局域網(wǎng)絡(luò)維護(hù)經(jīng)驗(yàn)談概要

1、局域網(wǎng)絡(luò)維護(hù)經(jīng)驗(yàn)談本文由375041353貢獻(xiàn)局域網(wǎng)絡(luò)維護(hù)經(jīng)驗(yàn)談導(dǎo)言近期在全國范圍內(nèi)大規(guī)模爆發(fā)arp病毒及其各種 變種,對各種行業(yè)與部門的網(wǎng)絡(luò)管理人員是一 個考驗(yàn). 如果局域網(wǎng)中發(fā)現(xiàn)許多臺電腦中毒,電腦中毒 后會向同網(wǎng)段內(nèi)所有計算機(jī)發(fā)ARP欺騙包. 由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大 量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞,用戶會感覺 上網(wǎng)速度越來越慢,掉線;甚至無法上網(wǎng),同 時造成整個局域網(wǎng)的不穩(wěn)定,這種現(xiàn)象就是我 們常見的ARP病毒.ARP 病毒一,故障原理 二,故障現(xiàn)象 三,故障檢測 四,故障查殺 五,故障防治【一,故障原理】局域網(wǎng)內(nèi)有人安裝運(yùn)行了使用ARP欺騙 的木馬程序(比如:QQ外掛

2、,網(wǎng)游外掛, 某些非官方網(wǎng)站下載的QQ之類的常用軟 件也被惡意加載了此類程序). 該程序一旦被安裝后,就會把自己放入系 統(tǒng)自動啟動組內(nèi),每次開機(jī)都會加載自身. 程序的目的一般是為了盜取QQ,網(wǎng)游, 網(wǎng)上交易等密碼,然后發(fā)送給木馬作者, 以獲取經(jīng)濟(jì)利益.【一,故障原理】要了解ARP故障原理,我們先來了解一下ARP 協(xié)議. ARP病毒原理:arp是一種將ip轉(zhuǎn)化成以ip對應(yīng) 的網(wǎng)卡的物理地址的一種協(xié)議,或者說ARP協(xié) 議是一種將ip地址轉(zhuǎn)化成MAC地址的一種協(xié)議. 它靠維持在內(nèi)存中保存的一張表來使ip得以在網(wǎng) 絡(luò)上被目標(biāo)機(jī)器應(yīng)答. 在局域網(wǎng)中,通過ARP協(xié)議來完成IP地址轉(zhuǎn)換 為第二層物理地址(即

3、MAC地址)的. ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義. 通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能 夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞.【一,故障原理】ARP協(xié)議是"Address Resolution Protocol" (地址解析協(xié)議)的縮寫. 在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?quot;幀",幀 里面是有目標(biāo)主機(jī)的MAC地址的. 在以太網(wǎng)中,一個主機(jī)要和另一個主機(jī)進(jìn)行直 接通信,必須要知道目標(biāo)主機(jī)的MAC地址. 但這個目標(biāo)MAC地址是如何獲得的呢?它就是 通過地址解析協(xié)議獲得的. 所謂"地址解析"就是主機(jī)在發(fā)送幀前將目標(biāo) IP地

4、址轉(zhuǎn)換成目標(biāo)MAC地址的過程. ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地 址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的 順利進(jìn)行.【一,故障原理】為什么要將ip轉(zhuǎn)化成mac呢?簡單的說,這是因?yàn)樵趖cp網(wǎng) 絡(luò)環(huán)境下,一個ip包走到哪里,要怎么走是靠路由表定義. 但是,當(dāng)ip包到達(dá)該網(wǎng)絡(luò)后,哪臺機(jī)器響應(yīng)這個ip包卻是靠 該ip包中所包含的mac地址來識別. 也就是說,只有機(jī)器的mac地址和該ip包中的mac地址相同 的機(jī)器才會應(yīng)答這個ip 包. 因?yàn)樵诰W(wǎng)絡(luò)中,每一臺主機(jī)都會有發(fā)送ip包的時候.所以, 在每臺主機(jī)的內(nèi)存中,都有一個 arp-> mac 的轉(zhuǎn)換表.通 常是動態(tài)的轉(zhuǎn)換表(注意在

5、路由中,該arp表可以被設(shè)置成 靜態(tài)). 也就是說,該對應(yīng)表會被主機(jī)在需要的時候刷新.這是由 于以太網(wǎng)在子網(wǎng)層上的傳輸是靠48位的mac地址而決定的.【一,故障原理】每臺安裝有TCP/IP協(xié)議的電腦里都有一 個ARP緩存表,表里的IP地址與MAC地 址是一一對應(yīng)的,如下表所示. 主機(jī) IP地址 MAC地址 A aa-aa-aa-aa-aa-aa B bb-bb-bb-bb-bb-bb C cc-cc-cc-cc-cc-cc D dd-dd-dd-dd-dd-dd【一,故障原理】WINDOWS

6、的ARP表 cmd, arp a輸出結(jié)果【一,故障原理】華為三層交換機(jī)的ARP表 dis arp輸出結(jié)果【一,故障原理】華為二層交換機(jī):MAC端口對照表 dis mac 輸出結(jié)果【一,故障原理】思科交換機(jī)MAC端口對照表 show mac address dynamic輸出結(jié)果【一,故障原理】港灣交換機(jī)MAC端口對照表 show fdb輸出結(jié)果【一,故障原理】我們以主機(jī)A()向主機(jī)B ()發(fā)送數(shù)據(jù)為例.當(dāng)發(fā)送數(shù)據(jù)時, 主機(jī)A會在自己的ARP緩存表中尋找是否有目標(biāo) IP地址.如果找到了,也就知道了目標(biāo)MAC地址, 直接把目標(biāo)MAC地址寫入幀里面發(fā)送

7、就可以了; 如果在ARP緩存表中沒有找到相對應(yīng)的IP地址, 主機(jī)A就會在網(wǎng)絡(luò)上發(fā)送一個廣播,目標(biāo)MAC地 址是"FF.FF.FF.FF.FF.FF",這表示向同一網(wǎng)段內(nèi) 的所有主機(jī)發(fā)出這樣的詢問:"的 MAC地址是什么?"網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng) ARP詢問,只有主機(jī)B接收到這個幀時,才向主 機(jī)A做出這樣的回應(yīng):"的MAC地 址是bb-bb-bb-bb-bb-bb".【一,故障原理】這樣,主機(jī)A就知道了主機(jī)B的MAC地址, 它就可以向主機(jī)B發(fā)送信息了.同時它還 更新了自己的ARP緩存表,下

8、次再向主 機(jī)B發(fā)送信息時,直接從ARP緩存表里查 找就可以了.ARP緩存表采用了老化機(jī) 制,在一段時間內(nèi)如果表中的某一行沒有 使用,就會被刪除,這樣可以大大減少 ARP緩存表的長度,加快查詢速度.【一,故障原理】從上面可以看出,ARP協(xié)議的基礎(chǔ)就是 信任局域網(wǎng)內(nèi)所有的人,那么就很容易實(shí) 現(xiàn)在以太網(wǎng)上的ARP欺騙.對目標(biāo)A進(jìn)行 欺騙,A去Ping主機(jī)C卻發(fā)送到了DD-DDDD-DD-DD-DD這個地址上.如果進(jìn)行欺 騙的時候,把C的MAC地址騙為DD-DDDD-DD-DD-DD,于是A發(fā)送到C上的數(shù) 據(jù)包都變成發(fā)送給D的了.這不正好是D 能夠接收到A發(fā)送的數(shù)據(jù)包了么,嗅探成 功.【一,故障原理】

9、A對這個變化一點(diǎn)都沒有意識到,但是接下來的 事情就讓A產(chǎn)生了懷疑.因?yàn)锳和C連接不上了. D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C. 做"man in the middle"(中間人攻擊),進(jìn)行 ARP重定向.打開D的IP轉(zhuǎn)發(fā)功能,A發(fā)送過來 的數(shù)據(jù)包,轉(zhuǎn)發(fā)給C,好比一個路由器一樣.不 過,假如D發(fā)送ICMP重定向的話就中斷了整個 計劃.【一,故障原理】D直接進(jìn)行整個包的修改轉(zhuǎn)發(fā),捕獲到A 發(fā)送給C的數(shù)據(jù)包,全部進(jìn)行修改后再轉(zhuǎn) 發(fā)給C,而C接收到的數(shù)據(jù)包完全認(rèn)為是 從A發(fā)送來的.不過,C發(fā)送的數(shù)據(jù)包又 直接傳遞給A,倘若再次進(jìn)行對C的ARP 欺騙.現(xiàn)在D就完全成為A與C的

10、中間橋 梁了,對于A和C之間的通訊就可以了如 指掌了.【二,故障現(xiàn)象】當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序 時,會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,讓所 有上網(wǎng)的流量必須經(jīng)過病毒主機(jī).其他用戶原 來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī) 上網(wǎng),切換的時候用戶會斷一次線. 切換到病毒主機(jī)上網(wǎng)后,如果用戶已經(jīng)登陸了 QQ,網(wǎng)游服務(wù)器,那么病毒主機(jī)就會經(jīng)常偽造 斷線的假像,那么用戶就得重新登錄QQ,網(wǎng)游 服務(wù)器,這樣病毒主機(jī)就可以盜號了.【二,故障現(xiàn)象】當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行ARP欺騙的木馬程序 時,會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,讓所 有上網(wǎng)的流量必須經(jīng)過病毒主機(jī).其他用戶原來直接通過路由器上網(wǎng)

11、現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上 網(wǎng),切換的時候用戶會斷一次線.【二,故障現(xiàn)象】由于ARP欺騙的木馬程序發(fā)作的時候會 發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以 及其自身處理能力的限制,用戶會感覺上 網(wǎng)速度越來越慢. 當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(宿 主機(jī)開關(guān)機(jī),重起),用戶會恢復(fù)從正常 的路由器上網(wǎng),切換過程中用戶會再斷一 次線. 如果網(wǎng)絡(luò)規(guī)模較大,會出現(xiàn)頻繁的IP地址 沖突,斷線過程.【二,故障現(xiàn)象】當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(宿主機(jī)開 關(guān)機(jī),重起),用戶會恢復(fù)從正常的路由器上 網(wǎng),切換過程中用戶會再斷一次線. 用ping 這個工具一至檢測到網(wǎng)關(guān)的連接情況, 得到的表現(xiàn)如下:【二,故障現(xiàn)象】Fr

12、eeBSD用戶快速發(fā)現(xiàn)ARP欺騙木馬 在FreeBSD路由器的console屏幕上看到大量如 下的信息:【二,故障現(xiàn)象】或者用以下命令查看近期發(fā)生的ARP欺 騙歷史紀(jì)錄(FreeBSD): cat /var/log/messages |grep arp【二,故障現(xiàn)象】這個消息代表了用戶的MAC地址發(fā)生了變化, 在ARP欺騙木馬開始運(yùn)行的時候,局域網(wǎng)所有 主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址 (即所有信息的to MAC地址都一致為病毒主機(jī) 的MAC地址),同時在路由器的ARP 信息中看 到所有用戶的MAC地址信息都一樣. MAC 如果看到大量MAC from 地址都一致,則說明局 域網(wǎng)內(nèi)曾

13、經(jīng)出現(xiàn)過ARP欺騙(ARP欺騙的木馬 程序停止運(yùn)行時,主機(jī)在路由器上恢復(fù)其真實(shí) 的MAC地址).【二,故障現(xiàn)象】Windows 主機(jī)也可以安裝ARP防火墻類軟件. 平時開啟監(jiān)聽,發(fā)現(xiàn)ARP攻擊后就可以迅速找 到源頭MAC地址. 解決問題的第一個關(guān)鍵就是:找到攻擊源頭. 根據(jù)MAC地址的唯一性,排除仿造的MAC地址, 定位攻擊源頭主機(jī).【三,故障檢測】在局域網(wǎng)內(nèi)查找病毒主機(jī). 在上面我們已經(jīng)找到了使用ARP欺騙木馬的主機(jī)的MAC地 址了.怎樣找到這臺主機(jī)呢? 如果平時有好習(xí)慣,書面的MAC地址登記表,那就可以輕 松找到這臺機(jī)器了. 可以使用軟件來查找ip地址和NETBIOS 名稱(windows

14、 網(wǎng)上鄰居名稱,也就是安裝系統(tǒng)時取的主機(jī)名字) 如果名字無規(guī)律,但是交換機(jī)端口或網(wǎng)線有標(biāo)記,而且交 換機(jī)是二層以上的,可以用上面的mac命令來找到這臺插 在哪個端口. 如果交換機(jī)是傻瓜交換機(jī),或者網(wǎng)線沒有任何標(biāo)記,我們 還有最后一招:馬上動手,發(fā)動群眾,登記MAC地址.這 張登記表格千萬要保存好,以后ARP來臨時就派上用場了.【三,故障檢測】FreeBSD: 安裝samba 后可以用命令findsmb 直接輸出當(dāng)前vlan的網(wǎng) 上鄰居列表.rootearth # findsmb *=DMB +=LMB IP ADDR NETBIOS NAME WORKGROUP/OS/VERSION -192

15、.168.0.1 SUN YXMS Unix Samba 3.0.24 WWW YXMS Windows 5.0 Windows 2000 LAN Manager ADS *YXMS Windows 5.0 Windows 2000 LAN Manager 2 URANUS YXMS Unix Samba 3.0.24 6 SATURN YXMS Unix Samba 3.0.20 8 JUPITER YXMS Unix Samba 3.0.25a 84 IB

16、M X365000939 YXMS 85 IBM X365000940 YXMS 92 IBMX3650 +WORKGROUP Windows Server 2003 3790 Service Pack 1 Windows Server 2003 5.2【三,故障檢測】FreeBSD: 未安裝samba,可以安裝nbtscan獲得該列表. cd /usr/ports/net-mgmt/nbtscan/ make install clean rehash nbtscan -r /24【三,故障檢測】NBTSCAN(下載地址: 工具

17、來快速查找它. NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址,如果有"ARP木 馬"在做怪,可以找到裝有木馬的PC的IP/和MAC地址. 命令:"nbtscan -r /24"(搜索整個/24網(wǎng) 段, 即 -54);或"nbtscan 5-137"搜索5-137 網(wǎng)段,即537.輸出結(jié)果第一列是IP地址,最后一列是MAC地址.【三,故障檢

18、測】Windows NBTSCAN的使用范例: 假設(shè)查找一臺MAC地址為"000d870d585f"的病毒主機(jī). 1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下. 2)在Windows開始運(yùn)行打開,輸入cmd(windows98輸 入"command"),在出現(xiàn)的DOS窗口中輸入: C:nbtscan -r /24(這里需要根據(jù)用戶實(shí)際網(wǎng)段 輸入),回車.【三,故障檢測】目前局域網(wǎng)主要流行有兩種方式:DHCP(動態(tài)主機(jī)配置) 固定的ip地址 DHCP(動態(tài)主機(jī)配置) 使網(wǎng)絡(luò)管理員能夠集中管理和自動

19、分配 IP 網(wǎng)絡(luò)地址的通信 協(xié)議.在 IP 網(wǎng)絡(luò)中,每個連接 Internet 的設(shè)備都需要分配 唯一的 IP 地址.DHCP 使網(wǎng)絡(luò)管理員能從中心結(jié)點(diǎn)監(jiān)控和 分配 IP 地址.當(dāng)某臺計算機(jī)移到網(wǎng)絡(luò)中的其它位置時,能 自動收到新的 IP 地址.DHCP 使用了租約的概念,或稱為 計算機(jī) IP 地址的有效期.租用時間是不定的,主要取決于 用戶在某地聯(lián)接 Internet 需要多久, DHCP 能夠在一個計 算機(jī)比可用 IP 地址多的環(huán)境中動態(tài)地重新配置網(wǎng)絡(luò). 如果這種網(wǎng)絡(luò)感染了這種病毒,可想而知,因?yàn)樗械挠?算機(jī)沒有固定的ip地址,計算機(jī)的重啟,重新獲取了新的ip 地址.只有通過Tracert

20、和固定ip沖突來查找病毒計算機(jī).【三,故障檢測】我們假設(shè)在這樣局域網(wǎng)中增加一臺機(jī)器,操作系統(tǒng)均為 WINDOWSXP,該計算機(jī)的IP地址和網(wǎng)卡硬件地址分別為 00和00- 00-0D-50-EE-B1. 該局域網(wǎng)內(nèi)網(wǎng)網(wǎng)關(guān)為;外網(wǎng)網(wǎng)關(guān)為222.*.*.1.當(dāng) 網(wǎng)絡(luò)出現(xiàn)斷流時, 通過Tracert 你可以觀察 出路由變化情況,正常的第一跳為 , 不正常為 , 該病毒計算機(jī). 雖然判斷出哪個固定ip地址的計算機(jī)在出問題,由于固定ip 地址隨意行,不好判斷是那臺計算機(jī); 利用IP沖突方式來判斷(一個局域網(wǎng)中不可以同時有兩個相 同的

21、ip,否則就會發(fā)生沖突,結(jié)果必然是其中的一臺機(jī)器無 法上網(wǎng)),同時抓取ip地址對應(yīng)mac 地址.【三,故障檢測】網(wǎng)卡的工作有兩種模式:一種是正常模式,即只能接收到 指定目的MAC的廣播包或都是目的MAC與網(wǎng)卡MAC相同的 包.第二種是不檢查目的MAC而接收所有的包,sniffer(監(jiān) 聽程序)就是用這種原理來竊取網(wǎng)絡(luò)上的數(shù)據(jù)的. 那么也就是說我們只要檢測出局域網(wǎng)中哪個網(wǎng)卡工作在混 雜模式,它就很可能是在進(jìn)行攻擊的那臺計算機(jī)了. 固定的ip地址 所謂固定的ip地址是指每臺計算機(jī)ip地址是靜態(tài)的(網(wǎng)絡(luò)管 理員根據(jù)自己的網(wǎng)絡(luò)分配). 單純使用 tracert命令就可以找到問題的根源.(這里不在詳述)

22、【四,故障查殺】斷開病毒宿主機(jī)網(wǎng)絡(luò),重起終端交換機(jī)(和客戶端PC 相連 的底層交換機(jī)),或所有客戶端PC.局域網(wǎng)將迅速恢復(fù)健 康.其中重起終端交換機(jī)的方式是最快捷的.沒必要不要 隨意重起核心交換機(jī)和路由器,除非你確認(rèn)核心交換機(jī)和 路由器在病毒的攻擊下已經(jīng)失去響應(yīng). 其實(shí)相當(dāng)于插拔了一次網(wǎng)線.原理是當(dāng)斷開交換機(jī)電源時, 相當(dāng)于斷開了插在主機(jī)上的網(wǎng)線,然后又插上,就是對所 有主機(jī)的網(wǎng)絡(luò)連接進(jìn)行一次修復(fù)操作. 重裝病毒宿主機(jī)系統(tǒng),或者有時間的話慢慢清除病毒也可 以.在此不多羅嗦,有興趣的老師可以參考我的另一個講 義:校園網(wǎng)信息安全.記住在病毒殺除前千萬不要接入網(wǎng)絡(luò).【五,故障防治】【解決思路】 不要

23、把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上,(rarp 同樣存在欺騙的問題),理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上. 設(shè)置靜態(tài)的MAC->IP對應(yīng)表,不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表. 除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對 應(yīng)表中. 使用ARP服務(wù)器.通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他 機(jī)器的ARP廣播.確保這臺ARP服務(wù)器不被黑. 使用""proxy""代理IP的傳輸. 使用硬件屏蔽主機(jī).設(shè)置好你的路由,確保IP地址能到達(dá)合法的路徑. (靜態(tài)配置路由ARP條目),注意,使用傻瓜交換集線器和網(wǎng)橋無 法阻

24、止ARP欺騙. 管理員定期用響應(yīng)的IP包中獲得一個rarp請求,然后檢查ARP響應(yīng)的 真實(shí)性. 管理員定期輪詢,檢查主機(jī)上的ARP緩存. 使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò).注意有使用SNMP的情況下,ARP的欺騙 有可能導(dǎo)致陷阱包丟失.【五,故障防治】:選擇合適 的方案因?yàn)椴《纠玫氖茿RP協(xié)議的缺陷,目前來說,針對校園 網(wǎng)環(huán)境,沒有非常完美有效的方法來防止網(wǎng)關(guān)設(shè)備的ARP 表不被修改. 當(dāng)前最有效的方法是迅速阻斷攻擊來源.因此,要有快速 的手段監(jiān)測到攻擊,并定位攻擊來源,比如關(guān)閉可網(wǎng)管的 二層交換機(jī)相應(yīng)的端口. 下面按照網(wǎng)絡(luò)規(guī)模大小,列出各級網(wǎng)絡(luò)適用的防治ARP病 毒的方案.根據(jù)自己的網(wǎng)絡(luò)情況選擇最適

25、合你的方案. 每個學(xué)校的情況都不同,以上方案僅供參考.可以根據(jù)自 己的網(wǎng)絡(luò)情況選擇一個,也可以同時使用幾個互不沖突方 案. 如有其他更好的辦法,歡迎交流.【五,故障防治】各大硬件廠商和ISP(網(wǎng)絡(luò)接入提供商)的做法: 1,ISP 2,大學(xué) 3,大型校園網(wǎng):有若干個網(wǎng)段,有三層以上交 換機(jī)和獨(dú)立的NAT設(shè)備(路由器,防火墻) 4,中小型網(wǎng)絡(luò):有三層或二層可管理交換機(jī), 網(wǎng)絡(luò)規(guī)模較小. 5,小型網(wǎng)絡(luò):無網(wǎng)段分割或簡單分割,無可管 理交換機(jī)或僅有極少量簡單網(wǎng)管交換機(jī)(二層 及以下交換機(jī))【五,故障防治】1,ISP 一般使用ppp(點(diǎn)對點(diǎn))撥號. 寬帶網(wǎng)絡(luò)的pppoe撥號也屬于ppp的一種. 用戶端p

26、pp網(wǎng)絡(luò)結(jié)構(gòu)簡單,該模式?jīng)Q定了 每個用戶與撥號服務(wù)器的虛擬端口構(gòu)成了 一個只有兩臺主機(jī)的網(wǎng)絡(luò).不存在其他被 欺騙的主機(jī). 如果欺騙了服務(wù)器,只能造成自己上網(wǎng)出 問題.因此ARP病毒發(fā)作的影響不存在.【五,故障防治】2,大學(xué):一般使用802.1x 認(rèn)證. 這是一個交換機(jī)端口,MAC地址和ip地址三者 同時綁定的認(rèn)證協(xié)議. 經(jīng)過認(rèn)證的主機(jī)只能在認(rèn)證通過后,才被分配 可用的IP地址,打開與外部的通訊.在認(rèn)證通 過前,最多只能使用指定的臨時地址并只允許 認(rèn)證數(shù)據(jù)包通過. 只允許認(rèn)證過的MAC地址從認(rèn)證過的交換機(jī)端 口接入,一旦MAC地址或端口變化,認(rèn)證立刻 失敗. 一旦ARP欺騙發(fā)生,主機(jī)的認(rèn)證立刻失

27、敗.網(wǎng) 絡(luò)立刻中斷.【五,故障防治】3,大型校園網(wǎng).有華為或思科或其他型 號的三層以上交換機(jī). 根據(jù)交換機(jī)型號啟用相應(yīng)的DHCP服務(wù)器 轉(zhuǎn)發(fā)授權(quán)和IP MAC 綁定功能. 比如華為三層,二層交換機(jī),一般都有 dhcp security 或dhcp-snooping 功能.啟 用它,基本上就控制arp病毒的范圍了.【五,故障防治】3,大型校園網(wǎng) 啟用dhcp security 或dhcp-snooping的步 驟: 三層交換機(jī)的dhcp security: 第一部分,指定有效的dhcp服務(wù)器# dhcp-server 1 ip dhcp-server 2 ip 192.1

28、68.128.2 dhcp-server 3 ip dhcp-server 4 ip 【五,故障防治】第二部分 指定某個vlan 的ip 有第幾號服務(wù)器分配.interface Vlan-interface2 description server ip address 54 dhcp-server 1這樣未經(jīng)批準(zhǔn)的dhcp服務(wù)器就無法分配 地址了【五,故障防治】查看交換機(jī)鎖定的ip地址和MAC對應(yīng)關(guān)系 表:display dhcp-security 下表就顯示了這臺核心交換機(jī)綁定成功的 ip地址和

29、MAC地址.【五,故障防治】僅在核心做了以上綁定還不夠,如果下面 還有較低的二層交換機(jī)接PC,可以在二 層上做dhcp snooping 比如我一臺華為的20xx系列低端二層交 換機(jī), 輸入 dhcp-snooping 然后所有ip地址就和mac地址通過dhcp服 務(wù)器綁定了.也就是必須是dhcp分配的ip 地址才有效.【五,故障防治】察看:2403h_living_area_5#dis dhcp-snooping IP Address MAC Address 0040-9631-7652 0 00e0-60a2-0d7d 192.168.20

30、.88 0050-bae8-d374 4 0002-dd7b-13e7 5 0012-3fe7-8883 7 0003-0d4a-11ab 49 0016-d3ca-486e 74 0014-3809-b1ca 01 0012-f0bd-cfd0 16 0016-d3ca-4f3f 27 0050-ba27-c31e 37 001b-fc79-428d 39 0014-3805-ee0d每個ip地址和mac地址在交換機(jī)上對應(yīng)起來了. 亂改自己ip的病毒就失效了.因?yàn)樗约盒薷牧薸p地址, 只會讓自己上不了網(wǎng). 交換機(jī)只認(rèn)為上表中的ip 和mac對應(yīng)關(guān)系是有效的.【五,故障防治】如果還有中間層的二層交換機(jī),則需要啟 用dhcp-snooping 的同時,指定dhcp服務(wù) 器從那個端口發(fā)送數(shù)據(jù). dhcp-snooping interface GigabitEthernet1/1 dhcp-snooping trust 信任g 1/1 端口 這樣底層dhcp 設(shè)備就上不來了.【五,