【教學】如何防範被室友惡意斷網路? [淺談arp]

[FONT="Arial Black"]開學季又要到了[/FONT]，不管你有沒有住宿的經驗，相信大家有時候都會遇到明明網路設備是開的可是上不了網的問題。電腦也沒什麼異狀，有裝掃毒軟體但也沒有病毒訊息，也看的到自己的IP，但是就是連不上網。
[COLOR="Red"]這種時候可以合理的懷疑:你被攻擊了![/COLOR]

首先可以看看是不是被室友使用了網路剪刀手(Netcut)等軟體把你惡意斷網，或者是區域網路中有人中了ARP病毒。這種攻擊沒有防毒軟體能夠防範，電腦也不會有異狀，唯一的症狀就是電腦有IP可是就是ping不到router，也就是你上網的連接器。
由於Netcut使用的是假造ARP封包造成目標主機ARP table記錄錯誤來達成斷線目的，最新版本的Netcut 2.0或變種ARP病毒已能快速的同時竄改目標主機與路由器(閘道器) ARP記錄，簡易的Netcut防護軟體或靜態ARP記錄已經無法解決危害，因此要徹底解決此一問題必需自Netcut工作原理著手。
首先要解釋DHCP的運作方式：在開機的時候原本電腦沒有IP(預設為0.0.0.0)，當電腦要連接網路的時候，會要求DHCP分配IP，一旦取得IP以後就可以上網了(圖一)。
[IMG]http://lh6.ggpht.com/felaray/SMc12nqERfI/AAAAAAAAAEA/PQ4dzw0W6xU/1.jpg[/IMG]
(圖一)DHCP發送流程

在電腦A剛開機，還沒有取得IP的時候並不會受到來自ARP的攻擊，因為要發動ARP攻擊的條件就是要取得對方的網卡卡號(MAC)和IP。所以當取得IP以後，電腦A就曝露在ARP攻擊的環境中。
ARP其實是IP位址轉換成Mac位址的一種通訊協定，當某一台電腦要傳送資料到某個IP位址時，會先傳送ARP封包詢問網路上哪台電腦的MAC Address對應到這個IP位址，當目的端的電腦接收到這個ARP封包之後便會回應給來源電腦進行資料傳送。MAC Address的範例格式如下: 00-E0-18-0E-B2-21

[IMG]http://lh5.ggpht.com/felaray/SMc12rWzI1I/AAAAAAAAAEI/wBy_4nsmAPc/s640/2.jpg[/IMG]
(圖二)電腦A廣播自己的MAC及IP以更新網域內電腦的ARP table
[IMG]http://lh5.ggpht.com/felaray/SMc12pofuEI/AAAAAAAAAEQ/0snq-5N36Uo/s576/3.jpg[/IMG]
(圖三) Router會依據ARP表 把資料依照適合的路徑傳送到 電腦A

而Netcut工作方式就是從封包傳遞這方面下手，Netcut會經由IP掃瞄的方式(圖四)找尋區域網路上正在活動的IP，選定好攻擊的目標以後(假設要攻擊A)，就會大量發送廣播封包，以自己或是編造的MAC搭配A的IP企圖讓網路上所有的電腦都把原本要傳給A的資料都無法送達，這樣原本正常上網的A就無法上網了(因為封包都有去無回)。(如圖四)
[IMG]http://lh6.ggpht.com/felaray/SMc12lcI_nI/AAAAAAAAAEY/A7rH3zcMSZk/4.jpg[/IMG]
(圖四) 電腦B探尋網域中的電腦MAC
[IMG]http://lh3.ggpht.com/felaray/SMc126lsr8I/AAAAAAAAAEg/b68jNv89Ud8/s576/5.jpg[/IMG]
(圖五)Router和 電腦Ａ收到廣播把MAC R和MAC A加進ARP表
[IMG]http://lh3.ggpht.com/felaray/SMc2C8QEfAI/AAAAAAAAAEo/I7hRz8vljcM/s576/6.jpg[/IMG]
圖六) B電腦攻擊A ,同時對Router作干擾，並迫使Router及A更新MAC table
[IMG]http://lh4.ggpht.com/felaray/SMc2C7ZN4SI/AAAAAAAAAEw/zurugc5RDYE/s576/7.jpg[/IMG]
(圖七)Router以及電腦A的ARP table被B所發送的廣播封包給竄改，導致A網路癱瘓

想要防治受到ARP攻擊的話，需加裝VLAN Switch(在圖片範例中是把VLAN Switch取代HUB)，因為VLAN Switch是把用戶端的連結在實體層做分割，徹底的隔絕才能夠避免網路遭受攻擊以後災情影響到了網域內的所有用戶。一旦以VLAN Switch做切割以後，網域內的用戶除了看到路由器以外都無法看到其他用戶，如此一來用戶端的電腦都受到保障。在稍後展示的實際操作(圖十一)中可以看到加裝VLAN以後的情形。
[IMG]http://lh4.ggpht.com/felaray/SMc2DKgEvDI/AAAAAAAAAE4/aNWCFM07dFM/s576/8.jpg[/IMG]
(圖八)經由VLAN switch，每個用戶端都不會互相看到。
並確實做好MAC綁IP即可避免ARP攻擊


以下示範使用[FONT="Arial Black"]Router[/FONT](BM-1000)以及[FONT="Arial Black"]VLAN switch[/FONT](EZ-800V)來防護ARP攻擊
1. 首先在BM-1000中的設定裡面確實把用戶IP與MAC做連結，這樣不但可以有效防範ARP攻擊也可以防止使用者亂改IP影響其他用戶上網的權益，也方便當遭受ARP攻擊時做為對照。
[IMG]http://lh5.ggpht.com/felaray/SMc2DaJEf7I/AAAAAAAAAFA/aZZgt8RCnVE/s512/9.jpg[/IMG]
(圖九)把IP和MAC綁定以避免被竄改

2. 在沒有經過防護的區域網路環境下，惡意軟體、病毒、或是木馬很容易的找到攻擊目標。因為只要廣播封包，網域上所有的電腦都會回應你，等於把網路曝露在危險之中。
[IMG]http://lh3.ggpht.com/felaray/SMc2DadesmI/AAAAAAAAAFI/UOq8w5zjzeA/s576/10.jpg[/IMG]
(圖十)從Netcut的掃瞄清單中，可以看到網路上輕易的就找到一堆開機的電腦。

3. 使用VLAN switch將區域網路確實做好實體層(Layer 1:Physical Layer)切割，把每個分接出去電腦確實分割以避免封包可以傳送到網域所有的電腦，這樣ARP的封包就不能互相傳遞，也就能防護ARP攻擊啦！
[IMG]http://lh5.ggpht.com/felaray/SMc2KGK5ipI/AAAAAAAAAFQ/IUIzEsmsKEM/s576/11.jpg[/IMG]
(圖十一)裝設VLAN switch以後網路上只看的到自己的電腦和路由器的IP。

4. 其實想要徹底解決ARP攻擊、病毒、木馬、或是駭客的攻擊，最好是在規劃的時候就考慮好，而且在區網裡面每一個switch都要有VLAN的功能，只要有一台沒有VLAN功能即成為漏洞。另外最常見到的錯誤就是直接使用路由器的4個LAN埠，而使區網VLAN瓦解。建議的架設方式請參考下圖

[IMG]http://lh4.ggpht.com/felaray/SMc2KPPETKI/AAAAAAAAAFY/CFdQ3N2oW94/s576/12.jpg[/IMG]

--
以上只是避免arp攻擊的概述，寫的很淺，希望對想瞭解的朋友有些幫助，想要瞭解更多的話可以提出您的疑問，歡迎轉載但請附出處，有錯也請不吝指教。

喔 !!

有高人 ^^

感謝提供您的 ARP 教學文章
幫您文章置頂給更多朋友參考

所以
現在宿舍都會要求MAC位址

Layer 2不是實體層, 請修正.

實體層是 1 ？ 計概才有上到的內容全部還回去了 XD

上 wikipedia 補習 =3=
[url]http://zh.wikipedia.org/w/index.php?title=%E5%AF%A6%E9%AB%94%E5%B1%A4&variant=zh-tw[/url]

這篇文章是mobile01轉的吧，是你自己寫的嗎？如果不是，請按照文章最後一行字，表明出處好嗎？:mad:

發表人的帳號在pczone和mobil01相同,應該是同一人,抄襲應該不可能.

談到防護arp,就聯想的IP綁MAC的問題,可以相關連的.

就IP&MAC就有多種作法了：
1. DHCP SERVER 的 IP&MAC
2. IPTABLES 管制條例的 IP&MAC
3. ARP 表的 IP&MAC

不曉得有多少台設備有針的這方面的處理了,優點很多,但缺點也不少.

感謝分享知識

這個arp我遇過，
全校都不能上網，
查了半天才找到中獎的主機，
真是快累死了。
現在家中的網路出問題，
我都會直覺想到arp，
不過常常不是它的問題。
還滿少遇到arp的，
就只那一次。

其實全校都遇到的話,網管要加油了,這個區網一點安全性都沒有,只要爆發重大病毒或是蠕蟲就會被搞得很累,簡單的切割L2 VLAN對學校的設備應該都不成問題,最好是稍微做一下比較安全.

請問
(1)
1F.2F.3F 3台vLan switch最後接的那台要是
Vlan Switch嗎?!

因為最近已經花下3000多買下一台不具Vlan的Switch (D-Link xxx)
想省經費

(2)
再vLan狀態下
吃飽太閒的人 直接切斷Router 192.168.0.1
會發生啥事情?!

1.理論上,要串上VLAN SWITCH或是有切VLAN的ROUTER.不然認一台使用網路剪刀手,ARP掛馬一類的東西,都會因為第一PORT可通往任意PORT,造成另外兩個樓層受害.我記得樓主的bm-1000每一個PORT都是一張網卡,而非一般的SWITCH,所以應該是沒問題.以小弟來說我多半會建議小環境使用居易的2910,然後把4個lan各自切割vlan.

2.如果能夠做到needmaster所說的,ip和mac綁定的各種機制的roter或是防火牆就沒事,如果是陽春一點的ip分享器可能就會因為IP衝突而斷線.

[QUOTE=kingofsdtw;1056640]請問
(1)
1F.2F.3F 3台vLan switch最後接的那台要是
Vlan Switch嗎?!

因為最近已經花下3000多買下一台不具Vlan的Switch (D-Link xxx)
想省經費

(2)
再vLan狀態下
吃飽太閒的人 直接切斷Router 192.168.0.1
會發生啥事情?![/QUOTE]

ppoe就可以解决

[QUOTE=kingofsdtw;1056640]請問
(1)
1F.2F.3F 3台vLan switch最後接的那台要是
Vlan Switch嗎?!

因為最近已經花下3000多買下一台不具Vlan的Switch (D-Link xxx)
想省經費[/QUOTE]

沒錯，不然只在前面切VLAN，尾端反而不切，這樣不就前功盡棄了嗎?
不過如果在尾端一旦發生ARP攻擊，只會影響該switch的用戶就是。

[QUOTE=kingofsdtw;1056640]
(2)
再vLan狀態下
吃飽太閒的人 直接切斷Router 192.168.0.1
會發生啥事情?![/QUOTE]

什麼都不會發生，因為看不到192.158.0.1更上面的設備。:D

這篇文章蠻實用的,感謝大大的分享.^_^.

[URL="http://antbsd.twbbs.org/~ant/wordpress/?p=1360"]Release Wow! ARP Protector 0.13 beta « Ant[/URL]

免花錢免加設備的自救辦法 : 手動寫 static ARP. 尤其最重要的是gateway資訊.

固定地點電腦可寫成批次檔 開機後載入.

ex: Windows 下, C:\> arp -s 157.55.85.212 00-aa-00-62-c6-09

感謝大大分享
在外面租房子有時候就是有這種麻煩:jump2:

文章写得不错，这里的台湾人挺有修养的。