黑客常见局域网攻击有哪些？我们如何抵御它的进攻？

黑客不仅会攻击Internet，他们也会对局域网进行攻击，只不过局域网的攻击类型与Internet的攻击类型不同。在局域网中，黑客可能会采取一系列的攻击方式，使得局域网中的路由器或者某些计算机无法正常运行，为了防范常见的局域网攻击，用户不仅需要了解这些攻击原理，而且还要了解防范这些攻击的有效措施，常见的局域网攻击类型有广播风暴、ARP欺骗攻击以及IP冲突攻击。

一、广播风暴

在局域网中，广播风暴是指当大量的广播数据存在于局域网中且无法处理时，这些数据就会占有大量的网络宽带，从而导致正常的数据无法被处理，使得局域网的数据处理性能下降，严重的话还会造成局域网彻底瘫痪。广播风暴产生的原因有多种，常见的有网线短路、网络中存在环路、傻瓜式换机、网卡损坏以及蠕虫病毒等。

①网线短路引发广播风暴

网线短路引发广播风暴是指当网线发生短路时，交换机将会接收到大量不符合分装原则的数据包，从而造成交换机工作繁忙，数据包无法及时转发，使得局域网中出现数据丢失的现象，从而引发广播风暴。网线短路通常是由于网线表面有磨损或者网线的水晶头质量问题引起的。

②网络中存在环路引发广播风暴

当局域网中存在环路时，就会造成每一个数据包都在局域网中重复广播，从而引发广播风暴。要消除这种网络循环连接带来的广播风暴可以使用STP协议（生成树协议），以局域网中一台交换机为节点生成一棵转发树，让所有的数据包都只在这棵树的路径上传输，就不会产生广播风暴了（因为树没有环路），但由于STP算法开销太大，因此交换机默认未启用该协议。

③傻瓜机交换机引发广播风暴

傻瓜交换机是指那些不具备生成树协议功能、无法自动切断级联交换机之间多余端口的交换机。如果在同一个傻瓜式交换机的不同端口或傻瓜交换机之间有多余连接时，就会导致网络中存在环路，进而导致网络广播风暴。

④网卡损坏引发广播风暴

当局域网中某一台计算机的网卡损坏时，由于该计算机与交换机相连接，从而导致它们之间不断地发送广播数据包，从而引发广播风暴。还有一种可能是因为计算机网卡与交换机形成了回路，广播数据包无法及时发送出去而造成广播风暴。

⑤蠕虫病毒引发广播风暴

当局域网中某台计算机感染了Funlove、震荡波、RPC等蠕虫病毒时，它会导致当前计算机网卡的发送数据包和接收数据包快速增加，并通过网络传播，损耗大量的网络宽带，引发网络堵塞，从而导致广播风暴。

二、ARP欺骗攻击

ARP欺骗攻击是一种基于ARP协议的局域网攻击方式，该种攻击方式利用了ARP协议中“局域网中的网络流通是按照MAC地址传输”这一特点而产生的。若要了解ARP欺骗攻击，则首先需要了解ARP协议的工作原理。

①ARP协议的工作原理

当计算机A向计算机B发送数据时，计算机A会查询本地ARP缓存表，找到计算机B的MAC地址后再传数据包；如果未找到，则广播A的一个ARP请求数据（携带计算机A的IP地址la——物理地址Ma），请求IP地址为lb的计算机B回答物理地址Pb，局域网中所有计算机（包括计算机B）都收到ARP请求数据，但只有计算机B能识别自己的IP地址，于是向计算机A发送一个ARP响应数据，其中包含有计算机B的MAC地址。计算机A接收到计算机B的应答后更新本地ARP缓存表，然后使用这个MAC地址向计算机B发送数据。ARP协议并不止在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据时就会对本地ARP缓存表进行更新，存储应答中的IP和MAC地址。因此，当局域网中某台计算机C向计算机A发送一个自己伪造的ARP应答数据时，而如果这个应答时计算机C冒充计算机B伪造的（IP地址为计算机B的IP地址，而MAC地址伪造计算机B的MAC地址），则当计算机A接收到计算机C伪造的ARP应答数据后，就会更新本地的ARP缓存。这样在计算机A看了计算机B的IP地址没有变，但计算机B的MAC地址已经不是原来那个。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输的，所以，那个伪造出来的MAC地址在计算机A上被改变成了一个不存在的MAC地址，这样就会造成网络不通，导致计算机A不能Ping通计算机B！这就是一个简单ARP欺骗。ARP欺骗攻击是黑客常用的攻击手段之一。常见的ARP欺骗攻击分为两种，一种是对路由器ARP表的欺骗攻击，另一种是对内网计算机网关的欺骗攻击。

①对路由器ARP表的欺骗攻击

这种ARP欺骗攻击的原理是截获网关数据。它发给路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中。结果路由器所有数据只能发送给错误的MAC地址，造成正常的计算机无法收到信息。

②对内网计算机网关的欺骗攻击

这种ARP欺骗攻击的原理是伪造网关，即建立假网关，让被它欺骗的计算机向假网关发送数据，而不是通过正常的路由器途径上网，使得网内的计算机无法正常上网。

三、IP冲突攻击

IP地址冲突是指在同一个局域网中，如果有两台计算机同时使用了相同的IP地址，或者其中一台计算机已经通过DHCP获取了一个IP地址，同时又有其他计算机被手动分配了与此相同的IP地址的现象。一旦出现IP地址冲突，则其中一台计算机将无法正常上网。IP冲突攻击只是ARP攻击的一部分，该种攻击方式能够在局域网中产生大量的ARP通信，造成局域网闭塞。黑客只要持续不断地发出伪造的ARP响应数据，就能更改目标计算机ARP缓存中的IP/MAC地址信息，造成目标计算机上不断显示IP地址冲突，使得目标计算机无法上网。

防御广播风暴可以采用VLAN技术，使用高质量的网线和网络设备、避免局域网中出现环路以及安装杀毒软件。

防御ARP欺骗用户可以采用绑定IP/MAC地址列表的方法进行防御，还可以使用360木马防火墙来防御ARP欺骗攻击。

防御IP冲突攻击可以采用在路由器中捆绑IP地址与MAC地址，使得除绑定的IP地址外，任何地址都无法接入当前局域网，从而防御IP冲突攻击。