基于Gratuitous ARP泛洪的局域網(wǎng)故障分析＊

徐春林

（揚(yáng)州工業(yè)職業(yè)技術(shù)學(xué)院現(xiàn)代教育技術(shù)中心，江蘇揚(yáng)州 225127）

1 問(wèn)題的提出

1.1 網(wǎng)絡(luò)環(huán)境

本文以揚(yáng)州某高職院校的網(wǎng)絡(luò)為背景，該校園網(wǎng)絡(luò)是基于“核心—接入”的大二層交換網(wǎng)絡(luò)，使用了“扁平化”網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。接入端使用普聯(lián)TPLink 701N無(wú)線AP，通過(guò)超五類線接入樓層中的接入交換機(jī)，其中核心交換機(jī)為神州數(shù)碼的DCRS6808，接入交換機(jī)為神州數(shù)碼的DCS3950。網(wǎng)絡(luò)的拓?fù)鋱D如圖1所示。

1.2 故障現(xiàn)象

核心交換機(jī)突然反應(yīng)遲緩，Ping網(wǎng)關(guān)超時(shí)嚴(yán)重甚至連續(xù)丟包。檢查接入交換機(jī)，發(fā)現(xiàn)接入交換機(jī)上所有端口快速閃爍。該接入交換機(jī)下的所有用戶無(wú)法正常上網(wǎng)，其他接入交換機(jī)上用戶網(wǎng)絡(luò)網(wǎng)速變慢，甚至丟包中斷。將上聯(lián)光纖拔掉后，其他端口繼續(xù)快速閃爍，其接入用戶仍無(wú)法連接因特網(wǎng)。但此時(shí)核心交換機(jī)恢復(fù)正常，其他接入交換機(jī)上的用戶恢復(fù)正常。

初步分析是該接入交換機(jī)上有報(bào)文泛洪［1－2］，導(dǎo)致其大量發(fā)送廣播報(bào)文，堵塞上聯(lián)端口，拖慢核心交換機(jī)的處理速度。

圖1 網(wǎng)絡(luò)拓?fù)鋱DFig.1 Topological graph of fault point

2 捕包分析

從故障現(xiàn)象分析該接入交換機(jī)上有報(bào)文泛洪，但無(wú)法確認(rèn)是DHCP報(bào)文泛洪、ARP報(bào)文泛洪，還是其他報(bào)文。本文借助于WireShark捕包工具分別在核心交換機(jī)上做鏡像端口和接入交換機(jī)上進(jìn)行捕包［3－4］，捕包結(jié)果如表1所示。捕包時(shí)長(zhǎng)為5s，捕獲ARP報(bào)文總數(shù)為3 459 964package。這是典型的ARP報(bào)文泛洪現(xiàn)象。對(duì)其中一個(gè)數(shù)據(jù)包（Frame 3）進(jìn)行拆解，主要信息有：數(shù)據(jù)包源自TP－LinkT－10：e3：ac（1c：fa：68：10：e3：ac），是一個(gè)廣播包Broadcast（ff：ff：ff：ff：ff：ff），捕包工具發(fā)出警告：有兩個(gè)不同MAC地址擁有相同的IP地址（Duplicate IP address detected for 172.21.5.249（1c：fa：68：10：e3：ac）－also in use by c：fa：68：10：cd：ad（frame 2）Frame showing earlier use of IP address：2）。

根據(jù)解包分析，廣播包是由兩個(gè)TP－Link的無(wú)線AP發(fā)出的ARP請(qǐng)求包，長(zhǎng)度為60B，類型為Gratuitous ARP。這兩個(gè)無(wú)線AP配置成了同一個(gè)IP地址，兩個(gè)ARP都在不斷廣播ARP，相互詢問(wèn)172.21.5.249地址是誰(shuí)，而解析顯示有相同的IP地址沖突，但是AP不予理會(huì)。

表1 捕獲數(shù)據(jù)包信息Table 1 Packet capture information

3 Gratuitous ARP相關(guān)知識(shí)

Gratuitous ARP也稱為免費(fèi)ARP。Gratuitous ARP不同于一般的APR請(qǐng)求，它并非期待得到IP對(duì)應(yīng)的MAC地址，而是當(dāng)主機(jī)啟動(dòng)的時(shí)候，將發(fā)送一個(gè)Gratuitous ARP請(qǐng)求，即請(qǐng)求自己的IP地址的MAC地址。

免費(fèi)ARP有兩種作用：

（1）免費(fèi)ARP能夠使主機(jī)A確定另一個(gè)主機(jī)B是否設(shè)置了與其相同的IP地址。主機(jī)A并不希望對(duì)此請(qǐng)求有一個(gè)回答，但是，如果收到一個(gè)應(yīng)答，那么就會(huì)產(chǎn)生一個(gè)錯(cuò)誤消息“以太網(wǎng)地址aa：bb：cc：dd：ee：ff發(fā)送來(lái)重復(fù)的IP地址”，以便確認(rèn)IP地址重復(fù)。

（2）如果發(fā)送免費(fèi)ARP的主機(jī)正好改變了硬件地址，那么這個(gè)分組就可以使其他主機(jī)高速緩存中舊的硬件地址進(jìn)行相應(yīng)的更新。

4 故障原因分析及解決方案

根據(jù)捕獲報(bào)文和Gratuitous ARP原理分析，故障產(chǎn)生的原因是接入交換機(jī)上兩臺(tái)TP－Link無(wú)線AP配置了相同的IP地址，在無(wú)線AP加電啟動(dòng)或者有用戶接入訪問(wèn)時(shí)，AP會(huì)發(fā)送Gratuitous ARP進(jìn)行請(qǐng)求自己的IP地址和MAC地址。當(dāng)收到應(yīng)答時(shí)，會(huì)產(chǎn)生一個(gè)錯(cuò)誤消息，通常對(duì)于計(jì)算機(jī)而言會(huì)進(jìn)行處理，從而出現(xiàn)“重復(fù)的IP地址”的提醒而使其失效，但是對(duì)于普聯(lián)TP－Link 701N這款無(wú)線AP，是無(wú)法存儲(chǔ)和顯示這類信息的，而且不作任何處理使重復(fù)的IP地址失效。所以，一旦有數(shù)據(jù)流過(guò)，兩個(gè)無(wú)線AP便同時(shí)激活，分別連續(xù)廣播Gratuitous ARP，從而導(dǎo)致接入交換機(jī)報(bào)文擁塞，拖慢核心交換機(jī)。

針對(duì)這種故障現(xiàn)象，基于Gratuitous ARP的原理，筆者從硬件和軟件幾方面進(jìn)行故障排除。

（1）對(duì)接入的無(wú)線AP進(jìn)行核對(duì)清理，排除配置相同IP地址的AP。

（2）針對(duì)接入交換機(jī)配置，盡量減少?gòu)V播風(fēng)暴控制值，使其即使兩臺(tái)AP配置了相同的IP地址，也不會(huì)影響到接入交換機(jī)的其他端口和核心交換機(jī)上的所有用戶。

（3）對(duì)AP軟件進(jìn)行升級(jí)，使其對(duì)Gratuitous ARP請(qǐng)求回應(yīng)進(jìn)行處理，即使配置相同的IP地址，也可以由AP的IP地址自主失效，從而不影響另一AP正常工作。

5 結(jié)語(yǔ)

本文從實(shí)際出發(fā)，通過(guò)對(duì)局域網(wǎng)中的故障進(jìn)行分析，發(fā)現(xiàn)了由無(wú)線AP產(chǎn)生Gratuitous ARP所引起的非病毒攻擊性網(wǎng)絡(luò)故障。此類故障具有突發(fā)性，嚴(yán)重危害整個(gè)局域網(wǎng)的穩(wěn)定性。本文從技術(shù)的角度，針對(duì)此類故障，提出了3種有效的解決方案，在實(shí)踐中取得了較好的效果。

［1］ 白君芬.高校公共機(jī)房ARP欺騙攻擊及其解決方案研究［J］.赤峰學(xué)院學(xué)報(bào)：自然科學(xué)版，2009，25（9）：49－51.

［2］ 孫亞飛，張玉松.局域網(wǎng)ARP欺騙診斷分析［J］.石家莊職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011，23（6）：61－63.

［3］ 李蘇豐.基于ARP欺騙防范與追蹤［J］.科技信息，2012（5）：141－142.

［4］ 車(chē)樹(shù)炎，蘇冠東.基于ARP欺騙攻擊網(wǎng)絡(luò)安全性的研究［J］.電腦知識(shí)與技術(shù)，2012（24）：5795－5796.