用抓包的方法解決ARP病毒欺騙攻擊

最近網絡中有億恩科技主機頻繁斷線，剛剛開始還比較正常，但是一段時間后就出現斷線情況，有時很快恢復，但是有時要長達好幾分鐘啊，這樣對工作影響太大了。最初懷疑是否是物理上的錯誤，總之從最容易下手的東西開始檢查，檢查完畢后沒有發現異常！突然想到目前網上比較流行的ARP攻擊，ARP攻擊出現的故障情況與此非常之相似！對于ARP攻擊，一般常規辦法是很難找出和判斷的，需要抓包分析。

1.原理知識

在解決問題之前，我們先了解下ARP的相關原理知識。

ARP原理：

首先，每臺億恩科技主機都會在自己的ARP緩沖區（ARPCache）中建立一個ARP列表，以表示IP地址和MAC地址的對應關系。當源億恩科技主機需要將一個數據包要發送到目的億恩科技主機時，會首先檢查自己ARP列表中是否存在該IP地址對應的MAC地址，如果有﹐就直接將數據包發送到這個MAC地址；如果沒有，就向本地網段發起一個ARP請求的廣播包，查詢此目的億恩科技主機對應的MAC地址。此ARP請求數據包里包括源億恩科技主機的IP地址、硬件地址、以及目的億恩科技主機的IP地址。

網絡中所有的億恩科技主機收到這個ARP請求后，會檢查數據包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數據包；如果相同，該億恩科技主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經存在該IP的信息，則將其覆蓋，然后給源億恩科技主機發送一個ARP響應數據包，告訴對方自己是它需要查找的MAC地址；源億恩科技主機收到這個ARP響應數據包后，將得到的目的億恩科技主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數據的傳輸。如果源億恩科技主機一直沒有收到ARP響應數據包，表示ARP查詢失敗。

ARP欺騙原理：

我們先模擬一個環境：

網關：192.168.1.1 MAC地址：00:11:22:33:44:55

欺騙億恩科技主機A：192.168.1.100 MAC地址：00:11:22:33:44:66

被欺騙億恩科技主機B：192.168.1.50 MAC地址：00:11:22:33:44:77

欺騙億恩科技主機A不停的發送ARP應答包給網關，告訴網關他是192.168.1.50億恩科技主機B，這樣網關就相信欺騙億恩科技主機，并且在網關的ARP緩存表里就有192.168.1.50對應的MAC就是欺騙億恩科技主機A的MAC地址00:11:22:33:44:66，網關真正發給億恩科技主機B的流量就轉發給億恩科技主機A；另外億恩科技主機A同時不停的向億恩科技主機B發送ARP請求，億恩科技主機B相信億恩科技主機A為網關，在億恩科技主機B的緩存表里有一條記錄為192.168.1.1對應00:11:22:33:44:66，這樣億恩科技主機B真正發送給網關的數據流量就會轉發到億恩科技主機A；等于說億恩科技主機A和網關之間的通訊就經過了億恩科技主機A，億恩科技主機A作為了一個中間人在彼此之間進行轉發，這就是ARP欺騙。

2.解決方法

看來只有抓包了，首先，我將交換機做好端口鏡像設置，然后把安裝有科來網絡分析系統的電腦接入鏡像端口，抓取網絡的所有數據進行分析。通過幾個視圖我得出了分析結果：診斷視圖提示有太多“ARP無請求應答”。

在診斷中，我發現幾乎都是00:20:ED:AA:0D:04發起的大量ARP應答。而且在參考信息中提示說可能存在ARP欺騙。看來我的方向是走對了，但是為了進一步確定，得結合其他內容信息。查看協議視圖了解ARP協議的詳細情況，

ARPResponse和ARPRequest相差比例太大了，很不正常啊。接下來，再看看數據包的詳細情況。

我從數據包信息已經看出問題了，00:20:ED:AA:0D:04在欺騙網絡中192.168.17.0這個網段的億恩科技主機，應該是在告訴大家它是網關吧，想充當中間人的身份吧，被欺騙億恩科技主機的通訊流量都跑到他那邊“被審核”了。

現在基本確定為ARP欺騙攻擊，現在我需要核查MAC地址的億恩科技主機00:20:ED:AA:0D:04是哪臺億恩科技主機，幸好我在平時記錄了內部所有億恩科技主機的MAC地址和億恩科技主機對應表，終于給找出真兇億恩科技主機了。可能上面中了ARP病毒，立即斷網殺毒。網絡正常了，嗚呼！整個世界又安靜了！

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]