谁动了我的网络 不是我水平有多高，而是各位的安全意识远远不够。 ——阿里                                                                        铃..铃......     “喂！信息中心吗？我说，你们怎么搞的？这已经是今天上午的第六次掉线了！这次视频谈判搞砸了，订单签不下来，你们负全责！”     “信息中心吧，能派个人过来看看我的电脑吗？我们部门有三台电脑上不了网了，但其他的都没事儿。我看了一下，我们的网路连接正常啊？奇怪了。”     “喂？是信息中心吧，我们打开网页非常慢，有时候根本打不开，感觉我们的网络时断时续的，是怎么回事，谁动了我的网络？”     “这些是我拷贝出来的通话记录，看来信息中心的几个人已经被我弄得团团转了，后来我知道，解决这个故障，他们花了整整3天时间。”阿里笑着对我说……     这是一个凉爽的午后，窗外毛毛细雨似乎带走了刚刚结束的北京奥运会那火热的气氛，人们都平静了下来，享受着这难得的清凉。就在这个下午，记者采访了阿里——一位有着传奇经历的信息安全专家。为什么说有着传奇经历呢？因为他以前是个名副其实的黑客，在国内绝大多数的人们对网络安全这个词语还一知半解的时候，他就已经在几个知名的大型企业的网络里“溜达”了。让人难以理解的是，为什么他现在能成为一位安全专家，坐在这里接受我的采访，而不是早早地被警察给“收了”？阿里捂着嘴大笑着说“招安了，招安了。”     能看得出，阿里回避了这个问题，我也没有再追问下去，于是，采访正式开始。     记者：“阿里你好，今天把您请过来，就是想和您聊聊时下非常热门的一个问题——信息安全。我们都看过这类大片，像“剑鱼行动”里男主角用了不到一分钟的时间就破解了美国国防部的安全口令，成功地进入了它的数据库，当时看到那个男主角飞速地敲击键盘，感觉酷极了，黑客们都是这样的吗？”     阿里：“呵呵，那是电影的描写，当然有所夸张，里面的主人公是世界顶尖的黑客，在电脑方面有着极高的天赋，不是什么人都可以当黑客的，也不是所有的黑客都有他那样的造诣。你想想，如果全世界的黑客都像他一样，那这个世界成什么样儿了。”     记者：“听您这么说我感觉踏实了很多，要不真的只能把钱埋地底下才安全了。”     阿里：“其实，多数的时候，不是黑客的水平有多高，而是网民的安全意识远远不够。就好比你安了防盗门，可是你不把它锁上，等于没用。或者是你把它锁上了，然后把钥匙放在门框上，你说这样的机器能不被黑客们黑上几下吗？”     记者：“我可以理解为绝大多数的攻击都是因为我们自身的网络存在着这样那样的漏洞，才招来了‘嗅觉'灵敏的各种黑客吗？”     阿里：“可以这么说，既然我们不能控制黑客的行为，那就先管好我们自己吧。”     记者：“那请你给我们讲一个攻击的例子吧。”     阿里做了一个电话的手势，把手放到耳边，然后绘声绘色的模仿起当时的情景。那片被攻击后忙乱的景象立刻浮现在我的眼前。     记者：“你是怎么做的呢？用的是什么方法攻击的？”     阿里：“呵呵，其实就是一个非常简单的ARP攻击，你也看到了一旦成功实施ARP攻击，对网路的影响还是很大的。”     记者：“什么叫ARP？能给我们科普一下吗？”     阿里：“在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传输数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址，即MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用‘-'或‘：'隔开。比如‘00-0B-2F-12-1C-FC'。每一块网卡都有其全球唯一的MAC地址。网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这就是由ARP协议完成的。”     记者：“ARP协议？”     阿里：“对，ARP，地址解析协议，Address Resolution Protocol的缩写。所谓地址解析协议，就是主机在发送数据包前将目标主机IP地址转换成为目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址。在局域网中的任何一台主机中，都有一个ARP缓存表，该表中保存着网络中的各个电脑的IP地址和MAC地址的对照关系。”     记者：“保..存..着..对照关系？哦，我明白了，是不是如果改变这个对照关系，就可以达到我的目的了？”     阿里：“哈哈哈，很对，你已经明白了一个最简单的ARP欺骗的过程了，病毒会将机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP欺骗包，假冒网关的MAC地址，致使同一个网段地址内的其他机器误将其作为网关，这就是为什么掉线时局域网是互通的，计算机却不能上外网的原因。当然只要攻击方法稍加变化，就可以使其出现多种变种，对网络造成更多危害。”     记者：“那如何解决ARP病毒欺骗攻击呢？”     阿里：“方法有很多，我大概说两个吧。”     ……     阿里很专业，讲得很细致，让我这个外行人也能听懂。一个小时的采访时间很快过去了，阿里向现场的工作人员道别后就匆匆地离开了，他还要继续为残奥会安保工作贡献力量。     在采访结束后，我把阿里说的解决方法整理了出来，放在这篇采访的最后，希望能对大家有所帮助。     1. ARP病毒发作时的现象 •网络掉线、但网络连接正常； •局域网内的部分PC机不能上网或者所有PC机都不能上网； •无法打开网页或打开网页慢； •局域网时断时续且网速缓慢。        2. 解决ARP病毒欺骗攻击的主要方法     在PC上静态绑定ARP（此方法不适用于大型网络）。     在能上网的情况下，进入MS-DOS，输出arp -a查看网关IP对应的正确MAC地址，将其记录下来。如果已经不能上网，则运行一次arp -d，这个操作是清空ARP缓存表，计算机就可暂时恢复上网，一旦能上网就立刻将网络断掉，再运行arp -a。     例如：     假设计算机所处网段的网关157.55.85.254，本机地址为157.55.85.1，网络正常时，在计算机MS-DOS窗口运行arp -a后输出如下： C:\Documents and Settings>arp -a Interface:157.55.85.1---0x2 Internet Address Physical Address Type 157.55.85.254 00-aa-00-62-c6-09 dynamic     其中00-aa-00-62-c6-09就是网关157.55.85.254对应的真实的MAC地址，类型是动态（dynamic）的，因此是可被改变的。     获得正确的网关MAC地址后，在不能上网时，手工将网关IP和正确的MAC地址绑定，可确保计算机不再被攻击影响。手工绑定的方法是在MS-DOS窗口下运行以下命令： Arp -s<网关IP><网关MAC>     例如：arp -s 157.55.85.254 00-aa-00-62-c6-09     绑定完后，可再用arp -a查看ARP缓存： C:\Documents and Settings >arp -a Interface:157.55.85.1---0x2 Internet Address Physical Address Type 157.55.85.254 00-aa-00-62-c6-09 static     这时，类型变为静态（static），就不会再受攻击影响了。需要说明的是，手工绑定在计算机关机断电后就会失效，需要再绑定，解决办法是制作一个批处理文件放到系统的启动目录中，这样可以实现每次开机自动运行。     要彻底根除攻击，只有找出网段内被病毒感染的计算机并杀毒，方可解决。     3. 找出中毒机器，清除病毒 在遭受ARP攻击后，再用arp -a命令查看，就会发现网关的MAC已经被替换成了攻击机器的MAC，如果希望能找出攻击机器，彻底根除攻击，可在此时将该MAC记录下来，为以后查找做准备。 根据记录下来的病毒机器MAC地址，查找病毒机器在交换机上的物理端口号。找到中ARP病毒的机器后，将此机器与网络隔离，使网络恢复正常，再对该机器进行相应的杀毒处理。     4. 关于防范ARP病毒的网络安全建议 > 在网络正常的时候保存好全网的IP-MAC地址对照表； > 打好系统补丁防止网页木马； > 部署网络流量检测设备，时刻监视全网ARP广播包，查看其MAC地址是否正确； > 做好IP-MAC地址绑定工作； > 部署杀毒软件，并保证及时更新。