科来网络分析系统ARP攻击解决方案
科来网络分析系统ARP攻击解决方案
编号TS-08-0005 科来网络分析系统ARP攻击解决方案
版权所有 ? 2007 科来软件保留所有权利。
本文档属商业机密文件,所有内容均为科来软件国内技术支持部独立完成,属科来软件内部机密信息,未经科来软件做出明确书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形式)对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。
汪已明
科来软件
电话:86-28-85120922
传真:86-28-85120911
网址:www./doc/349343462.html,
:support@www./doc/349343462.html,
地址:成都市高新区九兴大道6号高发大厦B幢1F
版权所有 ? 2007 科来软件. 保留所有权利 第1页 共6页
方案背景
目前,由于政府、企业、高校以及电子商务的蓬勃发展,使得网络已经融入到社会的各个领域;与此同时,网络用户的多样化,直接导致了蠕虫病毒和网络攻击的持续增多。在这种情况下,快速排查网络攻击,保障网络的持续可靠运行,已日益成为与国家、政府、企事业和个人的利益休戚相关的“大事情”。
自2006年以来,ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐,从而导致近1年多的时间里,网络中的ARP攻击无处不在,各大论坛从未停止过ARP攻击的讨论,一些遭受过ARP攻击的用户甚至到了谈“ARP”变的程度。
能否快速有效地排查ARP攻击,将直接导致网络的运行是否正常,其意义十分重大。接下来我们就详细地来看如何排查并预防ARP攻击。
ARP协议工作原理
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作OSI参考模型的第2层(数据链路层),用于查IP地址所对应物理网卡的MAC地址。
正常情况下,ARP协议的工作原理如下:
1.所有主机都在自己的缓冲区中建立一个IP地址和MAC地址的对应关系表,我们
称这个表为ARP表。
2.源主机需要发送一个数据包到目的主机时,首先检查自己的ARP表中是否存在该
目的IP地址对应的MAC地址,如果有,就将数据包发送到这个MAC地址所对应
的网卡;如果没有,就向本地网段中除自己以外的所有主机发起一个ARP请求广
播,以查询目的主机所对的MAC地址。
3.网络中的所有主机收到这个ARP请求后,都会检查数据包中的目的IP是否和自己
的IP地址一致。如果不相同,就丢弃该数据包;如果相同,该主机首先将源主机
的IP地址和MAC地址添加到自己的ARP表(ARP表中如果已经存在该IP的信
息,则将其覆盖),然后给源主机发送一个 ARP响应数据包,告诉对方自己是它
需要查的MAC地址;
4.源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添
加到自己的ARP表,并同时将数据包发往目的主机所对应的网卡。
从上述的过程可知,正常情况下的ARP工作流程是一个请求,一个应答。
ARP攻击原理
根据攻击的严重程度,ARP攻击可以分为三种:ARP扫描、ARP中间人攻击和ARP 断网攻击。
版权所有 ? 2007 科来软件. 保留所有权利 第2页 共6页
ARP扫描用于查网络中存活的主机,为后续攻击做准备。其原理是:攻击主机向网段中所有机器挨个发起ARP请求,网络中的主机收到此ARP请求后,会对攻
击主机进行响应。通过ARP扫描,网络中的主机在攻击者面前将会暴露无疑,同
时网络带宽被也会被严重耗费。
ARP中间人攻击用于窃取信息,其原理是:攻击主机向被攻击主机和网关同时主动发起ARP回应,告诉对方自己是它的目标MAC,从而使被欺骗主机和网关发送
给对方的数据都在攻击主机处进行一个跳转,进而完成信息窃取的目的。ARP中
间人攻击,能够导致被攻击主机的信息泄密,同时也会耗费网络带宽。
ARP断网攻击能使网络通讯中断,危害性最为严重。其原理是:攻击主机向被攻击发起主动发起ARP回应,告诉对方一个错误的网关MAC,从而让对方的数据发
往错误甚至是不存在的MAC地址处,从而断网。如果同时对网络中的所有主机进
行攻击,则会导致整个局域网全部断网。
使用科来网络分析系统排查ARP攻击
在网络中出现ARP攻击时,我们可以借助科来网络分析系统,快速准确定位ARP攻击源,从而保障网络的持续可靠运行。 
在科来网络分析系统中,可通过以下途径查ARP攻击:
诊断视图查看ARP诊断事件
协议视图查看ARP的请求与回应数据包
数据包视图查看ARP数据包的原始信息
端点视图查看节点信息
矩阵视图查看连接信息
诊断视图是查ARP攻击最直观,最有效途径,也是我们查ARP攻击首要选择。其界面如图1。 
版权所有 ? 2007 科来软件. 保留所有权利 第3页 共6页
版权所有 ? 2007 科来软件. 保留所有权利 第4页 共6页
(图1 ARP攻击诊断) 
图1明确指出网络中存在ARP无请求应答和ARP请求风暴两种ARP攻击事件,并在下面给出了进行ARP攻击的源主机。同时,系统还提供此ARP攻击的原因以及对应的解决方法。 
协议视图给出了网络中ARP数据包的情况,如图2。这里我们需要特别注意ARP Request(ARP请求)和ARP Response(ARP回应)两种数据包的个数,一般情况下,ARP请求和ARP回应的个数比例大致为1:1,如果差别较大,就表示网络中很可能存在ARP攻击。
(图2 ARP请求和回应数据包) 
图2中的ARP Request数据包有3484个,而ARP Response数据包仅有507个,通过这样的数据,我们就可以推测网络中可能存在ARP攻击。 
数据包解码可以告诉我们ARP数据包的原始信息,如图3。 
版权所有 ? 2007 科来软件. 保留所有权利 第5页 共6页
(图3 ARP协议解码) 
通过对ARP协议进行数据包解码,可以知道ARP数据包的源和目标,它的作用是什么,并确定这些数据包的真实性。 
另外,科来网络分析系统的端点视图,可以知道网络中可能进行ARP欺骗的主机;矩阵视图可以快速查看网络中ARP通讯的机器。借助这两个功能,可以更加快速地定位ARP攻击源。 
ARP攻击防护
ARP攻击的常见防护方法,有以下三种:
1.静态双向绑定
在客户端和网关同时做IP和MAC的绑定。客户端(以Windows操作系统为例)上可使用“arp -s ip mac”的命令,不同网关设备上arp绑定的配置方法不同,具体可查阅相应的配置说明。受到arp攻击
2.使用ARP防护软件 
ARP防护软件会向整个网络发送正确的ARP信息,可一定程度上预防ARP攻击。目前此类软件中比较常用的是Antiarp和欣向ARP。
3.具备ARP防护功能的路由器 
这种路由器的原理是它会定期向网络中发送正确的ARP信息,从而保障客户端主机ARP表的正确性。
总结
ARP攻击是目前最为流行的攻击之一,快速排查ARP攻击,是目前网络管理人员必备工作之一。借助科来网络分析系统,网络管理人员可大幅提高ARP攻击的排查能力,确保网络不受ARP攻击之苦,从而保障网络的正常运行。同时,除可以快速有效查ARP攻击以外,科来
网络分析系统还可以快速分析网络异常现象,快速定位网络故障点,加强网络安全性,评估并提升网络性能。
版权所有 ? 2007 科来软件. 保留所有权利 第6页 共6页

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。