作為一名校園網(wǎng)管理員，筆者近期接二連三地接到用戶不能正常上網(wǎng)的舉報，使得我們焦頭爛額。經(jīng)過進(jìn)一步調(diào)查，終于發(fā)現(xiàn)了故障的真相。

首先說明一下我校的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：在一臺三層主交換機(jī)上劃分了VLAN，VLAN1使用普通的二層交換機(jī)，連接學(xué)生宿舍的網(wǎng)絡(luò)。使用192.168.0.0作為網(wǎng)絡(luò)地址，并在主交換機(jī)上做了MAC地址與IP地址的綁定，避免學(xué)生自行修改IP地址造成地址沖突。學(xué)生的計算機(jī)全部連接到普通的二層交換機(jī)上。

故障現(xiàn)象

某臺計算機(jī)會突然不能連接到服務(wù)器或其他客戶機(jī)，重啟后恢復(fù)正常，短時間后，又出現(xiàn)該狀況。查看本地連接狀態(tài)發(fā)現(xiàn)只有發(fā)出的數(shù)據(jù)包而沒有返回的數(shù)據(jù)包。根據(jù)以往的經(jīng)驗，該癥狀與MAC地址綁定錯誤相同，于是在交換機(jī)上查看，發(fā)現(xiàn)一切正常，只是該IP地址沒有數(shù)據(jù)流量。同時，在網(wǎng)絡(luò)中的網(wǎng)管軟件監(jiān)聽到大量未知MAC地址的數(shù)據(jù)包出現(xiàn)。

故障分析

綜合考慮，我們認(rèn)為有偽造MAC地址的情況出現(xiàn)。我們重點(diǎn)查找Windows系統(tǒng)下的嗅探軟件，并以著名的Winpcap和Libpcap為重點(diǎn)，最終的焦點(diǎn)定位在一款叫做“網(wǎng)絡(luò)執(zhí)法官”的軟件上。

我們立即下載該軟件進(jìn)行安裝，發(fā)現(xiàn)其基于Winpcap。因為Winpcap的資料相對較多，我們沒有試圖對該軟件進(jìn)行反編譯，而只對其基本功能進(jìn)行了測試，發(fā)現(xiàn)其工作方式有三種，并進(jìn)行了基本測試：

1． 生成IP地址沖突

在該模式下，軟件產(chǎn)生一個虛擬的MAC地址，并利用這個MAC地址偽造和被攻擊機(jī)器的IP地址相同的數(shù)據(jù)包，從而使被攻擊機(jī)器不斷出現(xiàn)IP地址沖突對話框，但由于該MAC地址是偽造的，所以被攻擊機(jī)器無法發(fā)現(xiàn)是哪個機(jī)器進(jìn)行了攻擊。

2． 斷開被攻擊機(jī)器與網(wǎng)關(guān)的聯(lián)系

在該模式下，軟件對被攻擊機(jī)和網(wǎng)關(guān)機(jī)都產(chǎn)生一個ARP的“欺騙”，使得兩者不能正確獲知對方的MAC地址，從而不能正常通訊。但被攻擊機(jī)器和局域網(wǎng)內(nèi)其他主機(jī)可以進(jìn)行通訊。

3． 斷開被攻擊機(jī)器與所有其他主機(jī)的聯(lián)系

在該模式下，軟件對被攻擊機(jī)器和局域網(wǎng)內(nèi)所有主機(jī)（包括網(wǎng)關(guān)）都進(jìn)行“ARP欺騙”，被攻擊機(jī)器不能和任何機(jī)器通訊。但本主機(jī)不能和被攻擊機(jī)斷開聯(lián)系（該軟件不會欺騙本身主機(jī)），所以如果該軟件如果安裝在網(wǎng)關(guān)機(jī)上，就失去了網(wǎng)絡(luò)管理功能。

明顯的，這是一種“ARP欺騙”的攻擊。而ARP協(xié)議位于TCP/IP協(xié)議中的網(wǎng)絡(luò)層，主要功能是將廣域網(wǎng)的IP地址尋址轉(zhuǎn)換成局域網(wǎng)中的MAC地址尋址。所以，如果我們破壞了IP/MAC地址的轉(zhuǎn)換，被攻擊的主機(jī)就不能在局域網(wǎng)中進(jìn)行通訊了（因為沒有其他主機(jī)“認(rèn)識”它了）。

故障解決

那么，我們能不能避免ARP“欺騙”攻擊呢？很遺憾的是：鑒于ARP協(xié)議的“自治”性，除非全部使用靜態(tài)ARP，否則是不能的。

用什么辦法對抗網(wǎng)絡(luò)執(zhí)法官呢？我們從查、躲、殺三個角度進(jìn)行了試驗。

1． 如何得知自己是否受到“ARP欺騙”的攻擊呢？

您可以檢測自己的網(wǎng)卡工作狀態(tài)，如果只發(fā)數(shù)據(jù)而不能接收到數(shù)據(jù)的話，很可能就受到了攻擊。您也可以在命令行狀態(tài)下使用ARP -A命令，來查看本機(jī)的ARP緩存狀態(tài)，正常情況下除了網(wǎng)關(guān)外不會有太多的記錄，您需要查看網(wǎng)關(guān)的MAC地址是否和正常的一樣。如果不同，那么或者網(wǎng)關(guān)換了網(wǎng)卡，或者您受到了“ARP欺騙”的攻擊。

同樣，如果沒有記錄或者有過多的ARP記錄，您也可能受到了攻擊（不同版本的網(wǎng)絡(luò)執(zhí)法官的攻擊方式有所不同）。

2． 如何在局域網(wǎng)中查找該主機(jī)

因為該軟件是基于Winpcap驅(qū)動的，其工作起來必然需要將該主機(jī)網(wǎng)卡工作于“混雜”模式下，原理類似于常見的嗅探軟件，所以，反嗅探的軟件可以對其進(jìn)行查找。經(jīng)常使用的有Antisniffer、ARPkiller等。利用反嗅探軟件查找局域網(wǎng)內(nèi)處于“混雜”模式的網(wǎng)卡，基本可以確定進(jìn)行攻擊的主機(jī)的IP地址。

注：被查找到的主機(jī)也可能沒有使用“ARP欺騙”，而只進(jìn)行了竊聽。但總之處于“混雜”狀態(tài)的主機(jī)肯定是不正常的。

同樣的，您還可以安裝網(wǎng)絡(luò)執(zhí)法官的檢測版本來檢測本網(wǎng)中運(yùn)行該軟件的主機(jī)。

3． 躲過“ARP欺騙”的攻擊

如果您的網(wǎng)絡(luò)里沒有在網(wǎng)關(guān)綁定MAC地址和IP地址的話，您可以針對被攻擊的類型不同選擇不同的方式躲避攻擊：

（1）產(chǎn)生IP地址沖突的攻擊

如果產(chǎn)生地址沖突，您可以看見類似“系統(tǒng)檢測到IP地址和硬件地址00-50-FC-1F-4C-9E發(fā)生沖突”的對話框。您可以將您的MAC地址設(shè)置為該硬件地址，就可以避免再次出現(xiàn)該對話框。

（2）斷開被攻擊機(jī)器與網(wǎng)關(guān)的聯(lián)系和斷開被攻擊機(jī)器與所有其他主機(jī)的聯(lián)系的攻擊

您可以自行修改MAC地址，修改后，可以在短時間內(nèi)避開被攻擊，但是如果攻擊者在網(wǎng)絡(luò)執(zhí)法官中設(shè)置了“發(fā)現(xiàn)用戶上網(wǎng)即進(jìn)行管理”后，不久會再次受到攻擊。

總之，利用修改MAC地址來躲避并不是有效的辦法。況且很多局域網(wǎng)中還進(jìn)行的MAC地址和IP地址的綁定，就算避過了網(wǎng)絡(luò)執(zhí)法官的攻擊，也同樣不能正常上網(wǎng)。

4． “殺”實(shí)際上是一種“對攻”

因為ARP緩存具有一定的生命周期，所以網(wǎng)絡(luò)執(zhí)法官會在幾秒內(nèi)產(chǎn)生一個新的ARP數(shù)據(jù)包。首先我們可以利用靜態(tài)ARP在本機(jī)注冊網(wǎng)關(guān)正確的MAC地址，然后利用ARPkiller等軟件不停地向網(wǎng)絡(luò)中發(fā)布本機(jī)的正確IP和MAC數(shù)據(jù)，使得網(wǎng)關(guān)的ARP緩存中始終保持有關(guān)本機(jī)的正確數(shù)據(jù)，這樣就可以保持和網(wǎng)關(guān)的通訊，也就可以正常上網(wǎng)了。甚至，我們同樣可以發(fā)動“反擊”，使得對方“掉網(wǎng)”。