計算機軟考網(wǎng)絡(luò)工程：交換機與ARP病毒間的對決

常在河邊走，哪有不濕鞋？作為網(wǎng)絡(luò)管理員無時無刻都可能受到病毒的困擾。ARP病毒是局域網(wǎng)中非常普遍的攻擊類型，可很多人在遇到突如其來的ARP攻擊時卻手足無措。
     　 最近，公司的局域網(wǎng)老是遭到ARP攻擊，一上班同事就紛紛抱怨自己電腦上網(wǎng)速度很慢，還時不時提示遭受ARP攻擊。忙活了大半天才讓整個網(wǎng)絡(luò)恢復(fù)正常。本文整理了遭遇ARP后的一些處理辦法，以期能對同行有所幫助。按照常理來說，應(yīng)對ARP攻擊預(yù)防應(yīng)該是第一位的，但根據(jù)很多網(wǎng)絡(luò)故障的實際情況來看，往往又是一個個亡羊補牢的故事。
     　“低能”交換機
     　每個客戶端主機都用一個ARP高速緩存存放最近IP地址與MAC硬件地址之間的映射記錄。只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機，即會更新ARP高速緩存中的IP-MAC條目。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包，就能更改目標(biāo)主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。
     　有一種說法是交換機上可以防止ARP攻擊，但是如果交換機沒有進行過安全設(shè)置，一樣避免不了ARP病毒爆發(fā)后的混亂局面。要知道交換機上同樣維護著一個動態(tài)的MAC緩存，對應(yīng)的列表保存了交換機的接口（Port）對應(yīng)MAC地址。這個表開始是空的，交換機從來往數(shù)據(jù)幀中學(xué)習(xí)。
     　 由于MAC-Port緩存表是動態(tài)更新的，那么讓整個交換機的接口表都改變的方法是對交換機進行MAC地址欺騙的洪泛攻擊，不斷發(fā)送大量假MAC地址的數(shù)據(jù)包讓交換機更新MAC-Port緩存。如果能通過這樣的辦法把以前正常的MAC和Port對應(yīng)表更換。那么交換機就會進行洪泛發(fā)送給每一個接口，讓交換機基本變成一個 Hub，向所有的接口發(fā)送數(shù)據(jù)包。ARP攻擊將造成交換機 MAC-Port緩存的崩潰，所以說沒有進行安全管理的交換機和Hub一樣，都是“低能兒”。