在局域網(wǎng)中，IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）是通過ARP協(xié)議來完成的，ARP協(xié)議對網(wǎng)絡(luò)安全具有極其重要的意義。主機通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。本文通過一次經(jīng)典的分析案例，讓大家對這種攻擊方式有一個清晰的了解。

案例背景

辦公機的網(wǎng)段是192.168.200.X/24的，辦公機的網(wǎng)關(guān)地址是192.168.200.254在Cisco 3560上，服務(wù)器的地址段為10.139.144.X/24。

在辦公區(qū)訪問服務(wù)器區(qū)時，會出現(xiàn)時通時斷的現(xiàn)象。辦公機是通過DHCP來獲取IP地址，當訪問出現(xiàn)不通時，重新獲取一下IP地址，就可以連通，但是用一會又會出現(xiàn)訪問中斷的情況。該局的網(wǎng)絡(luò)環(huán)境比較簡單，如下圖所示：

案例分析

出現(xiàn)故障時，通過Ping服務(wù)器地址發(fā)現(xiàn)無法Ping通，然后通過Ping辦公機的網(wǎng)關(guān)地址，發(fā)現(xiàn)網(wǎng)關(guān)地址也無法Ping通。查看辦公機的ARP表發(fā)現(xiàn)網(wǎng)關(guān)地址對應(yīng)的MAC地址為全0的MAC地址。

通過上面的分析測試我們可以了解到，當主機無法訪問服務(wù)器時，主機連網(wǎng)關(guān)都無法Ping通，而且主機中網(wǎng)關(guān)的MAC地址全0，即主機沒有學習到網(wǎng)關(guān)的MAC地址，所以主機無法跟網(wǎng)關(guān)進行通信，從而導(dǎo)致主機無法連通服務(wù)器。

正常連接時主機應(yīng)該有網(wǎng)關(guān)的IP地址和MAC地址的ARP映射表的，但是在訪問服務(wù)器不成功時并沒有學習到網(wǎng)關(guān)的MAC地址，造成這種故障的原因很大可能性是網(wǎng)絡(luò)中ARP欺騙。為了驗證網(wǎng)絡(luò)是否有ARP欺騙，我們在交換機3560上做端口鏡像來抓取交互的數(shù)據(jù)包。

辦公機連到3560的端口是f 0/46，所以我們只鏡像f 0/46，將該端口鏡像到端口f 0/25，然后把科來網(wǎng)絡(luò)分析系統(tǒng)接到f 0/25端口上捕獲通信的數(shù)據(jù)包。

數(shù)據(jù)包分析

我們在分析數(shù)據(jù)包時發(fā)現(xiàn)，網(wǎng)絡(luò)中存在大量的IP沖突。通過診斷視圖中的診斷提示，發(fā)現(xiàn)產(chǎn)生IP地址沖突的源IP地址是故障網(wǎng)段的網(wǎng)關(guān)地址，如下圖所示：

通過觀察上圖，我們可以發(fā)現(xiàn)192.168.200.254對應(yīng)的MAC地址有兩個，一個是00:25:64:A8:74:AD，一個是00:1A:A2:87:D1:5A，通過具體的分析我們發(fā)現(xiàn)MAC地址為00:25:64:A8:74:AD的主機對應(yīng)的IP地址為192.168.200.33， 00:1A:A2:87:D1:5A才是192.168.200.254真實的MAC地址。所以當辦公區(qū)訪問服務(wù)器不通時，我們Ping網(wǎng)關(guān)地址不通，是因為辦公區(qū)機器在向網(wǎng)關(guān)發(fā)送請求時請求的是錯誤的網(wǎng)關(guān)地址，網(wǎng)關(guān)沒有響應(yīng)主機的請求，從而導(dǎo)致主機學習不到正確網(wǎng)關(guān)的MAC地址。導(dǎo)致網(wǎng)絡(luò)不通的原因就是由于192.168.200.33這臺主機進行ARP欺騙造成的。

分析結(jié)論

通過上面的分析，可以看出MAC地址為00:25:64:A8:74:AD，IP地址為192.168.200.33的這臺主機中了ARP病毒，將自己偽裝成網(wǎng)關(guān)，欺騙網(wǎng)段內(nèi)主機。

對于ARP病毒，只要定位到病毒主機，我們就可以使用通過ARP專殺工具進行查殺來解決這類故障。但是最好的辦法就是能夠在內(nèi)網(wǎng)主機安裝上殺毒軟件，并且及時的更新病毒庫，同時給主機打上安全補丁，以便做好防范防止類似的故障再次出現(xiàn)。