疯狂的ARP 痛苦的路由器

 最近一段时间内，持续发生全国性网吧断线事件，这起看似疯狂的事件是由ARP攻击引起的，由于变种太多，传播速度快，国内外的反病毒厂商都拿这个没招。 最近两个月，全国的网吧都出现了典型性断网的现象，表现为短时间内断网(全部断网或是部分断网)。网络不稳定，大部分问题的起源都是由病毒引起的。现在已经开学了，很多院校附近的网吧将重新迎来客流高峰。大大小小的网吧老板们，心里的日子并不好过。

　　全国性网吧问题

　　石家庄网络王网吧一直以来都为断线事件而头疼，广东的中山康健网吧也遇到同样的问题。根据他们介绍，这是一起全国性事件，各地网吧都存在这种状况，主要是ARP攻击引起的，由于变种太多，传播速度快，国内外的反病毒厂商都拿这个没招。

　　一个小小的ARP在短时间内疯狂地搅乱了全国地网吧网络环境。这一段时间以来，全国大大小小的网吧老板们一直饱受这种痛苦的煎熬，上网老断线，客源开始日渐流失，生意也一天不如一天。

　　石家庄网络王网吧技术经理赵磊说，我们调查过，发生ARP病毒攻击这种问题主要原因是传奇游戏引起的，特别发生在私服外挂等方面。该病毒主要目的在于破解游戏加密解密算法，通过截取局域网中的数据包，然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中游戏玩家的详细信息，盗取用户账号信息。

　　据宏昌网络科技有限公司经理杨晓宇分析，由于网吧中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表，用来提高通信速度。

　　目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击，通过伪造的MAC与局域网内的IP地址对应，并修改路由器或电脑的ARP缓存表，使得具有合法MAC的电脑无法与IP对应，从而无法通过路由器上网。

　　在掉线重启路由器后，ARP缓存表会自动刷新，网络会在短时间内恢复正常，待ARP攻击启动后，又重新出现断网现象，如此反复。很容易被误断为路由器“死机”，从而使得网吧网管员无法及时采取行动迅速恢复网吧的正常营运。

　　ARP“堵”死路由

　　根据拥有十年局域网管理经验的赵磊判断，还有一个原因是因为MAC地址冲突引起的，当带毒机器的MAC映射到主机或者路由器之类的NAT设备，就会造成全网断线，如果只映射到网内其他机器，则只有这部分机器出问题。

　　杨晓宇说，就这种情况而言，如果对ARP病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以网吧在选择路由器的时候，最好看看路由器是否带有防ARP病毒攻击的功能。

　　对于已经中了ARP攻击的内网，就需要找到攻击源。通过对照网关的MAC地址是否和路由器真实的MAC相同。如果不是，则查找这个MAC地址所对应的PC，查出来的PC就是攻击源。

　　实际上，ARP协议靠维持在内存中保存的一张表来使IP得以在网络上被目标机器进行应答。所以，在局域网中的某台终端，反复向其他机器特别是向网关发送假冒的ARP应答信息包，就会造成严重的网络堵塞现象。

　　有些用户也通过路由器的解决方案，通过在路由器和PC机端进行双向绑定IP地址与MAC地址来完成相应防范工作的，但在路由器端和PC端对IP地址与MAC地址的绑定比较复杂，需要查找每台PC机的IP地址与MAC加大了工作量，操作过程中还容易出错。

　　这种方法基本可以解决ARP病毒攻击对网络造成相关问题，以上方法也经过多个用户以及网吧实验，都达到了比较理想的效果。

　　侠诺科技市场总监张建清认为，一些比较优秀的路由器产品补需要对整个网络的IP/MAC地址进行查找，就可以在路由器端进行绑定，这样的方式比较便捷，而且安全可靠。

　　网吧管理不易

　　网吧的管理一直是一道难题，由于网吧内缺乏一整套行之有效的管理方案和相应的设备，网吧的技术主管在配置网络的过程中，每次都要靠各种复杂的操作来恢复网络的正常运行，等问题解决了，玩家早已无法忍受。

　　如今没有几个玩家有耐心放着正进行中的游戏或者电影等着网络被调好。而当网络出现问题的时候，要查找错误更是麻烦，技术主管只能依靠从核心交换机到接入交换机顺次拔线来判断问题到底出在哪里——纯手工的操作不仅容易漏掉错误、耗费时间长，而且还存在一定安全问题。