PC1的IP MAC,然后把PC1设置为"主动维护"里面,............这样就把模拟的ARP攻击的环境假设好了.再把路由器打开,按照正常设置内网的PC上网.然后在"主动维护"里面开始主动维护,,这时路由器会一直广播错误的路由器MAC...先设置到100次,,只到500次看看是否可以防范....现在就看你的路由器的能力了.
) |' E. M; B7 f/ J* f6 _
/ u. a# i7 Z( F) M2.对路由的欺骗防范. 1 S, z4 U. z+ r; ]2 A

( r/ \1 e5 x' r* @找3台电脑,先设置错误的IP.然后打开ARP工具记录,把3个IP添加到主动维护里面,之后在把3台电脑的IP改为正确.........然后在开始主动维护....看看是否3台电脑还是否可以上网....黑白立判.
& p' ~* G' C6 x( O; \ARP攻击的原理与解决方法(第三版）含如何在局域网内查找病毒主机  8 \. j* L8 z+ |( J" [7 \

& C; W% h4 T& O7 W# Q* |+ J【故障原因】  
9 r' W$ v& @$ U: s. Q% D; z4 r
, H& R/ B" \* ~1 C; G局域网内有人使用ARP欺骗的木马程序（比如：魔兽世界，天堂，劲舞团等盗号的软件，某些外挂中也被恶意加载了此程序）。  
0 l  ~3 N* h" k9 e/ G
4 ?" d! G! B3 s& }/ F% ]7 M【故障原理】  & I% i/ [- }2 U2 c
0 n7 I- d0 G$ d$ f2 k0 ~# b' ?
要了解故障原理，我们先来了解一下ARP协议。  2 \4 c- o- v% N- m9 z

4 ~' `. `% u, V9 l- h8 q+ r在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。  " |8 M' s5 e) u1 }: A$ ], C7 C. Q

8 ?/ d& B0 w5 y* j- UARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。  
+ k0 y* R" F; |( O$ |% n2 e. A' O4 ]) a, U1 U
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。  
& G+ N1 w0 q7 y# u6 b1 ~3 I7 M8 y8 p# m$ \& T1 c1 x
主机 IP地址 MAC地址  5 b8 K3 X/ ~1 r1 W: C  v7 g5 s
A 192.168.16.1 aa-aa-aa-aa-aa-aa  * b/ a& Y2 r: r- w
B 192.168.16.2 bb-bb-bb-bb-bb-bb  
1 e* ^& `: R' T; k: k3 NC 192.168.16.3 cc-cc-cc-cc-cc-cc  & x+ A( ~' f  B$ ?- S! p
D 192.168.16.4 dd-dd-dd-dd-dd-dd  8 s+ k: j. p4 y* n( o0 ^. Q" {! ~" G

4 y$ o9 g5 E; ^" F1 P7 n
& M9 z; g3 B% c9 G6 M我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。  
) e. d( o6 d. [/ b7 Q0 _* g# L: U
从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。    X( f$ U' h+ c" j) x. F3 n: c
0 D4 j/ q: B6 z1 {
A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。  & i  G1 t+ I, y) Y+ S+ Y
7 u/ h' Q* e8 O3 Q' L
做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。  
" u9 f7 l$ i3 g
9 W, I7 h( g% l6 o! Z2 [/ H4 BD直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。  . o8 M" ?$ O; u1 s/ D2 z' `/ J

- E& K* C( d. g. J9 ^【故障现象】  1 _' v: a2 p) Z: P

1 M9 v) ^! l' M8 j& P当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。  6 H9 U0 k* ?8 I0 x' A+ [

/ [7 O+ t% s# `  ?! ?' t9 ~切换到病毒主机上网后，如果用户已经登陆了服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。6 c- n( S: I  E6 `. @$ a1 ~. N
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。  
, D7 r" G' o9 T  F- z* u  ?- Y4 w
【HiPER用户快速发现ARP欺骗木马】  
2 D' j1 U6 K1 \- [$ Q; t( h
! \4 }% x. a/ M7 B% h' g在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）：  
$ n  H% q6 A- J1 L$ g0 A1 N, V2 |$ ]1 U/ j1 m' ?
MAC Chged 10.128.103.124  
0 V5 x5 ]5 n0 R' W. q& [9 |" |MAC Old 00:01:6c:36:d1:7f  
0 p) T. X9 k/ @" i( T2 oMAC New 00:05:5d:60:c7:18  ' f6 N% R9 D( W4 Z* r, N+ K

0 O' v. i( I+ G这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。  ; X; M, a& P) X' Z; `
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。  
5 {/ J1 q7 q# X7 c* l$ u
0 u! T; |7 E: x& d$ t) u【在局域网内查找病毒主机】  
8 L1 X# `  I% ]( C; T
1 |, q- A2 V& O' ?: F. w4 u在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。  " R/ V9 r  B* B; O
! O5 _* b& k( h, _, A/ q, g& T. P' c5 `
NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP/和MAC地址。  
8 a) I: n1 Y6 A6 @' R" d/ E7 i! i6 z1 t$ h1 v
命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。    L3 u! H* S& H- ^9 i; T

4 K: ^! \/ L! }) C) ^# FNBTSCAN的使用范例：  
% O: t" F2 H5 N1 I3 A$ I! n
6 p8 l7 z' x: h8 K- R# D( K9 X; K假设查找一台MAC地址为“000d870d585f”的病毒主机。  1 u- ^7 t) b* N' @1 J0 k% j: j
2 p$ ~) e; D( E' ]
1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。  ' @. O( r/ Q$ |* T& F. S

. R( g( G2 E2 V2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。  
) c6 @6 m/ W* j, L0 x( ]1 Z0 [4 F! I0 T
3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。  8 N$ L9 T& H2 ^! [
9 h. }( s2 ]4 l! i
【解决思路】  ( f1 _. L9 g' `$ ]

9 ~' t4 K/ c1 F4 \! e1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。  
, T2 a5 Z6 X& G% P/ g! v( l
" t" c* J/ Y5 @3 D2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。  ) a1 K- q' F  |, d6 z! ]
! x* @( \, P# f( C3 D$ W4 N
3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。  6 J2 m% b- P* W5 W+ r6 n( _! s
% ^2 P# w" Q# L1 W0 ]/ {
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。  
7 u6 n, |- c. s, M  Y
) b# ?5 T0 _1 U8 T) S2 K, S5、使用"proxy"代理IP的传输。  
  B, J+ c3 N* m( ]( v9 G& s
' W" w- y7 F+ ?2 a4 @1 f9 \- d6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。  
0 l. B+ `# O3 p0 u
  C  v  w6 C" b; b, Y7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。  
* |( Z5 |6 r0 ^: g' i5 n6 B
0 k7 r7 T8 j3 @# i* _8、管理员定期轮询，检查主机上的ARP缓存。  
# {& o' c$ a6 j- c" d7 Q2 B8 n7 ~
. z5 U! E; Z# D3 ]. [7 M# D' f9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。