最近一段时间内,持续发生全国性网吧断线事件,这起看似疯狂的事件是由ARP攻击引起的,由于变种太多,传播速度快,国内外的反病毒厂商都拿这个没招。
最近两个月,全国的网吧都出现了典型性断网的现象,表现为短时间内断网(全部断网或是部分断网)。网络不稳定,大部分问题的起源都是由病毒引起的。现在已经开学了,很多院校附近的网吧将重新迎来客流高峰。大大小小的网吧老板们,心里的日子并不好过。
全国性网吧问题
石家庄网络王网吧一直以来都为断线事件而头疼,广东的中山康健网吧也遇到同样的问题。根据他们介绍,这是一起全国性事件,各地网吧都存在这种状况,主要是ARP攻击引起的,由于变种太多,传播速度快,国内外的反病毒厂商都拿这个没招。
一个小小的ARP在短时间内疯狂地搅乱了全国地网吧网络环境。这一段时间以来,全国大大小小的网吧老板们一直饱受这种痛苦的煎熬,上网老断线,客源开始日渐流失,生意也一天不如一天。
石家庄网络王网吧技术经理赵磊说,我们调查过,发生ARP病毒攻击这种问题主要原因是传奇游戏引起的,特别发生在私服外挂等方面。该病毒主要目的在于破解游戏加密解密算法,通过截取局域网中的数据包,然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中游戏玩家的详细信息,盗取用户账号信息。
据宏昌网络科技有限公司经理杨晓宇分析,由于网吧中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表,用来提高通信速度。
目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网。
在掉线重启路由器后,ARP缓存表会自动刷新,网络会在短时间内恢复正常,待ARP攻击启动后,又重新出现断网现象,如此反复。很容易被误断为路由器“死机”,从而使得网吧网管员无法及时采取行动迅速恢复网吧的正常营运。
ARP“堵”死路由
根据拥有十年局域网管理经验的赵磊判断,还有一个原因是因为MAC地址冲突引起的,当带毒机器的MAC映射到主机或者路由器之类的NAT设备,就会造成全网断线,如果只映射到网内其他机器,则只有这部分机器出问题。
杨晓宇说,就这种情况而言,如果对ARP病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以网吧在选择路由器的时候,最好看看路由器是否带有防ARP病毒攻击的功能。
对于已经中了ARP攻击的内网,就需要找到攻击源。通过对照网关的MAC地址是否和路由器真实的MAC相同。如果不是,则查找这个MAC地址所对应的PC,查出来的PC就是攻击源。
当前位置:
