1、局域網絡維護經驗談本文由375041353貢獻局域網絡維護經驗談導言近期在全國范圍內大規(guī)模爆發(fā)arp病毒及其各種 變種,對各種行業(yè)與部門的網絡管理人員是一 個考驗. 如果局域網中發(fā)現許多臺電腦中毒,電腦中毒 后會向同網段內所有計算機發(fā)ARP欺騙包. 由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大 量的數據包導致局域網通訊擁塞,用戶會感覺 上網速度越來越慢,掉線;甚至無法上網,同 時造成整個局域網的不穩(wěn)定,這種現象就是我 們常見的ARP病毒.ARP 病毒一,故障原理 二,故障現象 三,故障檢測 四,故障查殺 五,故障防治【一,故障原理】局域網內有人安裝運行了使用ARP欺騙 的木馬程序(比如:QQ外掛

2、,網游外掛, 某些非官方網站下載的QQ之類的常用軟 件也被惡意加載了此類程序). 該程序一旦被安裝后,就會把自己放入系 統自動啟動組內,每次開機都會加載自身. 程序的目的一般是為了盜取QQ,網游, 網上交易等密碼,然后發(fā)送給木馬作者, 以獲取經濟利益.【一,故障原理】要了解ARP故障原理,我們先來了解一下ARP 協議. ARP病毒原理:arp是一種將ip轉化成以ip對應 的網卡的物理地址的一種協議,或者說ARP協 議是一種將ip地址轉化成MAC地址的一種協議. 它靠維持在內存中保存的一張表來使ip得以在網 絡上被目標機器應答. 在局域網中,通過ARP協議來完成IP地址轉換 為第二層物理地址(即

3、MAC地址)的. ARP協議對網絡安全具有重要的意義. 通過偽造IP地址和MAC地址實現ARP欺騙,能 夠在網絡中產生大量的ARP通信量使網絡阻塞.【一,故障原理】ARP協議是"Address Resolution Protocol" (地址解析協議)的縮寫. 在局域網中,網絡中實際傳輸的是"幀",幀 里面是有目標主機的MAC地址的. 在以太網中,一個主機要和另一個主機進行直 接通信,必須要知道目標主機的MAC地址. 但這個目標MAC地址是如何獲得的呢?它就是 通過地址解析協議獲得的. 所謂"地址解析"就是主機在發(fā)送幀前將目標 IP地

4、址轉換成目標MAC地址的過程. ARP協議的基本功能就是通過目標設備的IP地 址,查詢目標設備的MAC地址,以保證通信的 順利進行.【一,故障原理】為什么要將ip轉化成mac呢?簡單的說,這是因為在tcp網 絡環(huán)境下,一個ip包走到哪里,要怎么走是靠路由表定義. 但是,當ip包到達該網絡后,哪臺機器響應這個ip包卻是靠 該ip包中所包含的mac地址來識別. 也就是說,只有機器的mac地址和該ip包中的mac地址相同 的機器才會應答這個ip 包. 因為在網絡中,每一臺主機都會有發(fā)送ip包的時候.所以, 在每臺主機的內存中,都有一個 arp-> mac 的轉換表.通 常是動態(tài)的轉換表(注意在

5、路由中,該arp表可以被設置成 靜態(tài)). 也就是說,該對應表會被主機在需要的時候刷新.這是由 于以太網在子網層上的傳輸是靠48位的mac地址而決定的.【一,故障原理】每臺安裝有TCP/IP協議的電腦里都有一 個ARP緩存表,表里的IP地址與MAC地 址是一一對應的,如下表所示. 主機 IP地址 MAC地址 A aa-aa-aa-aa-aa-aa B bb-bb-bb-bb-bb-bb C cc-cc-cc-cc-cc-cc D dd-dd-dd-dd-dd-dd【一,故障原理】WINDOWS

6、的ARP表 cmd, arp a輸出結果【一,故障原理】華為三層交換機的ARP表 dis arp輸出結果【一,故障原理】華為二層交換機:MAC端口對照表 dis mac 輸出結果【一,故障原理】思科交換機MAC端口對照表 show mac address dynamic輸出結果【一,故障原理】港灣交換機MAC端口對照表 show fdb輸出結果【一,故障原理】我們以主機A()向主機B ()發(fā)送數據為例.當發(fā)送數據時, 主機A會在自己的ARP緩存表中尋找是否有目標 IP地址.如果找到了,也就知道了目標MAC地址, 直接把目標MAC地址寫入幀里面發(fā)送

7、就可以了; 如果在ARP緩存表中沒有找到相對應的IP地址, 主機A就會在網絡上發(fā)送一個廣播,目標MAC地 址是"FF.FF.FF.FF.FF.FF",這表示向同一網段內 的所有主機發(fā)出這樣的詢問:"的 MAC地址是什么?"網絡上其他主機并不響應 ARP詢問,只有主機B接收到這個幀時,才向主 機A做出這樣的回應:"的MAC地 址是bb-bb-bb-bb-bb-bb".【一,故障原理】這樣,主機A就知道了主機B的MAC地址, 它就可以向主機B發(fā)送信息了.同時它還 更新了自己的ARP緩存表,下

8、次再向主 機B發(fā)送信息時,直接從ARP緩存表里查 找就可以了.ARP緩存表采用了老化機 制,在一段時間內如果表中的某一行沒有 使用,就會被刪除,這樣可以大大減少 ARP緩存表的長度,加快查詢速度.【一,故障原理】從上面可以看出,ARP協議的基礎就是 信任局域網內所有的人,那么就很容易實 現在以太網上的ARP欺騙.對目標A進行 欺騙,A去Ping主機C卻發(fā)送到了DD-DDDD-DD-DD-DD這個地址上.如果進行欺 騙的時候,把C的MAC地址騙為DD-DDDD-DD-DD-DD,于是A發(fā)送到C上的數 據包都變成發(fā)送給D的了.這不正好是D 能夠接收到A發(fā)送的數據包了么,嗅探成 功.【一,故障原理】

9、A對這個變化一點都沒有意識到,但是接下來的 事情就讓A產生了懷疑.因為A和C連接不上了. D對接收到A發(fā)送給C的數據包可沒有轉交給C. 做"man in the middle"(中間人攻擊),進行 ARP重定向.打開D的IP轉發(fā)功能,A發(fā)送過來 的數據包,轉發(fā)給C,好比一個路由器一樣.不 過,假如D發(fā)送ICMP重定向的話就中斷了整個 計劃.【一,故障原理】D直接進行整個包的修改轉發(fā),捕獲到A 發(fā)送給C的數據包,全部進行修改后再轉 發(fā)給C,而C接收到的數據包完全認為是 從A發(fā)送來的.不過,C發(fā)送的數據包又 直接傳遞給A,倘若再次進行對C的ARP 欺騙.現在D就完全成為A與C的

10、中間橋 梁了,對于A和C之間的通訊就可以了如 指掌了.【二,故障現象】當局域網內某臺主機運行ARP欺騙的木馬程序 時,會欺騙局域網內所有主機和路由器,讓所 有上網的流量必須經過病毒主機.其他用戶原 來直接通過路由器上網現在轉由通過病毒主機 上網,切換的時候用戶會斷一次線. 切換到病毒主機上網后,如果用戶已經登陸了 QQ,網游服務器,那么病毒主機就會經常偽造 斷線的假像,那么用戶就得重新登錄QQ,網游 服務器,這樣病毒主機就可以盜號了.【二,故障現象】當局域網內某臺主機運行ARP欺騙的木馬程序 時,會欺騙局域網內所有主機和路由器,讓所 有上網的流量必須經過病毒主機.其他用戶原來直接通過路由器上網

11、現在轉由通過病毒主機上 網,切換的時候用戶會斷一次線.【二,故障現象】由于ARP欺騙的木馬程序發(fā)作的時候會 發(fā)出大量的數據包導致局域網通訊擁塞以 及其自身處理能力的限制,用戶會感覺上 網速度越來越慢. 當ARP欺騙的木馬程序停止運行時(宿 主機開關機,重起),用戶會恢復從正常 的路由器上網,切換過程中用戶會再斷一 次線. 如果網絡規(guī)模較大,會出現頻繁的IP地址 沖突,斷線過程.【二,故障現象】當ARP欺騙的木馬程序停止運行時(宿主機開 關機,重起),用戶會恢復從正常的路由器上 網,切換過程中用戶會再斷一次線. 用ping 這個工具一至檢測到網關的連接情況, 得到的表現如下:【二,故障現象】Fr

12、eeBSD用戶快速發(fā)現ARP欺騙木馬 在FreeBSD路由器的console屏幕上看到大量如 下的信息:【二,故障現象】或者用以下命令查看近期發(fā)生的ARP欺 騙歷史紀錄(FreeBSD): cat /var/log/messages |grep arp【二,故障現象】這個消息代表了用戶的MAC地址發(fā)生了變化, 在ARP欺騙木馬開始運行的時候,局域網所有 主機的MAC地址更新為病毒主機的MAC地址 (即所有信息的to MAC地址都一致為病毒主機 的MAC地址),同時在路由器的ARP 信息中看 到所有用戶的MAC地址信息都一樣. MAC 如果看到大量MAC from 地址都一致,則說明局 域網內曾

13、經出現過ARP欺騙(ARP欺騙的木馬 程序停止運行時,主機在路由器上恢復其真實 的MAC地址).【二,故障現象】Windows 主機也可以安裝ARP防火墻類軟件. 平時開啟監(jiān)聽,發(fā)現ARP攻擊后就可以迅速找 到源頭MAC地址. 解決問題的第一個關鍵就是:找到攻擊源頭. 根據MAC地址的唯一性,排除仿造的MAC地址, 定位攻擊源頭主機.【三,故障檢測】在局域網內查找病毒主機. 在上面我們已經找到了使用ARP欺騙木馬的主機的MAC地 址了.怎樣找到這臺主機呢? 如果平時有好習慣,書面的MAC地址登記表,那就可以輕 松找到這臺機器了. 可以使用軟件來查找ip地址和NETBIOS 名稱(windows

14、 網上鄰居名稱,也就是安裝系統時取的主機名字) 如果名字無規(guī)律,但是交換機端口或網線有標記,而且交 換機是二層以上的,可以用上面的mac命令來找到這臺插 在哪個端口. 如果交換機是傻瓜交換機,或者網線沒有任何標記,我們 還有最后一招:馬上動手,發(fā)動群眾,登記MAC地址.這 張登記表格千萬要保存好,以后ARP來臨時就派上用場了.【三,故障檢測】FreeBSD: 安裝samba 后可以用命令findsmb 直接輸出當前vlan的網 上鄰居列表.rootearth # findsmb *=DMB +=LMB IP ADDR NETBIOS NAME WORKGROUP/OS/VERSION -192

15、.168.0.1 SUN YXMS Unix Samba 3.0.24 WWW YXMS Windows 5.0 Windows 2000 LAN Manager ADS *YXMS Windows 5.0 Windows 2000 LAN Manager 2 URANUS YXMS Unix Samba 3.0.24 6 SATURN YXMS Unix Samba 3.0.20 8 JUPITER YXMS Unix Samba 3.0.25a 84 IB

16、M X365000939 YXMS 85 IBM X365000940 YXMS 92 IBMX3650 +WORKGROUP Windows Server 2003 3790 Service Pack 1 Windows Server 2003 5.2【三,故障檢測】FreeBSD: 未安裝samba,可以安裝nbtscan獲得該列表. cd /usr/ports/net-mgmt/nbtscan/ make install clean rehash nbtscan -r /24【三,故障檢測】NBTSCAN(下載地址: 工具

17、來快速查找它. NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有"ARP木 馬"在做怪,可以找到裝有木馬的PC的IP/和MAC地址. 命令:"nbtscan -r /24"(搜索整個/24網 段, 即 -54);或"nbtscan 5-137"搜索5-137 網段,即537.輸出結果第一列是IP地址,最后一列是MAC地址.【三,故障檢

18、測】Windows NBTSCAN的使用范例: 假設查找一臺MAC地址為"000d870d585f"的病毒主機. 1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下. 2)在Windows開始運行打開,輸入cmd(windows98輸 入"command"),在出現的DOS窗口中輸入: C:nbtscan -r /24(這里需要根據用戶實際網段 輸入),回車.【三,故障檢測】目前局域網主要流行有兩種方式:DHCP(動態(tài)主機配置) 固定的ip地址 DHCP(動態(tài)主機配置) 使網絡管理員能夠集中管理和自動

19、分配 IP 網絡地址的通信 協議.在 IP 網絡中,每個連接 Internet 的設備都需要分配 唯一的 IP 地址.DHCP 使網絡管理員能從中心結點監(jiān)控和 分配 IP 地址.當某臺計算機移到網絡中的其它位置時,能 自動收到新的 IP 地址.DHCP 使用了租約的概念,或稱為 計算機 IP 地址的有效期.租用時間是不定的,主要取決于 用戶在某地聯接 Internet 需要多久, DHCP 能夠在一個計 算機比可用 IP 地址多的環(huán)境中動態(tài)地重新配置網絡. 如果這種網絡感染了這種病毒,可想而知,因為所有的計 算機沒有固定的ip地址,計算機的重啟,重新獲取了新的ip 地址.只有通過Tracert

20、和固定ip沖突來查找病毒計算機.【三,故障檢測】我們假設在這樣局域網中增加一臺機器,操作系統均為 WINDOWSXP,該計算機的IP地址和網卡硬件地址分別為 00和00- 00-0D-50-EE-B1. 該局域網內網網關為;外網網關為222.*.*.1.當 網絡出現斷流時, 通過Tracert 你可以觀察 出路由變化情況,正常的第一跳為 , 不正常為 , 該病毒計算機. 雖然判斷出哪個固定ip地址的計算機在出問題,由于固定ip 地址隨意行,不好判斷是那臺計算機; 利用IP沖突方式來判斷(一個局域網中不可以同時有兩個相 同的

21、ip,否則就會發(fā)生沖突,結果必然是其中的一臺機器無 法上網),同時抓取ip地址對應mac 地址.【三,故障檢測】網卡的工作有兩種模式:一種是正常模式,即只能接收到 指定目的MAC的廣播包或都是目的MAC與網卡MAC相同的 包.第二種是不檢查目的MAC而接收所有的包,sniffer(監(jiān) 聽程序)就是用這種原理來竊取網絡上的數據的. 那么也就是說我們只要檢測出局域網中哪個網卡工作在混 雜模式,它就很可能是在進行攻擊的那臺計算機了. 固定的ip地址 所謂固定的ip地址是指每臺計算機ip地址是靜態(tài)的(網絡管 理員根據自己的網絡分配). 單純使用 tracert命令就可以找到問題的根源.(這里不在詳述)

22、【四,故障查殺】斷開病毒宿主機網絡,重起終端交換機(和客戶端PC 相連 的底層交換機),或所有客戶端PC.局域網將迅速恢復健 康.其中重起終端交換機的方式是最快捷的.沒必要不要 隨意重起核心交換機和路由器,除非你確認核心交換機和 路由器在病毒的攻擊下已經失去響應. 其實相當于插拔了一次網線.原理是當斷開交換機電源時, 相當于斷開了插在主機上的網線,然后又插上,就是對所 有主機的網絡連接進行一次修復操作. 重裝病毒宿主機系統,或者有時間的話慢慢清除病毒也可 以.在此不多羅嗦,有興趣的老師可以參考我的另一個講 義:校園網信息安全.記住在病毒殺除前千萬不要接入網絡.【五,故障防治】【解決思路】 不要

23、把你的網絡安全信任關系建立在IP基礎上或MAC基礎上,(rarp 同樣存在欺騙的問題),理想的關系應該建立在IP+MAC基礎上. 設置靜態(tài)的MAC->IP對應表,不要讓主機刷新你設定好的轉換表. 除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對 應表中. 使用ARP服務器.通過該服務器查找自己的ARP轉換表來響應其他 機器的ARP廣播.確保這臺ARP服務器不被黑. 使用""proxy""代理IP的傳輸. 使用硬件屏蔽主機.設置好你的路由,確保IP地址能到達合法的路徑. (靜態(tài)配置路由ARP條目),注意,使用傻瓜交換集線器和網橋無 法阻

24、止ARP欺騙. 管理員定期用響應的IP包中獲得一個rarp請求,然后檢查ARP響應的 真實性. 管理員定期輪詢,檢查主機上的ARP緩存. 使用防火墻連續(xù)監(jiān)控網絡.注意有使用SNMP的情況下,ARP的欺騙 有可能導致陷阱包丟失.【五,故障防治】:選擇合適 的方案因為病毒利用的是ARP協議的缺陷,目前來說,針對校園 網環(huán)境,沒有非常完美有效的方法來防止網關設備的ARP 表不被修改. 當前最有效的方法是迅速阻斷攻擊來源.因此,要有快速 的手段監(jiān)測到攻擊,并定位攻擊來源,比如關閉可網管的 二層交換機相應的端口. 下面按照網絡規(guī)模大小,列出各級網絡適用的防治ARP病 毒的方案.根據自己的網絡情況選擇最適

25、合你的方案. 每個學校的情況都不同,以上方案僅供參考.可以根據自 己的網絡情況選擇一個,也可以同時使用幾個互不沖突方 案. 如有其他更好的辦法,歡迎交流.【五,故障防治】各大硬件廠商和ISP(網絡接入提供商)的做法: 1,ISP 2,大學 3,大型校園網:有若干個網段,有三層以上交 換機和獨立的NAT設備(路由器,防火墻) 4,中小型網絡:有三層或二層可管理交換機, 網絡規(guī)模較小. 5,小型網絡:無網段分割或簡單分割,無可管 理交換機或僅有極少量簡單網管交換機(二層 及以下交換機)【五,故障防治】1,ISP 一般使用ppp(點對點)撥號. 寬帶網絡的pppoe撥號也屬于ppp的一種. 用戶端p

26、pp網絡結構簡單,該模式決定了 每個用戶與撥號服務器的虛擬端口構成了 一個只有兩臺主機的網絡.不存在其他被 欺騙的主機. 如果欺騙了服務器,只能造成自己上網出 問題.因此ARP病毒發(fā)作的影響不存在.【五,故障防治】2,大學:一般使用802.1x 認證. 這是一個交換機端口,MAC地址和ip地址三者 同時綁定的認證協議. 經過認證的主機只能在認證通過后,才被分配 可用的IP地址,打開與外部的通訊.在認證通 過前,最多只能使用指定的臨時地址并只允許 認證數據包通過. 只允許認證過的MAC地址從認證過的交換機端 口接入,一旦MAC地址或端口變化,認證立刻 失敗. 一旦ARP欺騙發(fā)生,主機的認證立刻失

27、敗.網 絡立刻中斷.【五,故障防治】3,大型校園網.有華為或思科或其他型 號的三層以上交換機. 根據交換機型號啟用相應的DHCP服務器 轉發(fā)授權和IP MAC 綁定功能. 比如華為三層,二層交換機,一般都有 dhcp security 或dhcp-snooping 功能.啟 用它,基本上就控制arp病毒的范圍了.【五,故障防治】3,大型校園網 啟用dhcp security 或dhcp-snooping的步 驟: 三層交換機的dhcp security: 第一部分,指定有效的dhcp服務器# dhcp-server 1 ip dhcp-server 2 ip 192.1

28、68.128.2 dhcp-server 3 ip dhcp-server 4 ip 【五,故障防治】第二部分 指定某個vlan 的ip 有第幾號服務器分配.interface Vlan-interface2 description server ip address 54 dhcp-server 1這樣未經批準的dhcp服務器就無法分配 地址了【五,故障防治】查看交換機鎖定的ip地址和MAC對應關系 表:display dhcp-security 下表就顯示了這臺核心交換機綁定成功的 ip地址和

29、MAC地址.【五,故障防治】僅在核心做了以上綁定還不夠,如果下面 還有較低的二層交換機接PC,可以在二 層上做dhcp snooping 比如我一臺華為的20xx系列低端二層交 換機, 輸入 dhcp-snooping 然后所有ip地址就和mac地址通過dhcp服 務器綁定了.也就是必須是dhcp分配的ip 地址才有效.【五,故障防治】察看:2403h_living_area_5#dis dhcp-snooping IP Address MAC Address 0040-9631-7652 0 00e0-60a2-0d7d 192.168.20

30、.88 0050-bae8-d374 4 0002-dd7b-13e7 5 0012-3fe7-8883 7 0003-0d4a-11ab 49 0016-d3ca-486e 74 0014-3809-b1ca 01 0012-f0bd-cfd0 16 0016-d3ca-4f3f 27 0050-ba27-c31e 37 001b-fc79-428d 39 0014-3805-ee0d每個ip地址和mac地址在交換機上對應起來了. 亂改自己ip的病毒就失效了.因為他自己修改了ip地址, 只會讓自己上不了網. 交換機只認為上表中的ip 和mac對應關系是有效的.【五,故障防治】如果還有中間層的二層交換機,則需要啟 用dhcp-snooping 的同時,指定dhcp服務 器從那個端口發(fā)送數據. dhcp-snooping interface GigabitEthernet1/1 dhcp-snooping trust 信任g 1/1 端口 這樣底層dhcp 設備就上不來了.【五,