計(jì)算機(jī)軟考網(wǎng)絡(luò)工程：交換機(jī)與ARP病毒間的對(duì)決

常在河邊走，哪有不濕鞋？作為網(wǎng)絡(luò)管理員無(wú)時(shí)無(wú)刻都可能受到病毒的困擾。ARP病毒是局域網(wǎng)中非常普遍的攻擊類型，可很多人在遇到突如其來(lái)的ARP攻擊時(shí)卻手足無(wú)措。
     　 最近，公司的局域網(wǎng)老是遭到ARP攻擊，一上班同事就紛紛抱怨自己電腦上網(wǎng)速度很慢，還時(shí)不時(shí)提示遭受ARP攻擊。忙活了大半天才讓整個(gè)網(wǎng)絡(luò)恢復(fù)正常。本文整理了遭遇ARP后的一些處理辦法，以期能對(duì)同行有所幫助。按照常理來(lái)說(shuō)，應(yīng)對(duì)ARP攻擊預(yù)防應(yīng)該是第一位的，但根據(jù)很多網(wǎng)絡(luò)故障的實(shí)際情況來(lái)看，往往又是一個(gè)個(gè)亡羊補(bǔ)牢的故事。
     　“低能”交換機(jī)
     　每個(gè)客戶端主機(jī)都用一個(gè)ARP高速緩存存放最近IP地址與MAC硬件地址之間的映射記錄。只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，即會(huì)更新ARP高速緩存中的IP-MAC條目。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包，就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。
     　有一種說(shuō)法是交換機(jī)上可以防止ARP攻擊，但是如果交換機(jī)沒(méi)有進(jìn)行過(guò)安全設(shè)置，一樣避免不了ARP病毒爆發(fā)后的混亂局面。要知道交換機(jī)上同樣維護(hù)著一個(gè)動(dòng)態(tài)的MAC緩存，對(duì)應(yīng)的列表保存了交換機(jī)的接口（Port）對(duì)應(yīng)MAC地址。這個(gè)表開(kāi)始是空的，交換機(jī)從來(lái)往數(shù)據(jù)幀中學(xué)習(xí)。
     　 由于MAC-Port緩存表是動(dòng)態(tài)更新的，那么讓整個(gè)交換機(jī)的接口表都改變的方法是對(duì)交換機(jī)進(jìn)行MAC地址欺騙的洪泛攻擊，不斷發(fā)送大量假M(fèi)AC地址的數(shù)據(jù)包讓交換機(jī)更新MAC-Port緩存。如果能通過(guò)這樣的辦法把以前正常的MAC和Port對(duì)應(yīng)表更換。那么交換機(jī)就會(huì)進(jìn)行洪泛發(fā)送給每一個(gè)接口，讓交換機(jī)基本變成一個(gè) Hub，向所有的接口發(fā)送數(shù)據(jù)包。ARP攻擊將造成交換機(jī) MAC-Port緩存的崩潰，所以說(shuō)沒(méi)有進(jìn)行安全管理的交換機(jī)和Hub一樣，都是“低能兒”。