开学季又要到了,不管你有没有住宿的经验,相信大家有时候都会遇到明明网路设备是开的可是上不了网的问题。电脑也没什么异状,有装扫毒软体但也没有病毒讯息,也看的到自己的IP,但是就是连不上网。
这种时候可以合理的怀疑:你被攻击了!首先可以看看是不是被室友使用了网路剪刀手(Netcut)等软体把你恶意断网,或者是区域网路中有人中了ARP病毒。这种攻击没有防毒软体能够防范,电脑也不会有异状,唯一的症状就是电脑有IP可是就是ping不到router,也就是你上网的连接器。
由于Netcut使用的是假造ARP封包造成目标主机ARP table记录错误来达成断线目的,最新版本的Netcut2.0或变种ARP病毒已能快速的同时窜改目标主机与路由器(闸道器)ARP记录,简易的Netcut防护软体或静态ARP记录已经无法解决危害,因此要彻底解决此一问题必需自Netcut工作原理着手。
首先要解释DHCP的运作方式:在开机的时候原本电脑没有IP(预设为0.0.0.0),当电脑要连接网路的时候,会要求DHCP分配IP,一旦取得IP以后就可以上网了(图一)。
(图一)DHCP发送流程在电脑A刚开机,还没有取得IP的时候并不会受到来自ARP的攻击,因为要发动ARP攻击的条件就是要取得对方的网卡卡号(MAC)和IP。所以当取得IP以后,电脑A就曝露在ARP攻击的环境中。
ARP其实是IP位址转换成Mac位址的一种通讯协定,当某一台电脑要传送资料到某个IP位址时,会先传送ARP封包询问网路上哪台电脑的MACAddress对应到这个IP位址,当目的端的电脑接收到这个ARP封包之后便会回应给来源电脑进行资料传送。MAC Address的范例格式如下:00-E0-18-0E-B2-21
(图二)电脑A广播自己的MAC及IP以更新网域内电脑的ARP table
(图三) Router会依据ARP表 把资料依照适合的路径传送到 电脑A而Netcut工作方式就是从封包传递这方面下手,Netcut会经由IP扫描的方式(图四)找寻区域网路上正在活动的IP,选定好攻击的目标以后(假设要攻击A),就会大量发送广播封包,以自己或是编造的MAC搭配A的IP企图让网路上所有的电脑都把原本要传给A的资料都无法送达,这样原本正常上网的A就无法上网了(因为封包都有去无回)。(如图四)
(图四) 电脑B探寻网域中的电脑MAC
(图五)Router和 电脑A收到广播把MAC R和MAC A加进ARP表 
(图六) B电脑攻击A ,同时对Router作干扰,并迫使Router及A更新MAC table 
(图七)Router以及电脑A的ARP table被B所发送的广播封包给窜改,导致A网路瘫痪想要防治受到ARP攻击的话,需加装VLAN Switch(在图片范例中是把VLAN Switch取代HUB),因为VLAN Switch是把用户端的连结
在实体层做分割,彻底的隔绝才能够避免网路遭受攻击以后灾情影响到了网域内的所有用户。一旦以VLAN Switch做切割以后,网域内的用户除了看到路由器以外都无法看到其他用户,如此一来用户端的电脑都受到保障。在稍后展示的实际操作(图十一)中可以看到加装VLAN以后的情形。
(图八)经由VLAN switch,每个用户端都不会互相看到。
并确实做好MAC绑IP即可避免ARP攻击以下示范使用
Router(BM-1000)以及
VLAN switch(EZ-800V)来防护ARP攻击
1. 首先在BM-1000中的设定里面
确实把用户IP与MAC做连结,这样不但可以
有效防范ARP攻击也可以防止使用者乱改IP影响其他用户上网的权益,也方便当遭受ARP攻击时做为对照。
(图九)把IP和MAC绑定以避免被窜改2. 在没有经过防护的区域网路环境下,恶意软体、病毒、或是木马很容易的找到攻击目标。因为只要广播封包,网域上所有的电脑都会回应你,等于把网路曝露在危险之中。
(图十)从Netcut的扫描清单中,可以看到网路上轻易的就找到一堆开机的电脑。3. 使用VLAN switch将区域网路确实做好实体层(Layer 2)切割,把每个分接出去电脑确实分割以避免封包可以传送到网域所有的电脑,这样ARP的封包就不能互相传递,也就能防护ARP攻击啦!
(图十一)装设VLAN switch以后网路上只看的到自己的电脑和路由器的IP。4.其实想要彻底解决ARP攻击、病毒、木马、或是骇客的攻击,最好是在规划的时候就考虑好,而且在区网里面每一个switch都要有VLAN的功能,只要有一台没有VLAN功能即成为漏洞。另外最常见到的错误就是直接使用路由器的4个LAN埠,而使区网VLAN瓦解。建议的架设方式请参考下图
--
以上只是避免arp攻击的概述,有的比较难理解的地方就写的浅显一点,希望对想了解的朋友有些帮助,想要了解更多的话可以提出您的疑问,欢迎转载但请附出处,有错也请不吝指教。
