安全-局域网ARP攻击解决方案(绑定mac).doc

局域网ARP攻击解决方案目前有一种网络破坏行为很常见，主要发生在局域网中，这种破坏行为利用了ARP地址解析协议的工作过程，故障现象是：忽然整个内部网络的电脑全部不能上网了、或者一台一台掉线。发生故障以后，只需要将电脑重新启动或者交换机重新启动就可以恢复正常。

这种破坏行为利用了ARP协议的工作过程，一般是内网某台电脑中了病毒，病毒无规律的自动进行破坏，或者是内网某台电脑的操作者故意发起攻击。本文档对于这种攻击将进行简单的分析介绍并给出解决方案。

一，攻击原理分析

在局域网里每个节点都有自己的IP地址和MAC地址。如上图是一个局域网示意图，图中给出了三对IP地址和MAC地址的组合，如下表格：

IP 地址MAC 地址

网关路由器192.168.1.100-00-00-00-00-01

电脑A192.168.1.2000-00-00-00-00-20

电脑B192.168.1.3000-00-00-00-00-30

如果电脑A需要上网，电脑A就需要将数据包发送给局域网网关路由器，那么电脑A 必须知道网关路由器的MAC地址，所以电脑A就会发出询问的广播包，询问网络里网关路由器的MAC地址是多少（如上图绿色线条）？

网关路由器收到电脑A的询问广播包后，获知并记录了电脑A的MAC地址，然后回复电脑A（蓝色线条所示），告知电脑A自己的MAC地址是多少？这样电脑A就获知了网关路由器的MAC地址，在相互获知并记录了对方的MAC地址这个基础上两者才开始正常收发数据包。

电脑A获知网关路由器的MAC地址后，将这样一个信息动态保存在自己的ARP地址表中，可以动态即时更新。另外单位时间内电脑A和网关路由器之间没有传输数据包的话，电脑A和网关路由器都会将保存的相应的ARP表条目删除掉。等到有需要的时

候，再次通过上面询问的方式重新获取对方的MAC地址就可以了。

上面这样一个询问对方MAC地址，然后相互发送数据包的过程一直正常运转着。忽然，ARP攻击发生了，示意图如下：

如上图所示，局域网中某台电脑（IP地址为192.168.1.30）发起ARP攻击，它向局域网中发送了一个ARP广播包（红色线条所示），告诉所有的电脑：“现在进行广播，局域网的网关路由器MAC地址已经不是以前的00-00-00-00-00-01了，而是新的MAC地址00-00-00-00-00-30 ，请各位更新自己的ARP表。”

就这样所有的电脑都被欺骗了，将自己的ARP条目条中对应网关路由器的MAC地址更新为这个假网关的MAC地址，更新过以后，这些电脑凡是发往网关的数据包都不再发向00-00-00-00-00-01这个正确的MAC地址，而是发往了错误的MAC地址00-00-00-00-00-30（绿色线条所示），因为所有电脑都被欺骗并更新了自己的ARP条目。

根据上面的演示，所有本应发送到正确网关路由器MAC地址的数据包，都发往错误的假网关MAC地址了，而一般发往网关路由器的数据包都是去往互联网的，所以发生ARP攻击最常见的现象是：瞬间所有需要上网的电脑，都无法上网！这个时候无论是PING网关路由器的IP地址或是尝试登录网关路由器的管理界面，都是失败的，因为所有的数据包都发向了错误的00-00-00-00-00-30而不是真实的网关路由器的MAC 地址。

上面我们简明扼要的分析了ARP攻击发生的过程，既然找到了病因，就可以对症下药了。从上面的分析可以得出，故障出现的原因：是因为每台电脑上记录真实网关路由器MAC地址的ARP表是动态的，是允许被动态更新的。如果在每台电脑上采用固定的ARP表条目，不允许动态更新，这样即使有恶意的ARP欺骗包在网络里面进行广播，因为每台电脑的ARP表中都采用静态绑定的方式，将真实网关的MAC地址固定了下来，这样就可以应对ARP攻击的发生。

二，ARP攻击判断

如何判断网络里面发生了ARP攻击呢？