校园网ARP攻击的防御

2013年5月21日下午至5月22日,ARP攻击校园网,导致全校大面积不了上网,领导急,压力大,整理下文章.

由于ARP欺骗攻击，利用了ARP协议的设计缺陷，光靠包过滤、IP＋MAC＋端口绑定等传统办法是比较难解决的。

通过对ARP欺骗攻击原理的剖析，如果要防御该类型攻击，最理想的办法是在接入层对ARP报文进行内容有效性检查，对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种技术，我们称为ARP入侵检测

 

 

 

# ARP –a
查看本机ARP缓存，正常情况下第一栏打印本机IP地址，第二栏返回当前网关的IP地址和MAC地址。
正常模式：网络中只有一个网关，客户机arp -a 只有一条arp记录，并且这条记录是当前网关的IP --> MAC 的映射。
混杂模式：当ARP缓存中arp有多条IP -->MAC 的记录，说明当前为混杂模式，网的网关不是唯一的.

 

ARP入侵检测

ARP攻击检测方案  

    1. 尝试使用"arp -a"命令查看本地ARP缓存表，查找重复MAC地址或错误的网关地址。

 2. 尝试使用nbtscan.exe工具扫描分析网内IP地址与MAC地址。 

3. 尝试使用"ping"命令测试本机与其他内网主机的延迟时间，延迟高则可疑。

4. 尝试使用金山贝壳ARP防火墙拦截ARP攻击数据包，根据攻击拦截日志进行判断。

5. 尝试使用"彩影ARP防火墙（原AntiARPSniffer）"分析流量，查找可疑攻击源。

 6. 尝试使用"WireShark"、"科来网络分析系统"、"Sniffer Pro"等嗅探分析软件对网络数据进 行抓包检测，查找发布大量Broadcast类数据包源主机及其他无请求响应类ARP数据包发送源，或根据ARP包头源MAC地址与二层以太网数据帧SA字段进行比较，查看其是否一致来判断是否遭受ARP病毒攻击。 

 7. 开启“诺顿企业版防护软件”网络威胁保护一项中的“防御MAC地址欺骗”功能。  [其他杀毒软件亦同]

8. 尝试使用"折半法"（每次切断一半主机的网络连接）分析判断病毒源主机物理位置。

9. 尝试登陆路由器，检查DHCP分配日志信息与ARP缓存表，再做IP/MAC地址绑定。

10. 尝试登陆交换机，查看MAC地址表，查找可疑MAC对应物理端口号，确定主机位置。 或开启"端口镜像"技术使用其他PC做旁侧流量的分析判断。 

 11. 根据交换机数据传输状态指示灯闪烁频率，判断病毒源，频次高则可疑。   

 12. 检测路由器是否开启了Proxy ARP造成网络中存在大量ARP广播风暴或ARP扫描类数据 包，从而导致相关软件报告攻击。