网管故事四：单位内部局域网剿杀ARP攻击和ARP欺骗记

2022-07-15

小刘是一家出口贸易公司的网管，平日里主要负责公司的内部网络维护，并较兼做一些电脑修理的工作。不过，由于小刘大学时代并不是学的计算机专业，所以相关的计算机知识不是很多。本来小刘是做行政工作的，但是由于公司没有专门的网络管理工作，小刘就被经理安排负责起了公司的网络管理工作。

如果只是单纯地帮助单位内部的人员重装操作系统、更换电脑硬件、安装一些应用软件工作，相对还是较为简单的，所以刚一开始，小刘对自己新的工作内容还是比较满意。相对于之前繁杂的行政工作，网络管理工作内容就相对简单了，同时，小刘也可以借机学习一些网络管理方面的知识。

可是，天有不测风云。较近一段时间，小刘座位上的固定电话响的次数明显多了，并且向小刘求救的问题也越越来越相同：网络掉线。这种问题很严重了，导致大家的工作受阻了，对公司影响不小。领导甚至也开始过问小刘，并责令小刘在尽可能段的时间找出根源，并杜绝此类问题的再次发生。

小刘不敢怠慢，马上着手解决问题。先是将公司的线路、交换机的状况，发现链路连接没有问题；借助于公司的硬件监控系统，发现交换机、路由器、防火墙的运行状况也十分正常，排除了物理设备上的问题，小刘突然想到了当前流行的ARP攻击和ARP欺骗。小刘缺乏相关的知识，就赶忙从网上找相关资料了。经过查阅相关资料，小刘了解到：ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。较早种ARP欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是――伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。

看到这里，小刘吓出了一身冷汗。赶紧接着在网上找相关的解决方案。小刘做了一下归纳，有效抵御ARP攻击，防止ARP欺骗的方法主要有以下两种：一、基于DOS命令的方式，小刘了解到，如果局域网只是偶尔才遭遇ARP病毒攻击，那么只需要点击：开始――运行――CMD，然后输入ARP-D，清空ARP表，重新获取一下正确的ARP缓存表就可以了。但是ARP-D命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击；二、通过在路由器、交换机或者防火墙上做IP和MAC地址绑定。但是小刘所在单位只是普通的路由器加交换机，没有提供IP和MAC地址绑定功能，同时，小刘也了解到，单纯依靠路由器或者交换机或者防火墙等做单方面的IP和MAC地址绑定功能，也不能从根源上防御ARP攻击，何况ARP病毒攻击的是局域网电脑的ARP缓存表所存储的网关的MAC地址，也就是将网关的MAC地址强制更改为局域网ARP病毒源主机的MAC地址，更有甚者将网关IP地址对应的MAC地址更改为一个不存在的MAC地址，以此来冒充局域网的电脑的上网网关。所以，还必须对局域网内部电脑的ARP缓存表进行保护，防止遭遇ARP病毒的篡改。

小刘进一步查询相关资料，同时也在各大论坛上发布求助信息，看看业内资深人士的意见和建议。小刘了解到，当前一些单位纷纷在电脑上安装ARP防火墙，来保护局域网的电脑的ARP缓存表。但是要给局域网电脑的都安装ARP防火墙将是一个比较繁重的工作，同时，小刘也注意到：ARP防火墙也是不断向网关（如路由器）发送ARP缓存维持报文，这样，如果局域网的电脑都安装ARP防火墙，所有的这些ARP防火墙都向局域网的网关发送ARP缓存信息，那么可能引发局域网的ARP广播风暴，反而干扰局域网电脑的上网；同时，路由器如果长时间收到ARP缓存包，将使得路由器由于不断识别、解析ARP报文而面临着较大的负担，这样会降低路由器的性能，影响网络通讯的质量。

思索再三，小刘较终没有在局域网的电脑上安装ARP防火墙。小刘继续从网上找相关的解决方案。小刘听说业内某些网络管理软件具有ARP防御功能，小刘在网上就找了几款软件，测试下来效果都并不理想。有一天，小刘一个在软件公司做开发的大学同学告诉小刘，现在局域网内有一款流行的网络管理软件叫做安企神，据说有ARP攻击防御功能，小刘赶紧从网上下载了安企神系统的试用版，在安企神的“安全管理”里面，确实有一个“ARP专项攻击防御功能”。并且下面还有“自动向局域网发送ARP攻击免疫信息”以及“发现ARP攻击时自动加大免疫力度”，同时，还有“发现ARP攻击时自动记录攻击源主机”的功能。这些功能让小刘眼前一亮，小刘在自己的电脑上安装了安企神系统，并且开启了这几个功能，发现网络稳定性有了很大的提升，再也没有出现网络掉线和堵塞的现象；同时，由于安企神系统可以发现ARP病毒源主机，从而可以让小刘迅速找到ARP欺骗源主机，从而极大地提升了对危险主机的定位和修复能力。

经过一个星期的试用，小刘发现这款安企神系统还可以禁止局域网P2P下载、限制聊天软件、限制各个主机的带宽流量、禁止炒股和屏蔽网络游戏等功能，从而也配合了小刘队局域网常规上网行为的管理。小刘后来说服公司领导采购了正式版的安企神系统，现在公司的网络管理有了很大的提升。

现在，小刘已经重新找到了之前“轻松网管“的工作状态。“做网管，可以让你精疲力竭，也可以让你悠然自得，关键看你的选择了”，小刘较后说。