教你使用Anti ARP Sniffer查找ARP攻擊者

最近經常接到用戶電話抱怨，上網時斷時續，反映有時系統還會提示連接受限、根本就無法獲得IP，網關交換機無法ping通，而指示燈狀態正常。重啟交換機后客戶機可以上網，但很快又濤聲依舊！嚴重影響了企業網絡正常使用，還有可能造成經濟損失。

根據用戶描述的情形和我們多次處理的經驗，可以肯定是ARP攻擊（ARP欺騙）所致。知道了問題所在，但如何解決呢？

雖然可以采用在交換機綁定MAC地址和端口、在客戶機綁定網關IP和MAC地址的“雙綁”辦法預防，但由于網管的工作量太大，且不能保證所有的用戶都在自己的電腦上綁定網關IP和MAC地址，所以我們采取以下措施來預防和查找ARP攻擊。

這里推薦用戶在自己的電腦上安裝第三方工具軟件：ColorSoft開發的ARP防火墻（原名Anti ARP Sniffer）。該軟件最大的特點是在系統內核層攔截虛假ARP數據包，并且主動通告網關本機正確的MAC地址，這樣可以保障安裝該軟件的電腦正常上網，并且攔截外部對本機的ARP攻擊。

如果發現內部ARP攻擊，直接處理本機就行了；如果發現外部ARP攻擊，則根據實際情況通過攻擊者的IP地址和/或MAC地址查找該攻擊者電腦。下面就以實例介紹一下該軟件的詳細使用方法：

1、在同一網段的電腦上下載ARP防火墻、安裝、運行。第一天，一切正常，沒發現攻擊行為。第二天，開機不到半小時就發現了ARP攻擊，如圖1

圖1 ARP防火墻發現外部ARP攻擊

2、為了不冤枉好人，進一步確認攻擊者的MAC地址。進入核心交換機，查看該網段的MAC地址表。我們的核心交換機是華為的，鍵入命令“Display arp vlan xx”（xx為所要查找ARP攻擊網段的VLAN號），回車。顯示如圖2所示結果。

圖2 核心交換機上顯示的MAC地址表

為了方便查看，我們將該數據拷貝到Word中并按MAC地址排序。在Word中，選中該數據，從“表格”菜單中選擇“排序”菜單項，彈出“排序文字”窗口，“主要關鍵字”選“域 3”即MAC地址，如圖3 

圖3 排序MAC地址表

排序后很容易就可以看到有四個IP地址對應于同一個MAC地址（如表1）！我們知道MAC地址是全球唯一的，這與ARP防火墻檢測到的結果相吻合，現在MAC地址0011-5b2d-5c03所對應的電腦肯定有問題了。這些IP中應該只有xxx. xxx. xx.92是真實的，其余的都是偽造的。由于我們的電腦一直在監測，該攻擊者電腦剛對外攻擊，就被檢測到了，所以它偽造的IP地址還不多，我曾經發現過偽造了近10個IP地址的情形，而該網段總共有二十多臺電腦。

表1 偽造的IP地址

3、查找ARP攻擊者
如果是靜態IP，找出IP地址登記表，很容易就可找到發送ARP攻擊的電腦。由于我們用的是動態IP，又沒有每臺電腦的MAC地址，所以雖然知道了攻擊者的IP地址和MAC地址，但是萬里長征還只邁出了第一步。

我們的DHCP服務器是基于Microsoft Windows 2003的，打開DHCP管理器，從地址租約里查看IP地址xxx. xxx. xx.92對應的計算機名，是隨機的，沒什么意義。

登錄到有所要查找網段VLAN的各接入層交換機上，逐一查看該交換機上的MAC地址表。我們用的是安奈特的交換機，在Web界面下按VLAN查詢MAC地址表，看是否有MAC地址為0011-5b9d-7246的記錄。一直查到第15臺交換機，才終于找到罪魁禍首，結果如圖4，可以看出該MAC地址對應于交換機的第16口。別的廠家的可網管交換機也都有查看MAC地址的功能。

圖4 接入層交換機上的MAC地址表

4、剩下工作的就簡單了，先將該交換機的第16口Disable，然后查找用戶上網登記信息，通知該用戶處理自己的電腦。

最后，推薦幾點防范ARP攻擊的措施：
1、在交換機上劃分VLAN，這樣即使網絡中存在ARP攻擊，也僅影響該VLAN的用戶，縮小受影響范圍和查找范圍。
2、要求用戶安裝ARP防火墻。既可防止來自外部的ARP攻擊，也可防止本機向外發送ARP攻擊。一旦發現攻擊及時與網管聯系。

（截至本文完稿，ARP防火墻的最新版本是v4.3.1，下載地址為http://www.antiarp.com/download.htm。）
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]