ARP排查與防護

ARP***就是通過僞造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，***者只要持續不斷的發出僞造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人***。
　　ARP***主要是存在於局域網網絡中，局域網中若有一個人感染ARP***，則感染該ARP***的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，並因此造成網內其它計算機的通信故障。
　　RARP的工作原理：
　　1. 發送主機發送一個本地的RARP廣播，在此廣播包中，聲明自己的MAC地址並且請求任何收到此請求的RARP服務器分配一個IP地址；
　　2. 本地網段上的RARP服務器收到此請求後，檢查其RARP列表，查找該MAC地址對應的IP地址；
　　3. 如果存在，RARP服務器就給源主機發送一個響應數據包並將此IP地址提供給對方主機使用；
　　4. 如果不存在，RARP服務器對此不做任何的響應；
　　5. 源主機收到從RARP服務器的響應信息，就利用得到的IP地址進行通訊；如果一直沒有收到RARP服務器的響應信息，表示初始化失敗。
　　6.如果在第1-3中被ARP病毒***，則服務器做出的反映就會被佔用，源主機同樣得不到RARP服務器的響應信息，此時並不是服務器沒有響應而是服務器返回的源主機的IP被佔用


機房出現ARP***時的故障現象
 ARP***一般都是僞裝的網關MAC 所以會造成該網段服務器通往外網的數據發向中ARP機器。很明顯的會造成大面積不通的現象。網絡狀態體現爲丟包、延時較大等等。如果有客戶同時報一個網段通信有問題，排除***,向外發包等的因素外，就要考慮是不是該網段有arp !
通過網絡監控的監控系統 如日誌服務 ，可以監控到網段中的ARP 但根據日程工作中的經驗來看，日誌服務的靈敏度不夠高 ，當網絡中有大面積長時間的ARP廣播數據包時，這邊可以監測到，這是可以在日誌的Warning 警告條目 內容一般是Duplicate address 192.168.1.253 on Vlan115, sourced by 0050.5697.004e 這類的條目。這條日誌可以理解爲在VLAN115,192.168.1.253 網關下MAC爲0050.5697.004e的服務器有ARP!!這時通過在匯聚設備上根據這個MAC查找到對應的IP 然後通知機房斷網。因爲ARP緩存的原因，還要清理下匯聚設備上的ARP條目緩存表。有時因爲日誌監控的靈敏度不夠，懷疑網絡中有ARP時，也可以到匯聚設備上使用show logging命令查看下日誌記錄。看有沒有ARP廣播的記錄。可以輔助定位ARP故障源。
   由於主動監控的靈敏度不太高，所以有時一些ARP並不能夠監測到。這時候就要機房的同事協助排除故障。機房同事可以在服務器上查看服務器的ARP緩存表。一般網關的MAC都是固定或者有規律的（網絡做有HSRP 都是虛擬網關）看到網關的MAC不正常或者不確定是不是正確的網關，這時就可以把這個MAC記錄下發給監控 讓監控查詢下是哪個IP的MAC。一般這樣處理肯定能處理ARP故障，但浪費時間和人力。
 如何減輕ARP***造成的影響呢？
根據工作中的經驗 可以做以下設置來監測ARP***帶來的影響
1  在服務器上建立靜態ARP表 　　這是一種很有效的方法，而且對系統影響不大。綁定了正確的網關後，就不會再受到僞裝網關的影響。就不會造成外網不通的情況出現。
2.在服務器上安裝防ARP***軟件
3.通過在交換機或者路由設備上對其做IP,MAC以及端口的綁定!!這是也是一個簡單有有效的方法