| 如在上述数据包的发送过程中,当主机S向该局域网所有主机发送一个ARP广播包(如:主机S的IP是192.168.0.3,硬件地址是MAC_S,想知道IP地址为192.168.0.4的主机的硬件地址是多少)后,主机D向主机S发送含有回复信息的数据包(如:主机D的IP地址是192.168.0.4,硬件地址是MAC_D)。同时,主机A也向主机S发送含有回复信息的数据包(如:主机A的IP地址是192.168.0.4,硬件地址是MAC_A),即此时主机A“冒充”自己的IP地址是主机D的IP地址,但是MAC地址写成自己的,并且主机A不停地发送同样的应答数据包,原本主机S的ARP缓存表中已经保存了一条正确的记录:192.168.0.4-MAC_D。但是,由于主机A不停地向主机S发送含有回复信息的数据包,这时主机S并不知道主机A发送的数据包是伪造的,导致主机S又重新动态更新自己的ARP缓存表,将ARP缓存表的记录修改为:192.168.0.4-MAC_A。其实,这是一条错误记录(该过程也叫ARP缓存表中毒),这样就导致以后凡是主机S要发送数据给主机D(IP地址为192.168.0.4的主机),都将会发送给MAC地址为MAC_A的主机A。因此,主机A“劫持”了由主机S发送给主机D的数据。
同样,如果主机A再“过分”一些,它不“冒充”主机D,而是“冒充”该局域网的网关,将会发生更加严重的后果。如果局域网中一台主机要连接Internet互联网,那么所有收发的数据都要先经过网关,而后由局域网中的网关进行数据的转发,由网关发向互联网(假设该局域网网关的IP地址为192.168.0.1)。如果主机A向局域网不停地发送ARP欺骗广播数据包(如:主机A的IP地址是192.168.0.1,硬件地址是MAC_A)。这时,局域网中的其它主机并没有“察觉”到这个ARP欺骗广播数据包。因此,局域网中的其它主机都会动态更新自己的ARP缓存表,并且都在自己的ARP缓存表中添加一条记录为:192.168.0.1-MAC_A。这样,当局域网中的其它主机都要将数据包发送给网关(即向IP地址为192.168.0.1的主机发送数据)时,最后都会将数据包发送给MAC_A这台主机。因此,主机A就将会监听整个局域网发送给互联网的数据包,将会使整个局域网产生大量的ARP数据包造成网络阻塞。
三、ARP病毒防范对策
ARP病毒防范工作是我们对局域网进行维护和管理工作中一项不可忽视的重要工作。如何防范ARP病毒,需要在实践中不断研究、探索和总结。笔者认为可以采用以下一些对策来加以防范。
1、在局域网主机上安装防火墙和杀毒软件,加固网络防线。因为,网络入侵者必须首先穿越局域网中防火墙的安全防线,才能接触局域网内部的主机。因此,利用防火墙的网络安全保护作用并选择、安装功能齐全和技术先进的防火墙(如:瑞星、诺顿、AntiARP、360安全卫士ARP防火墙等)是一种最基本也是最有效的防范病毒感染和入侵的方式。同时,局域网管理人员应该在局域网内部的主机上安装好正版杀毒软件,并进行定期地升级、更新与杀毒工作,以增强防御计算机病毒的能力。同时,利用一些防火墙软件(如:AntiARP、360安全卫士ARP防火墙等),也可以有效解决ARP攻击问题,而且可以通过历史记录查看攻击源的IP和MAC地址。
2、采用静态分配IP地址方式,并捆绑局域网中所有主机的MA地址C和IP地址,杜绝IP 地址盗用现象。如果单位局域网的网络规模较小,建议采用静态分配IP地址方式来分配IP地址。采用该对策,可以有效免疫ARP病毒侵扰,并且可以达到规范网络管理的目的。同时,局域网管理人员可以在局域网的中心路由器或代理服务器上将所有上网主机的静态IP 地址与主机网卡的MAC 地址进行捆绑设置。如: ARP -s 192.16.0.4 00-EO-4C-6C-08-75。这样,可以有效地防止其他主机盗用IP 地址。如果是通过交换机连接,可以将主机IP地址、主机网卡的MAC 地址以及交换机端口绑定。
3、修改MAC地址,采用反欺骗技术防范。局域网管理人员修改局域网中主机的MAC地址,就可以欺骗ARP 欺骗(即反欺骗),从而达到有效防范局域网中感染并运行ARP病毒的目的。
4、采用ARP服务器,防止ARP病毒攻击。局域网管理人员可以采用ARP 服务器,通过该服务器查找自己的ARP 转换表来响应其他主机的ARP 广播数据包,从而达到这台ARP 服务器不被攻击和有效防范局域网中感染并运行ARP病毒的目的。
5、对局域网中的交换机(Switch)端口进行设置,防止ARP病毒攻击。
A、端口保护(亦即端口隔离):ARP 欺骗技术需要交换机(Switch)的两个端口直接通信。因此,从事局域网维护和管理的技术人员可以将交换机(Switch)端口设为保护端口,即可用来隔离局域网中主机之间互通信息。同一台交换机(Switch)的两个端口之间不能进行直接通讯,需要通过转发环节才能相互通信。
B、数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL (Access Control Label,访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机(Switch)的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。在现有交换机产品中,华为和Cisco(思科)公司的交换机均支持IP ACL 和MAC ACL,每种ACL 分别支持标准格式和扩展格式。标准格式ACL 根据源地址和上层协议类型进行过滤,扩展格式ACL 根据源地址、目的地址以及上层协议类型进行过滤,异词检查伪装MAC 地址的帧。
6、使用硬件屏蔽局域网中的主机,确保合法路由。局域网管理人员在局域网中设置好所有主机的网络路由,确保IP 地址能到达合法的路径(静态配置路由ARP 条目)。注意:使用交换集线器和网桥无法阻止ARP 欺骗。
7、定期检查ARP缓存,防止ARP病毒攻击。局域网管理的人员应该定期用响应的IP 包中获得一个RARP(Reverse Address Resolution Protocol,反向地址解析协议)请求, 检测ARP 响应的真实性;或者采用网络管理软件进行定期轮询, 检测局域网中主机上的ARP 缓存表;或者使用防火墙连续监控网络。注意:在有使用SNMP(Simple Network Management Protocol,简单网络管理协议)的情况下,ARP 欺骗有可能导致陷阱包丢失。
8、运行相关命令和软件,查找并切断局域网中所感染ARP病毒的主机。首先,在局域网的主机上运行ping命令(ping 局域网网关的IP地址),再运行ARP -a 命令,检测所得到的局域网网关所对应的MAC地址是否与实际情况相符,如不符,再去查找与该MAC地址对应的主机。其次,可以使用常用的抓包工具(如:Sniffer软件),分析所得到的ARP数据报,再利用杀毒软件或手工方式对ARP病毒进行处理。最后,可以使用常用的MAC地址扫描工具(如:Nbtscan)来扫描局域网中所有网段的IP地址和MAC地址对应表,从而对感染ARP病毒的主机所对应MAC地址和IP地址进行分析和判断。 2/3 首页 上一页 1 2 3 下一页 尾页 |
