ARP病毒攻击与防范

ARP病毒攻击与防范（精选十篇）

ARP病毒攻击与防范 篇1

(一) ARP欺骗病毒原理分析

在局域网中, 一个主机要和另一个主机进行直接通信, 除知道目标主机的IP地址外还必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。即ARP协议是用来来完成IP地址转换为MAC地址 (即第二层物理地址) 的。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。ARP协议对网络安全具有重要的意义。ARP欺骗病毒是通过伪造IP地址和MAC地址实现ARP欺骗, 从而在网络中产生大量的ARP通信量使网络阻塞。用伪造源MAC地址发送ARP响应包, 是对ARP高速缓存机制的攻击。

ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线, 过一段时间后又会恢复正常。比如客户端状态频频变红, 用户频繁断网, IE浏览器频繁出错, 以及一些常用软件出现故障等。如果校园网是通过身份认证上网的, 会突然出现可认证, 但不能上网的现象 (无法ping通网关) , 重启机器或在MS-DOS窗口下运行命令arp-d后, 又可恢复上网。ARP欺骗木马十分猖狂, 危害也特别大, 各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情, 带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑, 就可能导致整个局域网都无法上网, 严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外, 还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易, 盗窃网上银行账号来做非法交易活动等, 这是木马的惯用伎俩, 给用户造成了很大的不便和巨大的经济损失。

(二) VLAN技术

1. 什么是VLAN

VLAN (Virtual Local Area Network) 即虚拟局域网, 是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现, 主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN, 每个VLAN是一个广播域, VLAN内的主机间通信就和在一个LAN内一样, 而VLAN间则不能直接互通, 这样, 广播报文被限制在一个VLAN内。

2. VLAN的优点

(1) 限制广播域。广播域被限制在一个VLAN内, 节省了带宽, 提高了网络处理能力。

(2) 增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的, 即一个VLAN内的用户不能和其它VLAN内的用户直接通信, 如果不同VLAN要进行通信, 则需要通过路由器或三层交换机等三层设备。

(3) 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组, 同一工作组的用户也不必局限于某一固定的物理范围, 网络构建和维护更方便灵活。

VLAN是在数据链路层的, 划分子网是在网络层的, 所以不同子网之间的VLAN即使是同名也不可以相互通信。

3. 组建VLAN的条件

VLAN是建立在物理网络基础上的一种逻辑子网, 因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时, 需要路由的支持, 这时就需要增加路由设备——要实现路由功能, 既可采用路由器, 也可采用支持VLAN的三层交换机来完成。我们可以根据端口、MAC地址、IP地址以及路由器等多种方式来进行VLAN的划分。

(三) 校园网利用VLAN技术防范ARP病毒攻击的设计与分析

根据ARP欺骗病毒的原理和VLAN的特点, 我们不难发现, 只要把校园网划分成不同的子网, 这样, ARP病毒即使感染了校园网中的某台计算机, 那他只能局限在某个子网内传播, 不能够扩散到其他的子网, 不会导致整个网络瘫痪。同时, 我们一旦发现哪个子网连接的交换机异常, 就可以缩小范围, 对该子网的计算机进行病毒查杀, 提高工作效率。这样就能有效的防范和减小ARP欺骗病毒对校园网的影响, 保证学校的正常办公和教学的开展。

首先, 我们根据校园内部门的设置, 以及人数或者计算机数先统计好相关的子网, 然后根据子网内所可能包含的计算机数, 分配相应的IP地址和网关。这些是我们在交换机上划分VLAN的依据。例如:

学院办公室子网:192.168.1.0——192.168.1.22网关:192.168.1.1;

财务处子网:192.168.3.0——192.168.3.22网关:192.168.3.1;

1号实训楼101机房子网:192.168.6.0——192.168.6.80网关:192.168.6.1;

信息中心办公室子网:192.168.7.0/24网关:192.168.7.1;

服务器子网:192.168.100.0/24网关:192.168.100.1…………

根据交换机类型和品牌的不同, 我们根据分配好的IP地址配置相关的交换机就可以了。但是在实际的配置过程中, 我们还发现, 同一交换机上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型:一种是“广播共享”, 即VLAN划定的广播域贯穿共享设备和链路 (如图1所示) , 换句话说广播共享是二层的共享。另一种我们称之为“路由共享”, 也可以说是三层共享, 在这种类型的共享中, 不同VLAN的数据包是以路由 (三层交换) 方式穿过交换机的 (如图2中虚线所示) , 通过的包基本上不含有一般的广播包 (DHCP和特殊协议的广播除外) 。VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。

从图1可清楚地看出所共享的网络资源 (交换机和链路) 。在正常情况下, VLAN间的这种影响不被我们所注意, 原因是共享的交换机有足够的交换能力, 链路不是很拥挤, 但在某一VLAN出现异常时 (如感染ARP病毒或出现环路) 情况就不同了。这时被感染VLAN (如VLAN1) 中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽, 并长时间占用物理链路, 其他VLAN (如VLAN2) 中的设备尽管“看”不到出现异常VLAN中的数据帧, 但其所依赖的网络资源已被用尽, 因此, VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交换机附近, 那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。

要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生, 很容易想到在核心交换机和划有VLAN的交换机之间加上一层, 以隔离核心交换机和各个VLAN。这时就形成了目前较为流行的三层拓扑结构的网络, 如图2所示。

在三层网络结构中, 汇聚层与核心层之间的区域不再有VLAN, 汇聚层交换机的VLAN也仅限于部分端口, 这时汇聚层交换机成为被“路由共享”的交换机, 而且这种“路由共享”比图1的情况更弱。如果使汇聚层交换机的性能远高于接入层的交换机, 那么由VLAN的广播 (多由病毒引起) 所引起的整网瘫痪问题就基本解决了。

(四) 结束语

本文提出了高校利用VLAN技术防范ARP病毒攻击的设计与分析, 当然, 这只是防范VLAN的一种方法, 对于VLAN的划分, 不同品牌、不同型号的的设备效果也自然有所不同。在此不能一概而论, 但是, 经过VLAN划分的校园网不仅能够有效的防范ARP病毒的攻击, 缩小范围, 同时也能提高整个网络的效率。利于管理整个校园网络。

参考文献

[1]孔祥翠, 郭爱章, 耿玉水.校园局域网防ARP病毒的研究和解决[J].计算机安全, 2008 (4) :95-96.

[2]王玉宝.ARP病毒原理分析[J].电脑知识与技术, 2007 (17) :1268-1269.

ARP病毒攻击与防范 篇2

简单的说就是：这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址，而那个源MAC地址可能是自己的MAC，也可能是一个无用的MAC地址。而目的IP地址和目的MAC地址都是广播地址，这样的话，这个新的ARP条目就会发送到网络中的任何一个设备中。然后，这些设备就会更新自己的ARP缓存，这样一来呢，就达到欺骗的效果了。以后我们的机器在往重要的设备上发送数据的时候，就会先检查自己的ARP缓存啊，确实存在这么一个ARP条目，殊不知已经是被掉包的了。所以呢，我们发送的数据就不会按照我们原来的意愿，到达真正的目的地。

从上面的这些话当中，我们可以提炼出：中毒后的机器会频繁的自动产生一些假的ARP包，来达到让别的设备更新自己的ARP缓存的目的，以达到欺骗的目的。

我们可以分下实现这个ARP病毒需要分几个步骤：

1．机器得自己产生ARP报文。

2．并且一定要频繁，更新设备ARP缓存的间隔一定要比正常情况下的小，且小的多。

3．别的设备得接受，并且承认这种频繁来更新的ARP条目。

知道了它的工作过程，那么我们就从各个步骤进行分析，下对策。

首先说呢，ARP这个协议本身就不怎么地，本身就是不安全的。就是在没有ARP请求包的情况下，机器也可以发送ARP回应包。这样看来的话，就好像是UDP对应起TCP一样，是属于那种“无连接状态”的。也正是这种协议本身的安全缺陷，才让欺骗这么容易的进行。没事的情况下，设备还具备发送这样的ARP包的能力呢，别说中毒了，那就发送的更狂了，并且发送的还都是一些经过特定修改的。修改ARP回应包的源Ip地址，修改成重要设备的地址。修改了这个IP地址，才可以对这个对应的IP地址的设备进行阻碍，以后发送往这个设备发送的数据都会发送到这个中毒的机器来。也许你会说，中毒的可以发，人家那个正常的设备也可以发啊。是啊，所以为不让其他的设备承认真正的设备发送的ARP包，这个中毒的机器才使得自己拼命的发，一个劲的发，拼命的发。这样的话，让那个真正的设备发送的ARP包没有机会更新其他设备的ARP缓存。如果我们不该找个ARP包的源MAC地址的话，也就是说这个MAC地址是这个中毒的机器的MAC地址，那么以后发送到那个源IP地址的设备的数据都会发送到这个中毒的机器来。如果这个MAC地址是网关的地址的话，那么其他的机器上网的数据不是发送到真正的网关了，而是发送到这个中毒的机器来。如果在这个机器上再安装个分析软件的话，就完全可以知晓网络中的一切信息交流。如果这个MAC地址是个无效的。那么以后发送到那个源IP地址的数据流就会被无奈的丢弃啦。因为在LAN中传输数据用的是MAC啊，。现在每个机器都是知道了那个IP地址的是那个MAC地址，殊不知这个MAC是静心策划的无效MAC。这样一来的话，就会导致发送到那个IP地址的数据全部被丢弃。造成的后果如何就看这个ARP包的源Ip地址是什么设备的IP地址 了。如果是网关的话，那么全网的机器就都上不去网了。如果是一个普通机器的Ip地址呢，那么这个机器就上不去了。我们说的，这种ARP病毒包会频繁的发送，虽然正常的ARP包被接受的几率很小很小了，但是也会有被接受的可能啊，所以，ARP病毒会导致网络中的机器上网断断续续的。厉害了，就完全出现网络断开的现象咯。不知不觉，一个“首先”就分析了1和2两个步骤。那么我们对于上述的这些过程，该如何阻挠呢？细看，这些都是病毒的实质的工作方式。我们不可能更改他们啊。那么我们就想想是否可以阻止这样的数据包进入网络。如果进入不了网络，那就完全么事咯。这个问题就需要我们在机器联网的地方做手脚了。那就是接入层交换机上的端口咯。也就说得让交换机的端口只允许一个MAC地址的数据包通过，并且这个数据包还是的MAC地址还是下面连接的机器的真正的MAC地址。这样一来呢，如果再找个端口上进出其他MAC地址的数据包，这个端口就会采取相应的措施：关闭端口（永久性关闭或者将端口周期性的进入到err-disable状态）、限制（将非匹配MAC地址的数据包全部丢弃掉）、保护（当端口学习的MAC地址数到达了设置在这个端口上可以学习的MAC的最大数量的时候，丢弃后面来的任何不同于先前这些MAC地址的数据包。）

最近，我单位碰到一个非常奇怪的问题，一台P4品牌电脑，内置英特尔网卡，一直以来用得挺好，浏览互联网，内网的通信都很正常。突然有一天，发现这台计算机在浏览互联网时时通时断，ping互联网上的地址时，也是通一下，断一下，但ping内网时什么问题也没有，和内网的通信也非常正常，就是和互联网通信时有这种现象，非常令人费解。这台电脑的IP地址为192.168.24.55，防火墙的 IP地址为192.168.24.7。

检查物理链路

我单位所有访问互联网的电脑都是通过Netscreen NS25防火墙来连接的，如果说是防火墙的问题，而其他的电脑访问互联网都挺正常，没有时通时断的现象。根据这台电脑ping的现象来看，问题似乎应该在下三层，而时通时断的现象好像是典型的物理层的问题，那么首先开始检查链路。

这台电脑是接在一台Cisco三层交换机的某一个端口上，防火墙也是接在这台三层交换机上，在三层交换机上启用了路由，配置上肯定没有问题。先检查电脑到交换机的网线，如果说这根网线有问题，那么这台电脑与内网的通信也应该有问题，通过对这根网线的测试证实没有问题。防火墙到交换机的跳线就更应该没有问题了，因为其他的电脑都没有问题。由此可以判断链路是没有问题的，网卡会有问题吗？肯定也不会，因为它跟内网的通信是正常的，所以网卡肯定也没有问题。那么就可以排除物理层的问题了。

模拟数据通信

再看网络层，这台电脑能够访问互联网，但并不是完全不行，只不过有丢包而已，似乎网络层也不应该有问题，那么所有问题似乎就集中在数据链路层了。数据链路层的问题会是哪里呢？思考了几天，毫无头绪，最后只好仔细的想一想网络通信的过程，看能不能找到问题。

假设这台电脑有一个数据包需要发送到互联网，那么首先它会检查目的地址与本机地址是否是在一个网络中，如果不在一个网络中，就会将数据包发送给默认网关，本案例中目的IP为互联网地址，所以肯定不在一个网络中，所以数据包会发送给默认网关。在这里默认网关为那台Cisco三层交换机，IP地址为192.168.24.10。这时192.168.24.55这台电脑会检查本机的ARP表，查找192.168.24.10所对应的MAC地址，如果在ARP表中没有发现相应的ARP表项，它就会发送一个ARP请求包，将它发送给网络中的所有设备来获得192.168.24.10的MAC地址。由于ARP请求包是以广播方式发送的，网络中的所有设备都会接收到这个包，然后传送给网络层检验。

当Cisco三层交换机接收到这个ARP请求时，就会检查本机的IP地址和ARP请求包中的目的IP地址是否相同，如果相同，交换机就会做出ARP应答，将它的MAC地址发送给源，也就是192.168.24.55这台电脑。这台电脑收到ARP应答包后，就会将交换机的IP地址192.168.24.10和MAC地址写入ARP表，然后将交换机的MAC地址作为目的MAC地址封装到数据包中，并将数据包发送到交换机。交换机在收到数据包后，就会检查目的IP是否在本网段中，发现不在本网段中，就会查找路由表，看看有没有到目的IP的路由条目，如果没有，就会将数据包发送给默认路由，在本案例中这台交换机的默认路由是那台IP为192.168.24.7的防火墙。所以交换机就会发送一个ARP广播，以获得防火墙的MAC地址。防火墙做出ARP应答后，交换机就会将防火墙的MAC地址作为目的MAC地址封装到数据包中，数据包就会发送到防火墙，然后防火墙就会又重复上述过程，将数据包发送给互联网上的目的地址。这一切过程都是正常的，没有什么问题。在电脑和交换机的ARP表中都能找到相应的ARP记录，用tracert命令跟踪路由也是正常的，那问题究竟在什么地方呢？看来还得继续分析。

过滤ARP表

在数据包到达了互联网上的目的地址之后，响应的数据包要返回到这台电脑，那么它也应该重复前面的过程。返回数据包先到达防火墙，在防火墙的ARP表中寻找目的IP地址所对应的MAC地址，如果没有，就会发送ARP请求，得到目的电脑的MAC地址，将电脑的IP地址和MAC地址写入防火墙的ARP表，封装后发送给这台电脑，

这一切看起来都是正常的，但为什么会出现时通时断的现象呢？由这台电脑在内网都是正常的现象来判断，在三层交换机上应该是没有问题的，只是在访问互联网时才出现问题，最后决定从防火墙上开始检查。

Telnet上防火墙，检查防火墙配置，一切正常；检查端口，一切正常；检查路由表，也是一切正常。疑惑中，似乎不知该从哪里下手了。突然间，想起来为了防止内网用户盗用IP地址上网，在防火墙上做了IP地址和MAC地址的绑定的！对，检查检查ARP表。于是输入命令：get arp，显示一大串ARP表的信息，竟然全部是IP地址和MAC地址的静态绑定的信息，仅仅只有一条动态的，那是防火墙的下一跳的IP地址和下一跳的MAC地址的信息，就是没有192.168.24.55的ARP表项，难道是……ARP表的问题？似乎看到了一丝希望！

于是决定先清除几个静态绑定的ARP表项试试，先用unset arp命令一连清除了6条静态绑定的ARP表项，然后在那台电脑上ping互联网的地址，居然不丢包了！？困扰我几天的问题难道就这样解决了吗？我简直有点不敢相信，又让我的同事在这台电脑上面测试一下，登录QQ，浏览网页，收发邮件……，居然一切正常，再也没有原来时通时断的现象了！再Telnet到防火墙上，get arp一看，192.168.24.55那台电脑的ARP表项赫然在目。看来问题真的解决了！高兴之余坐下来再好好的想一想原因吧。

故障溯源

这台Netscreen NS 25的防火墙最多支持128个ARP表项，如果不进行静态绑定，ARP表项会不断地进行更新，超时的自动会删掉，所以不会出现ARP表项被占满的情况。而如果是静态绑定，那么它永远就不会被清除，永远会占据一个ARP表项，留给动态使用的ARP表项空间就会越来越少，直到全部占满，导致我所碰到的情况。那么既然如此，有朋友会问了，既然都占满了，其他的电脑就会完全不通，为什么会出现时通时断的现象呢？于是我将ARP表项数了一下，静态绑定的刚好达到127个，剩下一个给防火墙的下一跳的地址占用了，注意这个是动态的，当它的更新时间到了之后，就被删掉了，那台电脑就占用了这个表项，于是网络就通了，因为还有其它的电脑在不断地访问互联网，所以192.168.24.55的ARP表项一到达更新时间马上就会被防火墙的下一跳的地址所占用，这时网络就不通了。其实在这时，我单位的所有机器在访问互联网时都会出现时通时断的现象，只不过防火墙的下一跳的地址占用ARP表项的时间长，互联网中断的时间在大家能够忍受的范围内，都没有发觉罢了。因为防火墙的下一跳的地址占用ARP表项的时间长，192.168.24.55的ARP表项写不进ARP表，产生超时，所以它不通的时间就长一些，就出现时通时断的现象了。

1、清空ARP缓存：大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下：

第一步：通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；

第二步：在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息；

第三步：使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。

2、指定ARP对应关系：其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

第一步：我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式；

第二步：使用arp -s命令来添加一条ARP地址对应关系， 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了；

第三步：因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件（例如：bat）中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。

3、添加路由信息应对ARP欺骗：

一般的ARP欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步：先通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式；

第二步：手动添加路由，详细的命令如下：删除默认的路由: route delete 0.0.0.0;添加路由:

route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改:

route change此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。

4、安装杀毒软件：

安装杀毒软件并及时升级，另外建议有条件的企业可以使用网络版的防病毒软件。

如何能够快速检测定位出局域网中的ARP病毒电脑？

面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。

命令行法

这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下：

Internet Address Physical Address Type

192.168.0.1 00-50-56-e6-49-56 dynamic

浅析ARP攻击与防范 篇3

【关键词】ARP；局域网；监听；攻击；欺骗

【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158（2013）03-0067-01

1. 背景

随着信息技术的发展，计算机网络己经成为工作生活中不可或缺的工具。但伴之而来的非法入侵也一直威胁着计算机网络系统的安全，干扰了互联网的正常发展。因此，如何有效地防范各种攻击，增强网络安全性，是一项重要的课题。

局域网内经常性大面积断线；IP地址冲突不断；内网主机互访出错频繁；网站主页给篡改，网页发现病毒；杀毒软件无可奈何；进而登陆账号被盗、敏感信息外泄……

这些常见的局域网故障，很大程度上跟ARP攻击有关。ARP攻击是一种典型的欺骗类攻击，攻击主机通过发送伪造的ARP应答来更新目标主机的ARP高速缓存，从而使自身赢得目标主机的信任。然后再实施有效攻击或非法监听网络数据包，造成目标主机被攻破或机密信息泄漏等一系列灾难性后果。

2. ARP攻击模式

从ARP协议工作原理可以看出，ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。

2.1 IP冲突或DoS攻击

这种攻击形式与中间人攻击有相似之处，都是持续广播伪造的ARP应答报文，截取并转发主机和网关之间的报文，监听主机与网关之间的通信，常用于窃取敏感的登陆信息和密码。

3 ARP整体防护设计思路

从ARP攻击原理可以看出，防范ARP欺骗攻击最大困难在于其攻击不是针对服务器或交换机系统本身的，而且攻击源可以在网段内任何一个地方隐藏，其隐蔽性很高。所以有时候即使管理员发现了攻击的存在，要在最短时间内快速定位攻击源也是非常困难的事情。这就意味着像防治普通攻击或病毒那样单一的从服务器系统或者从网络网关上进行防范效果不是很好。

一个完整的ARP攻击防范策略需要从三方面同时入手：计算机系统防护、网络设备维护以及健全网络安全监管机制。

计算机系统防护。这是基于主机的安全防护，主要从系统安全加固、系统DLL控制、MAC ARP绑定、安装ARP防火墙等方面构筑第一道防线。

网络设备的防护。局域网内的主机通过交换机、路由器相连，因而应该在交换机与路由器上构筑第二道防线。在交换机某些固定端口上配置静态MAC地址，把一个MAC地址永久性地分配给一个端口。对于连接服务器或机密主机的交换机端口，设置安全保护，阻止攻击方对该端口的监听。对于具有DHCP功能的路由器，尽量用手动指定IP地址给已知MAC地址的主机。

健全网络安全监管机制、合理分配网络资源。监听局域网内ARP数据包的情况。通过监听和分析网络状况，如主机表、协议、数据包特征以及流量等多方面的信息，及时发现通信异常，定位攻击源，并从源头上解决ARP攻击。同时合理利用VLAN优化网络，把ARP攻击所造成的损失减到最低。

4. 结束语

ARP攻击之所以能在公众局域网内如此轻易的传播，是因为在拥有机器数量较多的公众上网环境，由于其中各类系统的安全责任点归属复杂、使用人员安全意识欠缺，造成环境内安全管理漏洞较大、安全盲点较多，从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。即使一个单位或网站管理员能保证自己的服务器与网络交换设备不被攻占，他也无法抵御来自网络范围内任何一台机器的ARP攻击。对付此类攻击，传统上从操作系统或交换设备的单点防御已无济于事。

ARP病毒攻击与防范 篇4

1. 局域网中的ARP欺骗病毒

1.1 ARP欺骗病毒的症状

近几年, 高校中的局域网时常会断线, 一段时间过后又能恢复正常通讯。具体表现为:客户端计算机瞬间与服务器通讯中断, 无法正常运行;IE浏览器频繁报错或访问网页的速度变得极其缓慢;一些常用软件出现运行故障自动关闭等;若通过802.1X身份认证接入局域网, 会突然遇到用户认证成功但无法访问网络的情况。当重启计算机后又能恢复正常的网络通讯。

1.2 ARP欺骗病毒的危害

这类病毒可能会使局域网内的用户无法正常上网, 最严重的情况下将导致整个局域网瘫痪。这类木马病毒除了让用户不能正常访问网络, 还会窃取用户的个人资料与隐私, 如上网账号、密码等。这将给用户带来经济上的损失。

1.3 ARP欺骗病毒的欺骗方式

当下, 这类病毒可以分为两种:仿冒网关攻击病毒和欺骗网关攻击病毒。

1.4 ARP欺骗病毒的工作原理

1.4.1 仿冒网关攻击病毒

这类病毒利用局域网内中毒计算机的MAC地址 (网卡物理地址) 来取代网关的MAC地址, 让被它欺骗的计算机向假网关发送数据, 而不是通过正常的网络设备 (如交换机、路由器等) 来上网, 从而造成网络内部互通, 但用户上不了网。如图1所示。

当这类病毒运行时, 网关的MAC地址就彻底发生了改变, 真实的网关MAC地址就被中毒计算机的MAC地址所取代。如图2所示。

现在来看一下该病毒的工作原理和机制。当局域网中的计算机PC-A打开一个网页时, 正常情况下, 计算机PC-A发出的通信数据包直接流向网关。但当局域网内感染了该病毒后, 计算机PC-A发出的数据包在流经网关之前必须经过计算机PC-B。

根据图3, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B发出ARP欺骗病毒广播包, 对外称自己就是网关。第二步:局域网内每一台计算机都能接收到计算机PC-B发出的ARP欺骗病毒广播包并更新ARP表, 所以ARP缓存就会中毒。第三步:局域网内任意一台计算机通过中毒的计算机PC-B访问因特网, 可能导致整个局域网通讯中断。

1.4.2 欺骗网关攻击病毒

这类病毒首先会截获网关的通讯数据, 然后通知网络设备 (如交换机、路由器等) 一系列错误的内部MAC地址并不断重复上述过程, 使真实的MAC地址信息无法通过更新保存在网络设备中, 最终导致网络设备发送传出的数据包只能传送到错误的MAC地址上。

仍以图三为例, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B (见表1) 仿冒计算机PC-A (见表2) 向网关发送伪造的ARP报文 (其MAC地址为CC-CC-CC-CC-CC-CC) 。

第二步:网关的ARP表 (见表3) 中记录了错误的计算机PC-A的地址映射关系, 从而导致正常的数据报文无法正确地被PC-A接收。

2. ARP欺骗病毒的防范方法

2.1 提高电脑用户安全防范意识水平

接入局域网中的用户应不断提升网络安全防范意识。建议如下:⑴给管理员账户设置相对复杂的权限密码;⑵禁用操作系统的自动播放功能;⑶经常更新杀毒软件的病毒库, ⑷安装网络防火墙;⑸定期更新操作系统和相关应用软件补丁;⑹关闭一些不必要的服务, 例如一些共享服务, 如单机用户可彻底关闭server服务。

2.2 使用专业软件防护

使用ARP防护软件, 例如AntiARP Sniffer。该软件有2个功能。第一, 防止用户通讯时数据包被第三方截取;第二, 防止ARP病毒发送地址冲突数据包。该软件操作起来也很方便, 如果该软件频繁地提示用户IP地址冲突, 则说明局域网中存在ARP欺骗病毒。用户只要将计算机中的[事件查看器]打开就可以获取到冲突的MAC地址, 将它们复制到该软件的[本地MAC地址栏], 完成后点击[防止地址冲突]。再禁用本地网卡, 然后启用。用CMD命令打开MS-DOS窗口输入Ipconfig/all指令查看当前MAC地址是否与本地MAC地址匹配, 如果符合将不再显示地址冲突。

2.3 上网客户端静态地址绑定

编写一个批处理文件, 将其命名为antiarp.bat。该文件的功能是将交换机的网关IP地址和网关MAC地址进行绑定。用户可使用[arp–a]命令查看交换机网关IP地址和网关MAC地址。将这个批处理文件拖到[windows—开始—程序—启动]中, 之后用户每次开机都会自动加载该文件。代码:@echo off;arp-d;arp-s网关IP地址网关MAC地址;

2.4 局域网划分VLAN (虚拟局域网) 隔离ARP欺骗病毒

局域网中的网管员应根据单位网络拓扑结构划出若干个VLAN。当网管员发现有用户的计算机向局域网发送大量地址冲突数据包时, 应该利用技术手段对该用户的交换机端口定位, 然后将该端口划分到一个单独的VLAN隔离该用户, 以避免对其他用户造成影响或者直接屏蔽该用户的上网端口。

3. 结束语

局域网内部防御ARP病毒攻击的方法是在客户端、网络接入设备和服务器端建立立体防御机制。但这些办法无法从根本上根治ARP病毒, 因为ARP病毒是基于ARP协议的安全缺陷产生的。今后随着Ipv6的应用与普及, ARP病毒将被根治。

摘要：近几年, APR欺骗病毒在局域网内大量出现导致用户上网非常不稳定。该文章将详细介绍这类病毒的攻击原理及预防措施。

关键词：ARP病毒,工作原理,预防方法,局域网

参考文献

[1]谢希仁.计算机网络 (第四版) [M].大连:大连理工大学出版社, 2004.

[2]黄剑飞.构建网络安全的几点设想[J].教育与职业, 2004 (20) :66～67

ARP病毒攻击与防范 篇5

1、做好第一道防线，实现网关和终端双向绑定IP和MAC地址。针对局域网中的每一台计算机利用“IPCONFIG”命令获取本机IP和MAC地址，并将该信息添加到路由器ARP映射表中。同时通过查看路由器的LAN口参数获取其IP和MAC地址，然后在局域网中的每台计算机上实现静态ARP绑定。

具体做法是：打开“运行”对话框，输入CMD进入MSdos界面，通过IPCONFIG命令获取本机的IP地址和MAC地址。然后打开浏览器，输入网址“http;//192168.1.1”进入路由器配置界面，在界面中定位到ARP与IP地址绑定位置处，设置“单机的MAC地址和IP地址的匹配规则”，指定局域网中各个计算机的IP地址和其对应MAC地址实现绑定。

2、通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址，然后在局域网中的每台电脑中实现静态ARP绑定。

具体做法：打开“运行”对话框，输入CMD进入MSdos界面，然后通过输入如图所示的命令实现网关IP地址和MAC地址的绑定。

3、付出少需的代价换来局域网的长久平静。打开360安全卫士，依次点击“功能大全”-“木马防火墙”-“开启ARP防火墙”，在ARP防火墙上点击，进入360局域网防护界面，点击“切换到手动绑定防火墙”，输入经过查找的正确的网关IP和MAC地址后点击确定。

4、斩草除根，彻底追踪查杀ARP病毒。利用局域网ARP欺骗检测工具来确定ARP攻击源，然后利用ARP专杀工具进行杀毒。例如：安天ARP欺骗检测工具，此检测工具针对流行的局域网ARP欺骗，可以有效的定位到发起ARP欺骗的主机。也可以采用360来实现ARP攻击源的查找，在受到ARP攻击后，通过点击360安全为师局域网防护界面中的“查看详细日志”来追踪攻击源。查找并定位到攻击源地址以后，在相应的计算机上安装ARP专杀工具进行查杀操作。例如，当我们的机子受到ARP攻击时，我们查到了攻击源的MAC地址：00-21-97-12-15-0D，将该MAC地址与路由器当中的ARP映射表进行对比来确定攻击源主机，然后对该主机进入ARP的查杀工作。

5、另外我们还可以借助“聚生网管”软件来实现IP与MAC地址的绑定操作，从而更加有效提高局域网免受ARP病毒的攻击。在程序主界面中，点击“安全防御”-“IP和MAC绑定”项。

6、在弹出的窗口中勾选“启用IP-MAC绑定”，然后点击“手机添加绑定”按钮。最后输入IP以及对应的MAC地址，并点击“保存设置”即可。

以上就是Windows7如何查杀ARP病毒的教程了，教程主要讲述了如何防范ARP病毒以及如何查杀ARP病毒，大家如果中了这个病毒就不要慌了，按照这篇教程操作下来即可解决问题。

ARP病毒攻击与防范 篇6

关键词：网络管理；ARP欺骗；ARP病毒攻击；IP地址管理；排查与防控手段

中图分类号：TP393.18 文献标识码：A 文章编号：1006-8937（2012）26-0076-04

回顾企业网络安全运行维护工作，有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验，有效利用网络管理防范与处理ARP欺骗、攻击相关经验。

从近年的网络运维，网络管理人员不断接到网络用户反映——“所在的网络在上网应用时网络时断时通，有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生，所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位，从而给网络管理与网络维护提出了新挑战。

由于这种网络故障来的较突然，既没有可以参考的经验，又没有可用的网络协议分析仪等条件进行客观数据的实地采集，所以我们一开始采用的方法就是在网络交换机处对网段进行人为手工的“再细分”，用逐段排除法对有问题的PC机进行定位后再采取整治方法，但这种方法费时费力，排除故障时间长。通过对故障网络现场观察和体会，加上对网络TCP/IP协议的分析后，得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别，采取有效的防控手段来遏制这些网络安全威胁。

1 ARP欺骗分析

ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议，或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vlan中，以太网的每一帧有两种方式传输。一种对外传，就是用户有一个需求，当需要透过路由将网络帧转发到别的Vlan时，需要通过本地Vlan的网关。另外一种是内传，当有用户需求就在本身这个Vlan网络中时就不需要网关了。

当遇到ARP欺骗的时候，我们就会发现原本发送给本地Vlan网关的数据帧，没有得到本地Vlan网关MAC正确的回应。从而导致用户任何应用都没有办法使用了，就感觉到反复“掉线”或者“断线”，网络好像处在“震荡”中，迫使网络用户重新启动自己的计算机以期重新获得联网的需求，此时正好中了欲进行ARP欺骗计算机的“招”，当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时，进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址，以至于给用户一个重新获得上网的感觉，其实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机，这就是ARP欺骗在一个Vlan中的基本原理。

进行网络ARP欺骗的计算机在进行MAC欺骗的过程中，会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法，网络欺骗计算机改写了CAM表格中的条目，使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写，以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网段中是否存在这样的欺骗计算机了。

网络欺骗——MAC的欺骗从来不会停止于只在本网段内进行“欺骗”，它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的——“地址解析协议（ARP）攻击”。

当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时，就发生了ARP攻击。通过这种方式，黑客们可以伪造MAC或IP地址，以便实施如下的两种攻击：“服务拒绝”和“中间人攻击”。

目前以“服务拒绝”演变出来的攻击以网络上多种病毒为主，它们会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成网络断线了。

这就是ARP地址欺骗攻击，造成内部PC和外部网的断线，该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏，由于它与网络病毒相结合，所以无论在传播的速度和攻击特性都有较大的“聚变”，ARP 地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时，能够在网络中产生大量的ARP通信量，使网络阻塞或者实现“中间人攻击”（man in the middle） ，进行ARP重定向和嗅探攻击。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中机器ARP缓存的崩溃。

下面给出ARP欺骗攻击在Vlan229网络交换机上所看到的特征。

3 原因分析

从对感染ARP欺骗的欺骗攻击病毒计算机进行现场查杀和计算机系统安全基本要求方面的检查来看，这些计算机大多存在如下的共同特征：

①系统安全补丁严重缺失，有的Winxp在SP2后只有一个补丁，所以补丁缺少很多（约两年）。

②计算机开机进入系统时几乎都缺少系统应有的“口令”。有的只有弱口令。

③大部分这样的计算机系统无防病毒软件或没有及时对防病毒软件升档，特别是企业网络中使用的Symantec通知升级后不执行升级就导致防病毒策略与防病毒代码无法及时更新。

ARP病毒攻击技术分析与防御 篇7

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写, 局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录 (条目) 的生存时间一般为60秒, 起始时间从被创建时开始算起。在命令提示符下, 输入“arp-a”就可以查看ARP缓存表中的内容;用“arp-d”命令可以删除ARP表中某一行的内容;用“arps”可以手动在ARP表中指定IP地址与MAC地址的对应。默认情况下, ARP从缓存中读取IP-MAC条目, 缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此, 只要网络上有ARP响应包发送到本机, 即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。因此, B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是DD-DD-DD-DD-DD-DD (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了) 。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A可不知道被伪造了) 。当攻击源大量向局域网中发送虚假的ARP信息后, 就会造成局域网中的机器ARP缓存的崩溃。

二、ARP病毒现象

1. 网上银行、游戏及QQ账号的频繁丢失

一些人为了获取非法利益, 利用ARP欺骗程序在网内进行非法活动, 此类程序的主要目的在于破解账号登陆时的加密解密算法, 通过截取局域网中的数据包, 然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒, 就可以获得整个局域网中上网用户账号的详细信息并盗取。当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 切换的时候用户会断一次线。切换到病毒主机上网后, 如果用户已经登陆了游戏服务器, 那么病毒主机就会经常伪造断线的假象, 那么用户就得重新登录游戏服务器, 这样病毒主机就可以盗号了。

2. 局域网内频繁性地区域或整体掉线, 重启计算机或网络设

备后恢复正常

当带有ARP欺骗程序的计算机在网内进行通讯时, 就会导致频繁掉线, 出现此类问题后重启计算机或禁用网卡会暂时解决问题, 但掉线情况还会发生。

3. 网速时快时慢, 极其不稳定, 但单机进行光纤数据测试时一切正常

当局域内的某台计算机被ARP的欺骗程序非法侵入后, 它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道, 造成网络设备的承载过重, 导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。

三、防御方法

1. 使用可防御ARP攻击的三层交换机, 绑定端口MAC-IP, 限

制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。

2. 查找病毒源, 对病毒源头的机器进行处理, 杀毒或重新安装系统。

解决了ARP攻击的源头PC机的问题, 可以保证内网免受攻击。

3. 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。

此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大的减少该问题的发生。

4. 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享, 也包括、等管理共享。

完全单机的用户也可直接关闭Server服务。

5. 经常更新杀毒软件 (病毒库) , 设置允许的可设置为每天定时自动更新。

安装并使用网络防火墙软件, 网络防火墙在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡自来网络的攻击和病毒的入侵。

6. 给系统安装补丁程序, 通过Windows Update安装好系统补丁程序 (关键更新、安全更新和Service Pack) 。

摘要：本文详细分析了ARP协议以及实现ARP攻击的原理, 列举了ARP病毒的各种常见现象, 并给出了具体的防御方法。

关键词：ARP协议,ARP病毒,分析,防御

参考文献

[1]周增国:局域网络环境下ARP欺骗攻击及安全防范策略[J].计算机与信息技术, 2006, (11)

[2]陈英马洪涛:局域网内ARP协议攻击及解决办法[J].中国安全科学学报, 2007, (07)

[3]张道军吴银芳袁海峰:校园网络中ARP病毒的综合治理[J].网络安全技术与应用, 2007, (09)

浅析ARP网络攻击与防范 篇8

ARP协议是Address Resolution Protocol (地址解析协议) 的缩写。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

2 ARP协议的工作原理

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。以主机A (168.168.10.1) 向主机B (168.168.10.2) 发送数据为例。当发送数据时, 主机A的ARP缓存表如果有B的MAC地址则直接把目标MAC地址写入帧里发送就可以了;如果没有, 主机A就会在网络上发送一个目标MAC地址是“FF.FF.FF.FF.FF.FF”的广播, 这表示向同一网段内的所有主机发出这样的询问:“168.168.10.2的MAC地址是什么?”网络上其他主机并不响应ARP询问, 只有主机B才向主机A做出这样的回应:“168.168.10.2的MAC地址是00-aa-00-62-c6-09”。这样, 主机A就知道了主机B的MAC地址, 并自动更新自己的ARP缓存表。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除以加快查询速度。

3 常见ARP攻击类型

常见的ARP攻击有两种类型:ARP扫描和ARP欺骗。

3.1 ARP扫描 (ARP请求风暴)

通讯模式:请求→请求→请求→请求→请求→请求→应答→请求→请求→请求……

描述:网络中出现大量ARP请求广播包, 几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。

出现原因:

(1) 病毒程序, 侦听程序, 扫描程序;

(2) 如果网络分析软件部署正确, 可能是只镜像了交换机上的部分端口, 所以大量ARP请求是来自与非镜像口连接的其它主机发出的;

(3) 如果部署不正确, 这些ARP请求广播包是来自和交换机相连的其它主机。

3.2 ARP欺骗

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中, 有人发送一个自己伪造的ARP应答, 网络可能就会出现问题。

假设一个网络环境中, 网内有三台主机, 分别为主机A、B、C。主机详细信息如下描述:

A的地址为:IP:192.168.10.1

MAC:AA-AA-AA-AA-AA-AA;

B的地址为:IP:192.168.10.2

MAC:BB-BB-BB-BB-BB-BB;

C的地址为:IP:192.168.10.3

MAC:CC-CC-CC-CC-CC-CC。

正常情况下A和C之间进行通讯, 但是此时B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A被欺骗了) , 这时B就伪装成C了。同时, B同样向C发送一个ARP应答, 应答包中发送方IP地址四192.168.10.1 (A的IP地址) , MAC地址是BB-BB-BB-BB-BB-BB, 当C收到B伪造的ARP应答, 也会更新本地ARP缓存 (C也被欺骗了) , 这时B就伪装成了A。这样主机A和C都被主机B欺骗, 这就是典型的ARP欺骗过程。

4 遭受ARP攻击后的现象

ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线, 过一段时间后又会恢复正常。比如客户端状态频频变红, 用户频繁断网, IE浏览器频繁出错以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的, 会突然出现可认证, 但不能上网的现象 (无法ping通网关) , 重启机器或在MS-DOS窗口下运行命令arp-d后, 又可恢复上网。

ARP欺骗木马只需成功感染一台电脑, 就可能导致整个局域网都无法上网, 严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外, 还会窃取用户密码, 给用户造成了很大的不便和巨大的经济损失。

5 常用的防护方法

目前对于ARP攻击防护问题出现最多是绑定IP、MAC和使用ARP防护软件, 也出现了具有ARP防护功能的路由器。

5.1 静态绑定

最常用的方法就是做IP和MAC静态绑定, 在网内把主机和网关都做IP和MAC绑定。

欺骗是通过ARP的动态实时的规则欺骗内网机器, 所以把ARP全部设置为静态可以解决对内网PC的欺骗, 同时在网关也要进行IP和MAC的静态绑定, 这样双向绑定才比较保险。

方法:对每台主机进行IP和MAC地址静态绑定。通过命令, arp-s可以实现, 格式为“arp-s IP MAC地址”。

例如:“arp-s 192.168.10.1

AA-AA-AA-AA-AA-AA”。

如果设置成功会在PC上面通过执行arpa可以看到相关的提示:

Internet Address Physical Address Type

192.168.10.1

AA-AA-AA-AA-AA-AA static (静态)

说明:对于有很多主机的网络, 如果这样每一台都去做静态绑定, 工作量是非常大的, 这种静态绑定, 在电脑每次重启后, 都必须重新再绑定, 虽然也可以做一个批处理文件, 但是还是比较麻烦的!

5.2 使用ARP防护软件

目前关于ARP类的防护软件出的比较多了, 使用比较多的ARP工具有欣向ARP工具、Antiarp等, 以金山ARP防火墙为例来介绍ARP防护软件的使用。金山ARP防火墙能够双向拦截ARP欺骗攻击包, 监测锁定攻击源, 时刻保护局域网用户PC的正常上网数据流向, 是一款适于个人用户的反ARP欺骗保护工具。

金山ARP防火墙软件特点:

(1) 网关动态探测+识别——识破伪造的网关地址。

(2) 网关动态通知——受到ARP欺骗攻击时主动向网关发送数据包, 表明合法身份。

(3) 双向拦截ARP攻击:

拦截来自外部接受或是由本机发出的ARP攻击数据包并提醒用户, 保障本机及其它PC的网络通畅。

(4) 拦截IP冲突攻击, 保护本机不受IP冲突攻击的影响。

(5) 攻击源追踪锁定。

(6) 安全模式——让受保护PC在局域网隐身, 攻击源无法察觉。

摘要：ARP协议用来实现IP地址到MAC地址的转换, 它对网络的安全有着重要意义。通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量从而导致网络阻塞。主要介绍了ARP的概念、工作原理、常见的ARP攻击类型及防范方法。

关键词：ARP,ARP扫描,ARP欺骗,静态绑定

参考文献

[1][美]史蒂文斯 (W.Richard Stevens) 著, 范建华等译.TCP/IP详解 (卷1:协议) [M].北京:机械工业出版社.

[2][美]多伊尔, 卡罗尔著, 葛建立, 吴剑章译.TCP/IP路由技术 (第一卷) [M].第二版.北京:人民邮电出版社.

[3]王达.网管员必读——网络测试、监控和实验[M].北京:电子工业出版社.

浅谈校园网ARP攻击原理与防范 篇9

1. ARP病毒简介

1.1 ARP病毒

ARP病毒是一类特殊的病毒, 该病毒一般以木马病毒的形式出现, 不具备主动传播的特性, 不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包, 干扰全网的运行, 因此它的危害比一些蠕虫还要严重得多。其危害主要表现在:局域网内的部分或所有电脑不能上网;无法打开网页或打开网页慢;在打开的网页顶部和底部插入恶意广告;不断提示IP地址冲突 (非IP共用产生的IP地址冲突) ;局域网时断时续并且网速较慢等。

1.2 ARP协议介绍

ARP协议是一个不安全的协议, 因为是直接和用户使用的网络设备交互的协议, 所以很容易被仿冒、篡改、复制和非法获取。从其衍生出来的问题也越来越严重。ARP协议是建立在信任局域网内所有结点的基础上的, 所以效率很高, 但却不太安全。该协议是无状态的协议, 不会检查自己是否发过请求包, 也不管 (其实也不知道) 是否是合法的应答, 只要收到目标MAC是自己的ARP reply包或ARP广播包 (包括ARP request和ARP reply) , 都会接受并缓存。这就为ARP欺骗提供了可能。恶意节点可以发布的ARP报文从而影响网内结点的通信, 甚至可以做“中间人”。有的利用该协议造成ARP攻击, 使网络变慢, 客户机不能正常上网。进而严重影响校园网的正常运转。ARP协议的具体的工作过程如下:假设网络中有四台主机A、B、C和D, 他们的IP地址和对应的硬件地址如表1-1所示。

2. ARP病毒攻击的表现形式

一般来说, ARP攻击的后果非常严重, 大多数情况下会造成大面积掉线。有些网管员对此不甚了解, 出现故障时, 认为主机没有问题, 交换机不可能是导致掉线的原因, 电信服务商也不承认宽带故障。而且如果第一种ARP攻击发生时, 只要重启路由器, 网络就能全面恢复, 那问题一定是在路由器了。实际上这是错误的。ARP协议是一种很特殊也很重要的协议。因此ARP病毒的发作也给网络的正常传输带来了各种各样破坏。其表现形式基本上分为以下几点:

2.1 网络频繁掉线

网络频繁掉线主要表现为用户在使用网络的过程中, 网页打开速度慢、时断时续甚至根本打不开以及其它的网络应用处于断线状态。这种现象是因为感染ARP病毒的主机一旦收到ARP请求包后, 它就会向源主机发送伪造的ARP包, 导致源主机无法与真正的目的主机通讯。当伪造的ARP包中包含错误的网关信息时, 源主机会误认为中毒主机就是网关, 便会通过中毒主机连接外网, 如果中毒主机性能很差, 无法胜任“网关临时代理”功能就会表现为用户网络连通, 但延时太大, 所以用户上网才会觉得慢、时断时续, 甚至根本无法连接网络。

2.2 弹出恶意广告

ARP病毒在伪装网关的基础上, 还会对HTTP请求访问进行篡改。HTTP是应用层的协议, 主要用于WEB网页访问。当源主机的请求通过访问某个网站的时候, 中毒主机仍然会担任“网关临时代理”之职, 仍然会给源主机下载所请求的web网站内容, 但不同的是, 在将web内容传送给源主机的同时, 会在下载的web内容中插入恶意网址连接, 该恶意网址连接会利用多种系统漏洞, 向源主机种植木马病毒, 破坏用户的操作系统以及网络环境。

2.3 提示IP地址冲突

ARP病毒还会造成用户IP地址冲突, 并不断的提示, 干扰用户正常使用网络。正常情况下, 当主机A在连接网络 (或更改IP地址) 的时候就会向网络发送ARP包广播自己的IP地址, 也就是free ARP。如果网络中存在相同IP地址的主机B, 那么B就会通过ARP来reply该地址, 当A接收到这个reply后, A就会跳出IP地址冲突的警告, 当然B也会有警告。但如果网内存在ARP攻击病毒, 那么中毒主机便可以伪造这个ARP reply, ARP reply的内容就是“我的地址和主机A一样”, 主机A就误认为自己的IP和别人冲突了, 就会不断的出现IP地址冲突警告, 也就无法与网络通信。

3. 校园网ARP病毒防范的实现

3.1 系统配置

ARP攻击者本身有其正常使用的IP, 当攻击某台计算机时, 他会假冒成被攻击者的IP, ARP攻击会针对网关以及同一个网段的许多台计算机 (跨网段的ARP欺骗除此之外还要利用ICMP重定向欺骗) 。因此在网络上, ARP攻击者表现为同一个MAC地址, 对应许多IP, 且对应的IP不断的变化。不论是以广播方式发送的ARP欺骗, 还是针对网关的非广播欺骗, 路由器都能够接收到, 并且记录在其ARP缓存中。校园网络的发展有个一个实际的好处是, 在申请上网的时候保存了相应的用户信息。这就为本文提供了一个非常有效的资源, 我们可以根据绑定的IP和MAC地址来检测相应的IP地址和MAC地址映射的正确性从而判定ARP攻击的发生。

3.2 病毒检测模块

主程序接受到返回的字符串后, 调用ARP_Cache的execute () 方法执行后, 获取数据流中的IP和MAC映射对。返回一个ARP_Cache类型的数组。execute () 方法的具体实现如下:

3.3 病毒防御策略

通过对返回的数据处理和检测, 得到了病毒的样本, 保存到error_data数据库中, 通过访问该数据库可以知道校园网中ARP病毒的基本情况。在每次telnet之前先查询temp_table, 该交换机的ip是否在表中。如果没找到, 直接进行检测;否则提取相应的端口号和危险等级, 威胁最高的修改认证服务器使其不能连接到网络, 禁用该端口, 不再对该端口进行检测;危险等级的较高的, 禁用该端口, 不再对该端口进行检测;危险等级普通的, 清空该端口的缓存信息, 不再对该端口进行检测。在完成本次telnet后, 删除temp_table中相应的表项。

思科Dynamic ARP Inspection (DAI) 在交换机上提供IP地址和MAC地绑定, 并动态建立绑定关系。DAI以DHCP Snooping绑定表为基础, 对于没有使用DHCP服务器的个别机器可以采用静态添加ARP access-1ist实现。DAI配置针对VLAN, 对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI控制某个端口的ARP请求报文数量。通过这样的配置, 可以在一定程度上解决ARP攻击问题, 提高网络安全性和稳定性。通过这些技术可以防范“中间人”攻击。

结论

校园网的飞速发展, 为学生和教职员工的生活、工作、学习提供了良好的环境。在发展的同时, 校园网面临着严峻的挑战, ARP病毒是主要的威胁之一。ARP病毒爆发的时候, 造成重要信息的泄露和网络大面积掉线等危害。针对这种情况, 本文在校园网ARP病毒的检测定位与防范方面进行了研究, 设计了一个用于ARP病毒检测定位与防范的系统。

摘要：当今的信息社会是建立在计算机网络的基础之上的, 网络信息安全形势十分严峻。网络协议安全是网络安全的重要环节, 对网络协议的分析、利用越来越受到人们的关注。本文分析了ARP协议及其存在的漏洞, ARP病毒的攻击原理和方式方法, 并设计实现了一个检测、定位和防范ARP病毒的系统。

关键词：校园网,ARP,攻击,防范

参考文献

[l]凌捷.计算机数据安全技术[M].北京:科学出版社, 2004.

[2]秦宗全, 于咏梅, 郭大春.校园网络安全防范体系研究[J].计算机时代, 2007 (2) :16-18.

[3]Stephen Northeutt.深入剖析网络边界安全[M].北京:机械工业出版社, 2003.8:4-11.

ARP病毒攻击与防范 篇10

关键词：局域网,ARP攻击,防范策略

随着计算机网络的发展,各种网络病毒也随之发展起来,ARP病毒就是其中的一种。近年来,我院陆续出现内网的电脑访问互联网时断时续,甚至整个网络完全中断的现象。究其原因,多数是因为网内电脑上网时不慎感染ARP病毒。这种病毒利用ARP欺骗进行网络攻击,在局域网中欺骗计算机网关,窃取那些发给网关的数据,从而进行网络嗅探,窃取用户资料。其发作时会向全网群发伪造的ARP数据包,一台机器中毒,就可能导致整个局域网瘫痪,部分用户资料被盗,影响范围广,破坏性严重。该文分析了ARP的工作原理及攻击方式并结合实例提出了行之有效的防治措施。

1 ARP协议及工作原理

ARP(Address Resolution Protocol,地址解析协议)是一个位于OSI参考模型中的数据链路层(DL)协议,负责将网络层(OSI的第三层)IP地址解析为数据链路层(OSI的第二层)的MAC地址。大家都知道,在局域网中,一台主机要和另一台主机进行通信,必须知道目标主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其硬件地址即MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行,ARP协议的作用就是将数据包中的IP地址转换成低层MAC地址。如果一个局域网中有几百台计算机,这么多的计算机之间如何准确记住对方网卡的MAC地址,以便数据发送呢?这就涉及到了另外一个概念,ARP缓存表。在局域网的任何一台主机中都有一个ARP缓存表,表中保存这个局域网中各个计算机的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。假设:计算机A的IP为192.168.1.1,MAC地址为00-7D-8E-45-4C-01;计算机B的IP为192.168.1.2,MAC地址为00-78-1E-3D-40-12;

ARP工作原理如下:当计算机A(192.168.1.1)向计算机B(192.168.1.2)发送数据时,计算机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,计算机A就会在网络上发送一个广播,寻找目标MAC地址,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么”?网络上其他主机并不响应ARP询问,只有计算机B接收到这个帧时,才向计算机A做出这样的回应:“192.168.1.2的MAC地址是00-78-1E-3D-40-12”。这样,计算机A就知道了计算机B的MAC地址,它就可以向计算机B发送信息了。同时将B的MAC地址放入本机缓存,便于下次使用。ARP缓存是有生存期的,生存期结束后,将再次重复上面的过程。

2 ARP攻击主要的方式

2.1 一般冒充欺骗

这是一种比较常见的攻击,通过发送伪造的ARP包来实施欺骗。这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由。一般冒充欺骗可分为三种情况:

1)冒充网关欺骗主机。欺骗者定时且频繁的对本网发送ARP广播,告诉所有网络成员自己就是网关,或者以网关身份伪造虚假的ARP回应报文,欺骗局域网内的其它主机,这样子网内流向外网的数据就可以被攻击者截取;在我院局域网中的计算机要连接外网,也就是登陆互联网的时候,都要经过校园局域网中的网关转发一下,所有收发的数据都要先经过网关,再由网关发向互联网,曾经发生过某主机伪造成网关,使医院局域网中被它欺骗的其他主机向假网关发数据,而不是通过正常的路由器途径上网,使得医院网络瘫痪,上不了网。

2)冒充主机欺骗网关。这跟冒充网关的过程相反,欺骗者总是通过虚假报文告诉网关,自己就是目标主机,从而使网关向用户发送的数据被攻击者截取。

3)冒充主机欺骗其它主机。这是同一网内设备间的欺骗,攻击者以正常用户的身份伪造虚假ARP回应报文,欺骗其它主机,结果是其它用户向该用户发送的数据全部被攻击者截获。

2.2 虚构MAC地址欺骗

这种攻击也是攻击者以正常用户身份伪造虚假的ARP回应报文,欺骗网关。但是,和上述一般冒充欺骗不同的是,此时攻击者提供给网关的MAC地址根本不存在,不是攻击者自己的MAC地址,这样网关发给该用户的数据全部被发往一个不存在的地方。

2.3 交换环境的嗅探

在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据。现在的网络多是交换环境,网络内数据的传输被锁定在特定目标。既已确定的目标通信主机,在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。

2.4 ARP泛洪

这是一种比较危险的攻击,攻击者伪造大量虚假源MAC和源IP信息报文,向局域网内所有主机和网关进行广播,目的就是令局域网内部的主机或网关找不到正确的通信对象,甚至直接用虚假地址信息占满网关ARP缓存空间,造成用户无法正常上网。同时网络设备CPU居高不下,缓存空间被大量占用。由于影响到了网络设备,攻击者自己上网的效率也很低,这是一种典型的损人不利己行为。

2.5 基于ARP的DOS

这是新出现的一种攻击方式,DOS又称拒绝服务攻击。当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务。这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP,攻击的同时,也不会影响到本机。

3 ARP攻击的防治策略

3.1 定位并隔离ARP病毒计算机

当局域网中发生ARP欺骗的时候,ARP病毒计算机会向全网不停地发送ARP欺骗广播,这时局域网中的其它计算机就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒计算机的MAC地址,这时只要在其它受影响的计算机中查询一下当前网关的MAC地址就知道ARP病毒计算机的MAC地址,再根据网络正常时全网的IP-MAC地址对照表查找ARP病毒计算机的IP地址就可以了。本医院局域网就曾经是通过这种方法,查到ARP病毒计算机,将其隔离,并用杀毒软件清除病毒,恢复网络正常。现介绍以下几种方法:

1)用ARP-a命令。例如,进入命令行模式,输入arp-a,

输入后的返回信息如下:

Internet Address Physical Address Type

192.168.0.254 00-01-6c-07-0a-8f dynamic

该MAC地址不是真正网关的MAC地址,而是中毒计算机的MAC地址!

2)在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址。NBTSCAN的使用方法:下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:目录下,进入MSDOS窗口就可以输入命令:

nbtscan–r 192.168.0.1/24

如图1所示。

据此可轻易查到攻击源MAC地址00-01-6c-07-0a-8f所对应的真实ip 192.168.0.106,根据NetBIOS Name信息“LIB-2K3II”或者网络管理人员的IP使用记录,可以准确定位攻击源主机。

3)通过查看三层交换机日志中的IP地址冲突记录,其中和网关地址冲突并和计算机IP依次冲突的同一个MAC地址一定是ARP病毒机的MAC地址,通过查找交换机MAC表确认此MAC地址的端口,然后通过IP台帐或使用mac地址扫描工具,nbtscan扫描全网段IP地址和MAC地址对应表来找到ARP病毒机。

4)使用ARP防护软件定位ARP病毒计算机。目前大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。都是针对性较强的防ARP欺骗攻击软件,可以起到防范甚至追踪ARP攻击源的作用。

3.2 采用双向绑定的方法解决并且防止ARP欺骗

1)客户端静态绑定法。针对网关欺骗的ARP攻击,可以编写一个批处理文件arp.bat:

arp–s<网关ip地址><网关MAC地址>

并将该批处理文件设成随机自动启动即可。

2)使用工具软件。常见的工具软件有AntiArp,360ARP防火墙等等。以360ARP防火墙为例,可以在安全360软件界面中点击打开“保护-局域网ARP攻击拦截-ARP拦截高级设置-综合设置-添加保护网关IP/MAC”,将网关的IP地址和MAC地址输入后确定退出即可。

3)三层交换的ARP绑定。使用可防御ARP攻击的三层交换机如Cisco、华为、3COM等品牌的中高端交换机,在端口绑定IP和MAC地址,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止IP、MAC地址盗用,杜绝ARP攻击。

3.3 网关ARP主动维护强制广播技术

他的原理就在网络内不停的广播正确的ARP报文。建议尽量少的广播IP,尽量少的广播频率。一般设置1-2次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-90次,如果还有掉线可以设置更高。这个功能可以直接解决ARP欺骗的掉线问题,但并不是理想方法,特别是出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使网关不断广播正确的ARP报文也会被他大量的错误信息给淹没。但如果发送比欺骗者更多更快正确的ARP信息,会造成网络资源的浪费和占用,造成相反的效果。因此想真正解决ARP问题,还是请参照上面绑定方法。

3.4 合理配置VLAN

VLAN可以有效地隔离广播报文,大大减少ARP病毒的传播范围和传播速度,同时也减轻了交换机的流量负荷,减少广播风暴出现的几率。

3.5 在接入设备上应用PVLAN技术

防御ARP病毒欺骗仅靠网络管理员及时处理病毒主机是远远不够的,还必需靠接入设备来协助完成。PVLAN技术是一种二层机制,它可以实现端口之间的隔离,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其他用户没有任何访问。因此应用了PVLAN技术,对于保证接入网络的数据通信的安全性是非常有效的,不仅隔离了局域网内的广播风暴,也解决了主机之间的ARP欺骗问题。

3.6 启用DHCP监听(DHCP Snooping)

DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。下面是DHCP Snooping的一个实例(DHCP服务器和DHCP客户端位于同一VLAN),如图2所示。

路由器及交换机的具体配置可参考有关资料。

3.7 禁用连接终端计算机的路由器DHCP功能

计算机网络受到ARP病毒欺骗攻击,通过清空ARP缓存,点击“开始”按钮->选择“运行”->输入“arp-d”->点击“确定”按钮,一般都能恢复正常上网,如果不能,则要考虑一下自身的设置有没有出错。我们医院局域网中的计算机要登陆互联网,都要经过医学院的校园网的网关转发。曾经出现局域网中有些计算机可正常上网,有些经常短线。那时校园网是通过启用DHCP自动分配ip地址上网的,连接校园网的正常网关地址为”10.11.66.254”,用“ipconfig/all”命令查到出故障的计算机A、B的网关为“192.168.0.1”。刚开始怀疑受ARP欺骗所致,后来查出是连接终端的路由器C启用了DHCP功能,它自动将计算机A、B的网关设置为“192.168.0.1”,造成不能上网,通过将路由器C的DHCP功能禁用就排除了故障。如图3所示。

4 结束语

ARP攻击是一种非常专业化的攻击手段,给网络安全管理带来了严峻的考验。该文通过介绍ARP协议及其原理、ARP攻击主要的方式,提出了几种可行的防治方案,以最大限度地杜绝ARP欺骗攻击的出现。总之,防御ARP病毒不仅需要网络管理者的努力,也需要每一个用户的配合,从基础工作入手,及时更新操作系统补丁、安装可靠的杀毒软件并及时更新病毒库,确保自身不感染ARP病毒,做到防范于未然。

参考文献

[1]卿松.ARP病毒的分析与防治[J].新疆电力技术,2008,3:71-72.

[2]张黎明.ARP攻击与防范[J].软件导刊,2009,3(8):159-160.