網速變慢、設備互聯異常？小心是 ARP 出了問題

前兩天，我們公司突然出現了網路異常。一開始只是幾台電腦網頁打不開，沒人在意，大家以為是臨時波動。結果短短半小時，整個辦公室的網路幾乎癱瘓，連內部文件伺服器都連不上。

當時的感覺很奇怪：外網能ping通，但存取特別慢，本地的印表機、共用資料夾這些內部資源，卻完全連線不上。我們馬上開始檢視。

第一反應是看出口，路由器和防火牆都沒問題。後來查看交換機，發現區域網路內的流量異常高，大量是廣播包。更奇怪的是，MAC位址表裡很多連接埠的綁定都在不斷變化，像有人在瘋狂插拔網路線一樣。再深入看，才發現問題出在ARP協定上。

ARP工作流程如下圖： PC1 想與 PC2 通訊（知道 IP，不知道 MAC）


簡單說，就是有人在區域網路裡發了大量偽造的ARP應答包，導致各個設備都把錯誤的MAC位址寫進了自己的緩存，結果整個網路通訊混亂，流量打滿，最終癱瘓。

說起來，ARP（位址解析協定）本來是很基礎的東西，區域網路大家互相靠它來找到對方。但問題是，ARP這種協議天生就沒設計安全機制，誰發個應答，別人就信了。這次，有設備（懷疑是中了毒的軟體或配置錯誤的機器）持續發送假的ARP包，把區域網路攪得一團亂。如下圖：


ARP攻擊並不新鮮，但真正遇到，還是挺讓人頭痛的。特別是我們的交換器是二三層混合型，預設允許ARP廣播到整個VLAN，一旦出問題，影響面非常廣。

解決的方法其實也不是特別複雜：

暫時封掉可疑端口，隔離問題源頭
核查關鍵設備（網關、伺服器）上的ARP緩存，必要時手動清除
重新載入靜態ARP表，把常用IP-MAC關係固定下來
在交換器上啟用ARP防護，例如限制一個連接埠最多只能綁定幾個MAC位址，超過就自動斷開

事後複盤，發現公司內部網路平時安全配置做得還是有些松，尤其是內網部分。大家總覺得有防火牆，外部攻擊進不來就萬事大吉了，結果內部出了問題，一下子就放大了影響。

這件事情也提醒了我們一個很現實的問題：區域網路安全，不能靠運氣。

ARP攻擊雖然看起來是很「低級」的手段，但只要環境允許，破壞力一點也不比高深的入侵技術差。而且執行門檻極低，有些網路掃描、釣魚工具本身就帶ARP欺騙功能，一般人稍微摸一下教學就能操作。

未來我們準備做幾件事來防範類似問題：

核心設備上啟用靜態ARP
VLAN進一步劃分，減少廣播域
內網重要段開啟ARP防護策略
定期巡檢局域網路異常廣播及MAC位址漂移狀況
總的來說，安全防護，不是等出問題才補救，而是日常把基本功打牢。就算是像ARP這樣小小的一個環節，一旦出事，後果也遠比想像中嚴重。