假冒他人MAC地址和IP地址进行ARP请求进行网络攻击的故障定位

现象描述

采某组网用S8016做为城域网汇聚设备，eth11/0/0连接一个LSW下带办公局域网，eth11/0/1到eth11/0/3直接接了几台PC终端做为维护终端，其中eth11/0/0到eth11/0/3都在VLAN 12。用户反映维护终端上网时断时续。

告警信息

远程登陆设备，用display dev，display interface，display alarm，display log查看，并没有发现什么异常的情况。但查看S8016的arp表项时，发现一些情况。

原因分析

在维护终端能够上网时，display arp vlan 12发现：

10.1.8.6       0008.74e6.9fa7      Dynamic      Ethernet11/0/3

10.1.8.7       000b.db9f.1694      Dynamic      Ethernet11/0/1 

10.1.8.4       0010.5cba.7427      Dynamic      Ethernet11/0/2 

在发生故障时，display arp vlan 12发现：

10.1.8.7       000b.db9f.1694      Dynamic      Ethernet11/0/0

10.1.8.8       000b.db9f.1694      Dynamic      Ethernet11/0/0

10.1.8.4       0010.5cba.7427      Dynamic      Ethernet11/0/0

10.1.8.5       000b.db9f.1694      Dynamic      Ethernet11/0/0

从以上信息看，好像10.1.8.4和10.1.8.7这几个用户全都学习到eth11/0/0下面了。经了解而eth11/0/0带的是远端一个办公局域网，不会出现瞬间把PC换过去的可能。

处理过程

1、从以上信息看，是由于ARP表项迁移导致出现上述故障。

2、是什么原因导致S8016从ETH11/0/0学习到原本在ETH11/0/1,ETH11/0/2,ETH11/0/2下面用户的MAC地址，IP地址呢？有一种可能是从eth11/0/0下面发出的ARP请求的报文中源MAC地址、源IP地址，和ETH11/0/1,ETH11/0/2,ETH11/0/2下面的PC机IP地址，MAC地址相同，即eth11/0/0下面有人在假冒ETH11/0/1、ETH11/0/2、ETH11/0/2下面的PC发ARP请求。如果S8016收到假冒的ARP请求后，更新自己的ARP表项，那么以后转发数据报就按照更新后的arp表项进行转发，这是ETH11/0/1、ETH11/0/2、ETH11/0/2下面用户不能上网的原因。

3、为了确定是eth11/0/0下面有人发假的ARP请求报文，把eth11/0/0下面的用户移到eth14/0/15上，也发现维护终端的10.1.8.4这个地址又迁移到eth14/0/15端口上了。这样可以确认是恶意假冒IP和MAC地址导致的。

4、原来11/0/0下面直接接的是交换机，由于11/0/0 to 11/0/3都是在VLAN 12，交换机下面的用户能够学习到11/0/1下面用户的IP地址和MAC地址，如果他用黑客软件，假冒其他用户进行ARP请求的话，就会出现这个问题。

5、将远端办公网和维护终端采用不同的VLAN隔离开，问题解决。

建议与总结

把S8016机房局域网用户的网段与远端局域网的用户网段隔离，在S8016上分属不通的VLAN，这样两个局域网的用户就无法通过ARP报文相互攻击。这种估计方法其实很简单，在同一网段的用户，只要通过一个PING命令，利用抓包软件就能得到其他用户的MAC地址和IP地址。一般的抓包软件，如NETXRAY，都可以模拟一个用户的MAC，IP来进行arp请求，以使上层的三层设备ARP表项刷新，以此使真正拥有这个IP地址，MAC地址的用户不能上网，达到网络攻击的目的。