淺談醫(yī)院外網(wǎng)ARP攻擊及解決方法

摘要：通過對ARP攻擊原理分析，使用軟路由解決醫(yī)院外網(wǎng)局域網(wǎng)斷網(wǎng)故障。

關(guān)鍵詞：外網(wǎng)局域網(wǎng)；ARP

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 20-0000-02

1 引言

隨著信息時代的到來，醫(yī)院信息化系統(tǒng)逐步成為服務(wù)于未來醫(yī)院競爭和經(jīng)營管理戰(zhàn)略的重要工具和手段，這使得醫(yī)院在擁有內(nèi)網(wǎng)局域網(wǎng)的基礎(chǔ)上，還有一個很重要的院外信息交互平臺----外網(wǎng)局域網(wǎng)，因外網(wǎng)局域網(wǎng)是是直接接連到互聯(lián)網(wǎng)的網(wǎng)絡(luò)，所以，各種網(wǎng)絡(luò)故障多發(fā)于外網(wǎng)局域網(wǎng)，其中，ARP攻擊是最常見的一種。

2 ARP定義

ARP（Address Resolution Protocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的底層協(xié)議，對應(yīng)于數(shù)據(jù)鏈路層，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。

3 ARP基本功能

ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行。ARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。

4 ARP攻擊的局限性

ARP攻擊僅能在以太網(wǎng)（局域網(wǎng)如：機(jī)房、內(nèi)網(wǎng)、公司網(wǎng)絡(luò)等）進(jìn)行，無法對外網(wǎng)（互聯(lián)網(wǎng)、非本區(qū)域內(nèi)的局域網(wǎng)）進(jìn)行攻擊。

5 ARP攻擊原理

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計算機(jī)的通信故障。

6 受到ARP攻擊后外網(wǎng)局域網(wǎng)故障現(xiàn)象及解決方案

我院外網(wǎng)局域網(wǎng)硬件由外網(wǎng)計算機(jī)、D-Link24口二層交換機(jī)、D-Link家用路由器及5類網(wǎng)線組成，網(wǎng)段為192.168.0.0/24。

6.1 外網(wǎng)局域網(wǎng)故障現(xiàn)象

最初時外網(wǎng)時斷時續(xù)，重啟路由器后故障解決，隔幾分鐘或幾小時不等，外網(wǎng)斷網(wǎng)，重啟路由器和更換交換機(jī)后故障依舊。外網(wǎng)局域網(wǎng)線路及硬件設(shè)備在故障出現(xiàn)前沒有更換或更改過，由此排除硬件問題和網(wǎng)絡(luò)風(fēng)暴引起的外網(wǎng)局域網(wǎng)斷網(wǎng)故障，由此判斷醫(yī)院外網(wǎng)局域網(wǎng)有可能受到ARP攻擊。

6.2 軟件解決ARP攻擊方案

6.2.1 在每臺外網(wǎng)計算機(jī)上安裝360安全衛(wèi)士，并在360安全衛(wèi)士里的“360木馬防火墻”打開“局域網(wǎng)防護(hù)（ARP）”，打開后，360安全衛(wèi)士立即攔截ARP攻擊，跳出一對話框，提示攻擊計算機(jī)的IP和MAC地址，經(jīng)查，是路由器的網(wǎng)關(guān)和MAC地址，說明IP地址和MAC地址是假的，外網(wǎng)依舊中斷，無法上網(wǎng)。

6.2.2 使用雙向綁定：雙向綁定是在路由器和PC上都進(jìn)行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，偽造網(wǎng)關(guān)和截獲數(shù)據(jù)，都具有約束的作用。

（1）在路由器上做IP-MAC表的綁定工作

（2）在PC上綁定安全網(wǎng)關(guān)的IP和MAC地址（例如D-Link網(wǎng)關(guān)地址192.168.16.1的MAC地址為00-22-aa-00-22-aa）。

（3）編寫一個批處理文件rarp.bat內(nèi)容如下：

@echo off

arp –d

arp -s 192.168.16.1 00-22-aa-00-22-aa

將這個批處理軟件拖到“windows“開始->程序->啟動”中，確保開機(jī)就執(zhí)行這個批處理文件，因為靜態(tài)綁定在計算機(jī)重啟后就會失效。在所有的外網(wǎng)電腦做完綁定后，問題依舊，外網(wǎng)依舊中斷，無法上網(wǎng)。后經(jīng)分析，原因有2點：

（1）在終端上進(jìn)行的靜態(tài)綁定，很容易被升級的ARP攻擊所搗毀，病毒的一個ARP –d命令，就可以使靜態(tài)綁定完全失效。

（2）雙綁只是讓網(wǎng)絡(luò)的兩端電腦和路由不接收相關(guān)ARP信息，但是大量的ARP攻擊數(shù)據(jù)還是能發(fā)出，還要在內(nèi)網(wǎng)傳輸，大幅降低內(nèi)網(wǎng)傳輸效率，依然會出現(xiàn)問題。

6.3 用軟路由軟件做路由服務(wù)器

由于用前面的兩種方法都無法有效的解決ARP攻擊，外網(wǎng)中斷兩天，給醫(yī)院造成很大的影響，所以決定使用軟路由軟件，搭建路由服務(wù)器，這里本人使用的是國產(chǎn)的免費軟路由軟件“海蜘蛛V8”，用一臺淘汰下來服務(wù)器做路由服務(wù)器，先刪除所有分區(qū)，不分區(qū)，放入刻好的海蜘蛛安裝光盤，按照提示一路完成安裝，訪問路由器的默認(rèn)地址為http：//192.168.0.1：880，用戶名：admin，密碼：admin，進(jìn)入控制臺設(shè)置Wan口的PPPoE撥號用戶名和密碼，使服務(wù)器連上互聯(lián)網(wǎng)并注冊，注冊完以后就可以永久免費使用。這里有兩種方法可以讓客戶端電腦上網(wǎng)，一是路由加IP-MAC地址綁定方式，二是PPPoE撥號方式。

6.3.1 路由加IP-MAC地址綁定方式

進(jìn)入路由器訪問控制臺，防火墻IP-MAC綁定，在“啟用IP與MAC地址綁定”前打勾，在綁定列表里把外網(wǎng)計算機(jī)的IP地址和MAC地址填入，在強(qiáng)制綁定里的“強(qiáng)制進(jìn)行IP/MAC地址綁定”前打勾，這樣沒有進(jìn)行IP/MAC地址綁定的外網(wǎng)計算機(jī)無法上網(wǎng)，即可以方便管理醫(yī)院外網(wǎng)計算機(jī)，也可以有效的防止ARP攻擊。

6.3.2 PPPoE撥號方式

（1）進(jìn)入路由器訪問控制臺，服務(wù)應(yīng)用PPPoE撥號服務(wù)，在運行參數(shù)的“啟用撥號服務(wù)”后面打勾，“監(jiān)聽設(shè)備”本例為LAN1，用戶認(rèn)證模式選“本地RADIUS認(rèn)證（可限制賬號撥入次數(shù)，有效期等）”，服務(wù)器PPP連接IP地址默認(rèn)為10.10.0.1，可自行修改；分配給客戶機(jī)的地址空間默認(rèn)為10.10.0.2-10.10.1.254，可自行修改，分配給客戶機(jī)的DNS地址為本地電信提供地址：202.101.172.35、202.101.172.47，其他選項默認(rèn)。

（2）在“高級”里的“強(qiáng)制用戶通過PPPoE撥號上網(wǎng)”后打勾

（3）“在帶寬限制”里的“是否對撥號連接進(jìn)行帶寬限制”后打勾，并在“每個撥號連接的下載速度”和“每個撥號連接的上傳速度”里填入合理的值，控制每個帳號的下載和上傳速度，可以有效解決網(wǎng)速慢的問題。

（4）服務(wù)應(yīng)用用戶帳號管理，點“新增用戶”，為每臺外網(wǎng)計算機(jī)設(shè)置一個撥號帳號并進(jìn)行帳號與MAC地址綁定，這樣不是這個MAC地址的計算機(jī)就無法用這個帳號撥號上網(wǎng)，可以有效管理帳號和控制上網(wǎng)的計算機(jī)。

經(jīng)本人實驗，這兩種方法都可以有效防止ARP攻擊，徹底并永久解決了由于ARP攻擊靠造成的外網(wǎng)局域網(wǎng)斷網(wǎng)故障。

參考文獻(xiàn)：

[1]陳英，馬洪濤.局域網(wǎng)內(nèi)ARP協(xié)議攻擊及解決辦法[J].中國安全科學(xué)學(xué)報，2007，07.

[2]秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術(shù)綜述[J].計算機(jī)應(yīng)用研究，2009，01.

[3]張潔，武裝，陸倜.一種改進(jìn)的ARP協(xié)議欺騙檢測方法[J].計算機(jī)科學(xué)，2008，03.

[作者簡介]

洪楓（1977- ），男，本科學(xué)歷，助理工程師，浙江杭州臨安市昌化醫(yī)院，從事信息管理與計算機(jī)硬件及網(wǎng)絡(luò)維護(hù)。