開學(xué)季又要到了， 不管你有沒有住宿的經(jīng)驗(yàn)， 相信大家有時(shí)候都會遇到明明網(wǎng)路設(shè)備是開的可是上不了網(wǎng)的問題。 電腦也沒什麼異狀， 有裝掃毒軟體但也沒有病毒訊息， 也看的到自己的IP， 但是就是連不上網(wǎng)。

這種時(shí)候可以合理的懷疑:你被攻擊了!

首先可以看看是不是被室友使用了網(wǎng)路剪刀手(Netcut)等軟體把你惡意斷網(wǎng)， 或者是區(qū)域網(wǎng)路中有人中了ARP病毒。 這種攻擊沒有防毒軟體能夠防範(fàn)， 電腦也不會有異狀， 唯一的癥狀就是電腦有IP可是就是ping不到router， 也就是你上網(wǎng)的連接器。

由於Netcut使用的是假造ARP封包造成目標(biāo)主機(jī)ARP table記錄錯(cuò)誤來達(dá)成斷線目的， 最新版本的Netcut 2.0或變種ARP病毒已能快速的同時(shí)竄改目標(biāo)主機(jī)與路由器(閘道器) ARP記錄， 簡易的Netcut防護(hù)軟體或靜態(tài)ARP記錄已經(jīng)無法解決危害， 因此要徹底解決此一問題必需自Netcut工作原理著手。

首先要解釋DHCP的運(yùn)作方式：在開機(jī)的時(shí)候原本電腦沒有IP(預(yù)設(shè)為0.0.0.0)， 當(dāng)電腦要連接網(wǎng)路的時(shí)候， 會要求DHCP分配IP， 一旦取得IP以後就可以上網(wǎng)了(圖一)。

(圖一)DHCP發(fā)送流程

在電腦A剛開機(jī)， 還沒有取得IP的時(shí)候並不會受到來自ARP的攻擊， 因?yàn)橐l(fā)動ARP攻擊的條件就是要取得對方的網(wǎng)卡卡號(MAC)和IP。 所以當(dāng)取得IP以後， 電腦A就曝露在ARP攻擊的環(huán)境中。

ARP其實(shí)是IP位址轉(zhuǎn)換成Mac位址的一種通訊協(xié)定， 當(dāng)某一臺電腦要傳送資料到某個(gè)IP位址時(shí)， 會先傳送ARP封包詢問網(wǎng)路上哪臺電腦的MAC Address對應(yīng)到這個(gè)IP位址， 當(dāng)目的端的電腦接收到這個(gè)ARP封包之後便會回應(yīng)給來源電腦進(jìn)行資料傳送。 MAC Address的範(fàn)例格式如下: 00-E0-18-0E-B2-21

(圖二)電腦A廣播自己的MAC及IP以更新網(wǎng)域內(nèi)電腦的ARP table

(圖三) Router會依據(jù)ARP表 把資料依照適合的路徑傳送到 電腦A

而Netcut工作方式就是從封包傳遞這方面下手， Netcut會經(jīng)由IP掃描的方式(圖四)找尋區(qū)域網(wǎng)路上正在活動的IP， 選定好攻擊的目標(biāo)以後(假設(shè)要攻擊A)， 就會大量發(fā)送廣播封包， 以自己或是編造的MAC搭配A的IP企圖讓網(wǎng)路上所有的電腦都把原本要傳給A的資料都無法送達(dá)， 這樣原本正常上網(wǎng)的A就無法上網(wǎng)了(因?yàn)榉獍加腥o回)。 (如圖四)

(圖四) 電腦B探尋網(wǎng)域中的電腦MAC

(圖五)Router和 電腦Ａ收到廣播把MAC R和MAC A加進(jìn)ARP表

(圖六) B電腦攻擊A ,同時(shí)對Router作干擾， 並迫使Router及A更新MAC table

(圖七)Router以及電腦A的ARP table被B所發(fā)送的廣播封包給竄改， 導(dǎo)致A網(wǎng)路癱瘓

想要防治受到ARP攻擊的話， 需加裝VLAN Switch(在圖片範(fàn)例中是把VLAN Switch取代HUB)， 因?yàn)閂LAN Switch是把用戶端的連結(jié)在實(shí)體層做分割， 徹底的隔絕才能夠避免網(wǎng)路遭受攻擊以後災(zāi)情影響到了網(wǎng)域內(nèi)的所有用戶。 一旦以VLAN Switch做切割以後， 網(wǎng)域內(nèi)的用戶除了看到路由器以外都無法看到其他用戶， 如此一來用戶端的電腦都受到保障。 在稍後展示的實(shí)際操作(圖十一)中可以看到加裝VLAN以後的情形。

(圖八)經(jīng)由VLAN switch， 每個(gè)用戶端都不會互相看到。

並確實(shí)做好MAC綁IP即可避免ARP攻擊

以下示範(fàn)使用Router(BM-1000)以及VLAN switch(EZ-800V)來防護(hù)ARP攻擊

1. 首先在BM-1000中的設(shè)定裏面確實(shí)把用戶IP與MAC做連結(jié)， 這樣不但可以有效防範(fàn)ARP攻擊也可以防止使用者亂改IP影響其他用戶上網(wǎng)的權(quán)益， 也方便當(dāng)遭受ARP攻擊時(shí)做為對照。

(圖九)把IP和MAC綁定以避免被竄改

2. 在沒有經(jīng)過防護(hù)的區(qū)域網(wǎng)路環(huán)境下， 惡意軟體、病毒、或是木馬很容易的找到攻擊目標(biāo)。 因?yàn)橹灰獜V播封包， 網(wǎng)域上所有的電腦都會回應(yīng)你， 等於把網(wǎng)路曝露在危險(xiǎn)之中。

(圖十)從Netcut的掃描清單中， 可以看到網(wǎng)路上輕易的就找到一堆開機(jī)的電腦。

3. 使用VLAN switch將區(qū)域網(wǎng)路確實(shí)做好實(shí)體層(Layer 2)切割， 把每個(gè)分接出去電腦確實(shí)分割以避免封包可以傳送到網(wǎng)域所有的電腦， 這樣ARP的封包就不能互相傳遞， 也就能防護(hù)ARP攻擊啦！

(圖十一)裝設(shè)VLAN switch以後網(wǎng)路上只看的到自己的電腦和路由器的IP。

4. 其實(shí)想要徹底解決ARP攻擊、病毒、木馬、或是駭客的攻擊， 最好是在規(guī)劃的時(shí)候就考慮好， 而且在區(qū)網(wǎng)裡面每一個(gè)switch都要有VLAN的功能， 只要有一臺沒有VLAN功能即成為漏洞。 另外最常見到的錯(cuò)誤就是直接使用路由器的4個(gè)LAN埠， 而使區(qū)網(wǎng)VLAN瓦解。 建議的架設(shè)方式請參考下圖

--

以上只是避免arp攻擊的概述， 有的比較難理解的地方就寫的淺顯一點(diǎn)， 希望對想了解的朋友有些幫助， 想要了解更多的話可以提出您的疑問， 歡迎轉(zhuǎn)載但請附出處， 有錯(cuò)也請不吝指教。