2006年4月磊科网络承接了北京科技大学宿舍楼的网络工程。网络拓朴图如下：

　　网络是由两根光纤引入接到双WAN口路由器，路由器下接收费网关（BAS），Radius服务器。中心交换机为Netcore 7801NS三层交换机与BAS相连，Netcore 7801NS下面就是Netcore 7008NS全千兆交换机，接入层设备为Netcore 7226DNS 24+2口交换机，共13台。

　　网络实验

　　该网络在正常运转3个星期左右，突然有用户连接不上BAS，不能正常上网，更改一下本地网卡IP地址后，就会一切恢复正常。我们发现不能正常登陆认证客户端时，BAS的地址173.31.13.1是PING不通的，并且7801NS的地址10.1.40.1和连接BAS的端口地址173.31.13.2也都是PING不通的。通过IPCONFIG命令本地连接信息也并没发现异常。此后用ARP –A命令发现ARP缓存只有一个10.1.40.1的MAC地址，多次用ARP -A查看ARP缓存表发现网关10.1.40.1的MAC地址会有不同。于是我们开始怀疑网络存在有MAC地址冲突的问题。通过网络管理软件看到正在上网的机器并没有MAC地址相同的情况，通过7801NS的管理页面检察了ARP地址表，发现有很多台机算机的MAC地址相同。根据上述情况，可以初步肯定是ARP攻击导致了网络问题的出现。

　　ARP攻击原理

　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”。帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的

　　主机                      IP地址                            MAC地址

　　A                     192.168.16.1                     aa-aa-aa-aa-aa-aa

　　B                     192.168.16.2                     bb-bb-bb-bb-bb-bb

　　C                     192.168.16.3                     cc-cc-cc-cc-cc-cc

　　D                     192.168.16.4                     dd-dd-dd-dd-dd-dd

　　我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是多少？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。

　　D作为主机进行欺骗的时候，将A上C的MAC地址骗为dd-dd-dd-dd-dd-dd，将C上A的MAC地址骗为dd-dd-dd-dd-dd-dd，于是A发送到C上的数据包都变成发送给D的了，而且C发送到A的数据包也变成发送D，D再做A、C的转发，好比一个路由器一样。

　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假象，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

[1] [2] 下一页