ARP病毒分析并解决方法大全

network · 发表于 2007-6-30 16:52:31

ARP病毒新变种。该病毒会导致局域网内任意电脑访问网页时，打开的网页都被杀毒软件报告带毒，同时该带毒网页会通过微软的MS06-14和MS07-17两个系统漏洞给电脑植入一个木马下载器，而该木马下载器会下载10多个恶性网游木马，可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏等在内的多款网络游戏帐号及密码，给网络游戏玩家造成了极大的损失。

ARP病毒也叫做ARP地址欺骗类病毒，是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。更为严重的是，近期网上流行的ARP病毒新变种出现了新特征，该类ARP病毒同样是向全网发送伪造的ARP欺骗广播，但病毒把自身伪装成网关，在所有用户请求访问的网页添加恶意代码，导致杀毒软件在用户访问任意网站均发出病毒警报。孙先生的公司局域网正是遭到了该新型ARP病毒的攻击。

ARP病毒新变种的运行原理和发作过程

当局域网中一台电脑S想访问某个网站页面时，这台电脑会先向网关发送访问网页请求，这样，网关就会将该页面下载下来，并发送给S电脑。这时，感染了ARP病毒的另一台A电脑把自身伪装成网关，不停地向全网发送伪造的ARP欺骗广播，这样当S电脑请求WEB网页时，染毒的A电脑先是“好心好意”地将这个页面下载下来，然后发送给S电脑，但是它在返回给S电脑时，会向其中插入恶意网址连接。该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞，向S电脑种植木马病毒，同样，如果局域网内其他的任一台电脑也请求WEB页面的访问，A电脑同样会给其返回带毒的网页，这样顷刻间，整个网段的电脑都会被感染上病毒，甚至沦为黑客手中的僵尸网络。

解决方法

针对该病毒，请立即升级杀毒软件病毒库，实时拦截来自网络上的各种ARP病毒。立即为全网电脑打上MS06-014和MS07-017两个漏洞补丁。建议局域网用户统一部署KV网络版杀毒软件，全网统一防杀 ARP病毒。对于尚未被加入病毒库的ARP病毒新变种，建议用户立即上报江民反病毒中心，同时使用江民杀毒软件“未知病毒扫描”功能，彻底检测出本机中已知和未知的ARP病毒，协助网络管理员快速清除ARP病毒。

network · 发表于 2007-7-3 06:25:06

我公司局域网出现了几次网络故障，开始以为是交换机性能不稳定，还准备告诉老总申购交换机呢。后面感觉有点不对，于是把交换机下的所有网线拔掉，然后一个个插上去，最后发现是其中一个MM的电脑引起的网络故障。在网上搜索这方面的相关信息，是ARP欺骗木马引起的。今天刚好也碰到一个网友，他告诉我去下载一个防ARP欺骗工具，装上它后，就会知道是哪台机子中了ARP欺骗木马。在这里，先谢谢他了！
下载地址：http://down.cnsun.net/soft/arp/
选择：antiarp4.1.1.zip

下周一去试试，希望以后网络再也别出这种问题了，呵呵！

   另介绍一篇“ARP欺骗木马介绍”的文章

ARP欺骗木马影响严重，只需成功感染一台计算机，就可能导致整个局域网无法上网，严重的甚至导致整个网络瘫痪。

一、感染ARP欺骗木马现象：

该病毒主要通过ARP（地址解析协议）欺骗实施攻击和破坏行为，中毒现象表现为以下几点：

1．使用校园网时会突然掉线，过一段时间后又恢复正常。

2．用户频繁断网，IE浏览器频繁出错。

3．一些常用软件出现故障。

4．使用身份认证上网的用户，出现能够通过认证，但是无法上网的情况。

二、病毒原理分析

病毒样本有三个组件构成

C:\WINDOWS\SYSTEM32\LOADHW.EXE(108,386 bytes)  ….. ”病毒组件释放者”

C:\WINDOWS\System32\drivers\npf.sys(119,808 bytes)  ….. ”发ARP欺骗包的驱动程序”

C:\WINDWOS\System32\msitinit.dll (39,952 bytes)…”命令驱动程序发ARP欺骗包的控制者”

三、中毒机器解决方案

1.按以下顺序删除病毒组件

1) 删除 C:\WINDOWS\SYSTEM32\LOADHW.EXE

2) 删除 C:\WINDOWS \System32\drivers\npf.sys

a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”

b. 在设备树结构中,打开”非即插即用….”

c.  找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表

d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.

e. 重启windows系统,

f.删除C:\WINDOWS\System32\drivers\npf.sys

3) 删除 C:\WINDOWS\System32\msitinit.dll

2. 删除以下”病毒的假驱动程序”的注册表服务项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf

四、使用Anti ARP Sniffer软件保护本地计算机正常运行。

1．下载：点击下载Anti ARP Sniffer

2．使用说明（略）：

1）在“网关地址”处，输入本网段的网关地址。

2）点击“枚取MAC地址”，自动获取网关MAC地址。

3）点击“自动保护”即可。

network · 发表于 2007-7-26 14:45:00

ARP欺骗病毒专题

[诺博路由器解决网吧ARP病毒造成的掉线方案]
[巧用“IP地址冲突”揪出arp病毒源]
[ARP欺骗木马程序入侵电脑系统破坏严重]

ARP病毒解决办法：
　　ARP病毒发作特征:中毒机器伪造某台电脑的MAC地址，使该伪造地址为网关服务器地址，对整个网络均会造成影响，用户表现为上网经常瞬断。在任意客户机进入命令提示符，用arp –a查看...[详细]

攻击防制－路由器ARP病毒防制方案：
　　国内多家网吧出现短时间内断线(全断或部分断)的现象，但会在很短的时间内会自动恢复，这是因为MAC地址冲突引起的。如果对ARP病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以我们选择路由器的话最好看看路由器是否带有防制ARP病毒攻击的功能...[详细]

网络层VS数据链路层

“ARP欺骗”木马程序专攻局域网

近期一些局域网中的计算机系统受到一种“地址解析协议欺骗”(简称：ARP欺骗)的恶意木马程序的入侵破坏，严重影响了局域网中用户计算机系统的正常运行.....[全文]

网吧ARP掉线解决实例

很多人很疑惑，到底应该怎样才能识别自己是否中了此病毒，如何清除此病毒。提供本人的一个清除实例.....[全文]

ARP病毒问题的处理

故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间.....[全文]

用Sniffer和ARP分析网络问题

可以将这些测试头看作一些提供测试服务的服务器，使用NAT静态转换将这些测试头映射为DCN内网网段上的IP地址，内网的一些客户端使用这些映射后的地址访问测试头.....[全文]

ARP病毒攻击技术分析与防御

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击.....[全文]

ARP病毒解决办法

ARP病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断.....[全文]

防ARP攻击教程

最近很多用户反映，上网总是掉线。显示IP冲突，出现有MAC地些在攻击。据我们监测发现是有些用户在使用某些软件造成的。比如：网络执法官等.....[全文]

快速发现局域网内狂发ARP攻击包的机器

我在外地做网络安全的实施，住处有感染ARP欺骗病毒的机器，他们狂发ARP攻击包，导致正常用户无法上网.....[全文]

玩转ARP攻击

我写这片文章只是想让你明白深刻理解某一协议的好处，如果有人利用这片文章所做的一切事情，盖不负责。.....[全文]

针对ARP病毒攻击防制进阶经验谈

要了解ARP欺骗攻击, 我们首先要了解ARP协议以及它的工作原理，以更好的来防范和排除ARP攻击的带来的危害。本文为大家带来进阶的ARP攻击防制方法.....[全文]

中了arp欺骗木马，怎么弄？

我用的是局域网代理服务上网，中了arp 欺骗木马，经常掉线。怎么才能清除arp.....[讨论]

怎么才知道是中了arp欺骗木马？

这几天上网的速度有点慢，听说是中了arp欺骗木马。请问怎么才知道是中了arp 欺骗木马.....[讨论]

局域网内如何防止ARP欺骗

对于ARP欺骗，提出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的.....[讨论]

ARP中毒求助

我家是宽带上网，动态IP，用路由接了两台机器，请问如何来防止ARP攻击.....[讨论]

解决ARP攻击的方法

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机.....[讨论]

ARP病毒攻击技术分析与防御

主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式.....[讨论]

怪招防止ARP攻击

若S6503上的VLAN 10配置IP为192.168.1.1/24,则在三层交换机对VLAN10配置IP为192.168.1.2.....[讨论]

arp的幕后黑手．．．

我单位局域网感染ＡＲＰ，部分ＰＣ频繁掉线，通过用Antiarp检测出了欺骗机的ＭＡＣ地址.....[讨论]

ARP欺骗原理以及路由器的先天免疫：

“网管，怎么又掉线了！”每每听到客户的责问，网管员头都大了.....[讨论]

ARP病毒问题的处理

重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间.....[讨论]

ARP攻击原理及解决方法

局域网内有人使用ARP欺骗的木马程序，比如传奇盗号软件，某些传奇外挂中也被恶意加载了.....[讨论]

用arp来解决局域网内盗用IP问题

有很多网络中，最方便的捣乱方法就是盗用别人的IP地址.....[讨论]

如何在网关防治ARP病毒？

在网关、交换机端防治ARP病毒.....[讨论]

对ARP欺骗病毒有什么办法?

我管理的网络有很多网段,接入层全部是cisco 2950交换机,大伙有没有什么办法?.....[讨论]

network · 发表于 2007-12-2 08:24:22

一、ARP Spoofing攻击原理分析
在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。
用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。
每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。
默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和 MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。
当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。
Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个 Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个 HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下下面交换机中日志所示：

Internet  172.20.156.10000b.cd85.a193  ARPAVlan256
Internet  172.20.156.50000b.cd85.a193  ARPAVlan256
Internet  172.20.156.254 0000b.cd85.a193  ARPAVlan256
Internet  172.20.156.53 0000b.cd85.a193  ARPAVlan256
Internet  172.20.156.33 0000b.cd85.a193  ARPAVlan256
Internet  172.20.156.130000b.cd85.a193  ARPAVlan256
Internet  172.20.156.150000b.cd85.a193  ARPAVlan256
Internet  172.20.156.140000b.cd85.a193  ARPAVlan256

二、ARP病毒分析
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。
在路由器的“系统历史记录”中看到大量如下的信息：

MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。
BKDR_NPFECT.A病毒引起ARP欺骗之实测分析
Part1. 病毒现象
中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.
Part2. 病毒原理分析:
病毒的组件
本文研究的病毒样本有三个组件构成:
%windows%\SYSTEM32\LOADHW.EXE(108,386 bytes)  ….. ”病毒组件释放者”
%windows%\System32\drivers\npf.sys(119,808 bytes)  ….. ”发ARP欺骗包的驱动程序”
%windows%\System32\msitinit.dll (39,952 bytes)…”命令驱动程序发ARP欺骗包的控制者”
病毒运作基理:
1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .
LOADHW.EXE释放组件后即终止运行.
注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能.  客户若原先装有winPcap,
npf.sys将会被病毒文件覆盖掉.
2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver"
msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)
以下从病毒代码中提取得服务相关值:

BinaryPathName = "system32\drivers\npf.sys"
StartType = SERVICE_AUTO_START
ServiceType= SERVICE_KERNEL_DRIVER
DesiredAccess= SERVICE_ALL_ACCESS
DisplayName = "NetGroup Packet Filter Driver"
ServiceName = "Npf"

3. npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
dwMyTest =LOADHW.EXE
注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除.
Part3. 反病毒应急响应解决方案
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%\SYSTEM32\LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%\System32\drivers\npf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f.删除%windows%\System32\drivers\npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%\System32\msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
三、定位ARP攻击源头和防御方法
1．定位ARP攻击源头
主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。
标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。
被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。
也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。
NBTSCAN的使用范例：
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。
3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法，我们就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。
2．防御方法
a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。
b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。
c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。

network · 发表于 2007-12-10 06:23:23

在交换机上防范ARP攻击!!

最近越来越多发生的ARP攻击，使得网络用户和交换机安全得不到保证，或运行不畅甚至停运。在Catalyst系列交换机上有丰富的ARP攻击防范的功能是其它厂家产品所不具备的，可以帮助客户在LAN基础设施上对此类攻击进行防范。

1. ARP 毒杀攻击

   Cat3K以上的交换机都支持动态ARP 检测（Dynamic ARP Inspection），可在DHCP环境或静态IP地址环境中使用。DAI对ARP request和response包进行拦截、检查，凡是不符合DHCP snooping IP-MAC映射表或静态ARP ACL的ARP包被丢弃。

2. ARP 洪泛攻击

DAI也对ARP包进行限速，防止ARP DoS攻击，缺省地非信任端口上限制每秒15个ARP包。通过ARP限速防止交换机和其它主机的CPU利用率过高。需要注意的是，当ARP包超过了所限定的速率时，交换机会将端口设为error-disable状态，直到你重新激活这个端口或是使用‘errdisable recovery’命令所定义的时间间隔过后自动恢复端口。所以这个功能最好用于接入交换机，当交换机下联其它低端交换机不支持dai时，如果在这个端口上启用ARP限速，可能会因为一个用户的非法行为造成下联的所有用户不能通信。从好的方面讲，可以帮助我们在配线间upsell到Cat3k或更高。


3. 6500上control plane protection

  在Cat6500上CoPP和CPU rate-limiter可以有效防范对交换机控制层面的DoS攻击，保证交换机CPU不至因为处理这些攻击包而利用率过高无法处理正常任务。但是对于ARP流量，不能用CoPP和CPU rate-limter, 而是用以下命令：
mls qos protocolprotocol-name {pass-through | {policerateburst} | {precedencevalue [police rateburst]}}

例如： mls qos protocol arp police 48000

network · 发表于 2007-12-19 19:46:08

新鲜出炉！！各厂商ARP保护解决方案汇总（版本1）

新鲜出炉！！各厂商ARP保护解决方案汇总（版本1）

各位高手，之前拜读过大家的arp解决方案分享文档，有不少收获。这几个月我一直在研究和测试各厂商的arp解决方案，终于～～各厂商ARP保护解决方案汇总（版本1）新鲜出炉了！在此还要感谢cisco等厂家工程师的支持及我同事的辛苦测试。其中所有的厂家方案都已经经过实际测试，但是有些资料全面一些，有些资料还在整理中，还有待完善。希望对大家能够有所帮助，并且欢迎大家一起提供资料来完善这个总结文档。（在此不设置权限，让更多人下载）因为在下技术能力有限，欢迎批评和指正。

附件
2007-12-19 13:36
下载次数: 2

ARP 防护解决方案总结v1.0.rar (615.51 KB)

network · 发表于 2008-5-26 12:42:20

ARP欺骗攻击防护

目前，很多局域网络都遇到了ARP攻击，典型现象是交换机的日志或Console口上出现大量的地址重复信息（Duplicate address），大量的PC机不能上网，查看不能上网的PC的ARP表，发现网关IP对应的 MAC地址不正确。

这是遇到ARP攻击的典型现象，遇到这种攻击主要是因为ARP攻击的编写者将它附在P2P软件上，此外网络上有很多免费的软件如，"网络执法官"、"网络剪刀手(NetCut)"  都具有ARP攻击能力，Cisco的Catalyst 交换机的 ARP  Inspection能力可以成功抑制这种攻击，并且根据Log记录攻击者的源MAC和所连接端口的信息。

1.ARP  攻击的现象

1.1  显示IP地址重复
当LAN遇到网络攻击时，典型的现象是在Console口上或在日志信息显示：
09:12:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa
09:12:11: %SYS-5-CONFIG_I: Configured from console by console
09:12:41: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa

1.2       PC都不能上网，PC  ARP表网关IP对应的MAC地址不正确

Vlan 上的PC不能上网，PC ping网关地址不通。

在不能上网的机器上不断显示ARP 表，网关IP对应的MAC地址在不断的变化，偶尔是正确的MAC地址，偶尔是攻击者的MAC地址：

C:\Documents and Settings\jiangjun>arp -a

Interface: 210.53.131.161--- 0x2
  Internet Address    Physical Address       Type
  210.53.131.169       00-15-fa-87-3f-c0 dynamic

C:\Documents and Settings\jiangjun>arp -a

Interface: 210.53.131.161 --- 0x2
  Internet Address    Physical Address       Type
210.53.131.169       00-00-d2-34-83-aa  dynamic

00-00-d2-34-83-aa  是攻击者的MAC地址。

2．ARP攻击的分析

2.1 攻击过程

实际上攻击过程很简单，主要是利用Gratuitous Arp更改所有VLAN PC的ARP表，攻击者A 发送一个Gratuitous Arp, 广播给同一VLAN 300的所有PC, 告诉所有PC,  网关IP对应的MAC地址是攻击者的MAC地址，

因此所有PC接到这个Gratuitous Arp公告后，更改它的arp表，将网关IP地址对应的mac地址改成攻击者的mac地址，因此所有流量并没有发给网关，而是发给攻击者，所有PC不能上网。

2.2  Gratuitous ARP的用途

ARP 是用来获得目标IP地址的MAC地址，有一种 ARP 叫做Gratuitous ARP，通常在网络上用来作为特殊用途：

A) 检查IP地址重复
主机A为了检查IP地址重复，会发送一个 Gratutious Arp 请求，这个请求很特殊，他会询问主机A自己的IP 地址对应的MAC地址是多少，如果有IP地址重复
，则主机A收到一个响应，则表明有地址重复。

由于攻击者A发送的Gratuitous ARP 内容中包含网关的IP地址，因此，网关收到后，发现其它PC在通告自己IP的MAC地址，因此网关（交换机）会报IP地址重复信息。

B) 更新其他主机的ARP表
如HSRP的主网关A切换到网关B后，B会发送一个Gratutious Arp，通知所有PC更换它的ARP表，因此所有PC将流量发送给新的网关B

C) 通知交换机更新交换机的CAM表，使得交换机知道mac地址对应哪个端口
如当pc移动后，插在另外一个端口时，pc主动发送gratutious Arp，使得交换机及时更新CAM表

3. Catalyst 交换机对ARP攻击的抑制

3.1 静态ARP 访问控制列表

Cisco 交换机可以对Arp包进行分析，Arp攻击的本质是篡改了IP地址和MAC地址的对应关系，因此在交换机中的Arp ACL 定义了网关IP地址和其正确MAC地址的对应关系，对于不正确的网关IP地址和MAC地址对应的ARP packet，予以丢弃。

静态ARP 访问控制列表对攻击者冒充网关的MAC地址作用较大，大多数攻击都是冒充网关的MAC地址。

对于攻击者冒充其它PC的MAC的配置工作量较大，若网络使用了DHCP，结合DHCP Snooping则可有效避免针对任何PC的MAC地址欺骗。

4．应用实例
下图是一个ARP攻击的实例，描述了攻击前和攻击后的现象，它检验了Catalyst 成功抑制了ARP攻击。

攻击者M是一台测试仪，发出 Gratutious ARP, 告诉同一Vlan 的主机网关IP地址210.53.131.169 对应的MAC地址是主机M的MAC地址。

攻击者M的MAC地址为0000.d234.83aa,网关的MAC地址为0015.fa87.3fc0。

A)攻击前，主机A可成功的和默认网关210.53.131.169通
C:\Documents and Settings\jiangjun>ping 210.53.131.169

Pinging 210.53.131.169 with 32 bytes of data:

Reply from 210.53.131.169: bytes=32 time=2ms TTL=248
Reply from 210.53.131.169: bytes=32 time=1ms TTL=248
…
B)ARP攻击发生时，报IP地址重复错误

09:12:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa
09:12:11: %SYS-5-CONFIG_I: Configured from console by console
09:12:41: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa //arp attacker mac address
09:13:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa
09:13:41: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa
C)此时，主机A不能ping通网关
C:\Documents and Settings\jiangjun>ping 210.53.131.169

Pinging 210.53.131.169 with 32 bytes of data:

Request timed out.
Request timed out.
…

D)在6500上配置arp inspection, 抑制这种攻击，此时，将arp 攻击进入的端口disable

6500(config)#arp access-list deny-arp
//只允许正确的网关IP地址和网关MAC对应的ARP包通过
6500(config-arp-nacl)#permit ip host 210.53.131.169 mac host 0015.fa87.3fc0
6500(config-arp-nacl)#deny  ip host 210.53.131.169 mac any log
6500(config-arp-nacl)#permit ip any mac any
//将此ARP ACL应用到vlan 300上
6500(config)#ip arp access-list filter deny-arp vlan 300
3750（ip arp inspection filter arp vlan 100）

此时，攻击者所连的端口Gi3/3 被自动disable.
09:49:27: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 0 milliseconds on Gi3/3.
09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state
09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state
09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state
09:49:27: %PM-SP-4-ERR_DISABLE: arp-inspection error detected on Gi3/3, putting Gi3/3 in err-disable state

注：Arp Inspection缺省是超过15 pps时，将端口处于err-disable状态，超过多少转发能力的门槛值，你可以设定，除此之外，你可以指定时间，当过了这段时间后又恢复正常状态。

E)主机A 又可以和网关通信了
C:\Documents and Settings\jiangjun>ping 210.53.131.169

Pinging 210.53.131.169 with 32 bytes of data:

Reply from 210.53.131.169: bytes=32 time=2ms TTL=248
Reply from 210.53.131.169: bytes=32 time=1ms TTL=248
…

5. Gratutious  ARP的数据包格式

根据RFC 826定义的ARP数据包格式如下：

Gratutious ARP的格式很特殊，Gratutious ARP分为两种类型：Request或Response, 但是这两种类型的包的Sender IP 和Target IP 的地址是一样的，由于它是Broadcast, 因此Header 的Dest MAC 和Target MAC都是ff:ff:ff:ff:ff:ff。

因此针对网关的MAC地址欺骗的Gratutious 数据包格式如下：

Ethernet II, Src: 0000.d234.83aa, Dst: ff:ff:ff:ff:ff:ff
Destination: ff:ff:ff:ff:ff:ff (Broadcast)
Source: 0000.d234.83aa (0000.d234.83aa)
Type: ARP (0x0806)
Trailer: 000000000000000000000000000000000000
Address Resolution Protocol (request/gratuitous ARP)
Hardware type: Ethernet (0x0001)
Protocol type: IP (0x0800)
Hardware size: 6
Protocol size: 4
Opcode: request (0x0001)
Sender MAC address: 0000.d234.83aa  (0000.d234.83aa)
Sender IP address: 210.53.131.169 (210.53.131.169)
Target MAC address: ff:ff:ff:ff:ff:ff (Broadcast)
Target IP address: 210.53.131.169 (210.53.131.169)

Sender MAC address和Sender IP Address宣告网关210.53.131.169对应的MAC地址为0000.d234.83aa，它为攻击者的MAC地址。

补充：
最近越来越多发生的ARP攻击，使得网络用户和交换机安全得不到保证，或运行不畅甚至停运。在Catalyst系列交换机上有丰富的ARP攻击防范的功能是其它厂家产品所不具备的，可以帮助客户在LAN基础设施上对此类攻击进行防范。

1. ARP 毒杀攻击

   Cat3K以上的交换机都支持动态ARP 检测（Dynamic ARP Inspection），可在DHCP环境或静态IP地址环境中使用。DAI对ARP request和response包进行拦截、检查，凡是不符合DHCP snooping IP-MAC映射表或静态ARP ACL的ARP包被丢弃。

2. ARP 洪泛攻击

DAI也对ARP包进行限速，防止ARP DoS攻击，缺省地非信任端口上限制每秒15个ARP包。通过ARP限速防止交换机和其它主机的CPU利用率过高。需要注意的是，当ARP包超过了所限定的速率时，交换机会将端口设为error-disable状态，直到你重新激活这个端口或是使用‘errdisable recovery’命令所定义的时间间隔过后自动恢复端口。所以这个功能最好用于接入交换机，当交换机下联其它低端交换机不支持dai时，如果在这个端口上启用ARP限速，可能会因为一个用户的非法行为造成下联的所有用户不能通信。从好的方面讲，可以帮助我们在配线间upsell到Cat3k或更高。


3. 6500上control plane protection

  在Cat6500上CoPP和CPU rate-limiter可以有效防范对交换机控制层面的DoS攻击，保证交换机CPU不至因为处理这些攻击包而利用率过高无法处理正常任务。但是对于ARP流量，不能用CoPP和CPU rate-limter, 而是用以下命令：
mls qos protocol protocol-name {pass-through | {police rate burst} | {precedence value [police rate burst]}}

例如： mls qos protocol arp police 48000

账号		自动登录	找回密码
密码			注册