談談如何防范ARP攻擊

談談如何防范ARP攻擊

　　寧夏馬蓮臺電廠的網絡是典型的三層交換，采用了思科的設備，核心層是一臺Cisco 6500 , 匯聚層是兩臺Cisco 6500，分別連接生產樓和生活區的設備,在生產區樓里如集控室、化驗樓、燃供樓、檢修間、除灰樓、小車庫都掛著Cisco 3550作為接入層。全廠一共有200多臺計算機通過交換機連成一個局域網。

　　馬蓮臺電廠網絡拓撲圖

　　2、網絡故障現象

　　局域網內的計算機出現外部網站訪問速度緩慢，甚至無法打開的現象，客戶端用戶頻繁出現斷網并發現IP沖突。最嚴重的時候出現部分生產樓網絡癱瘓。

　　3、故障分析：

　　3.1故障原因查找

　　在開始不能上網的計算機上運行arp –a，說明：10.216.96.3是網關地址，后面的00-00-0c-07-0a-01是網關的物理地址。此物理地址默認情況下是不會發生改變的，如果發現物理地址不是此地址說明自己已經受到了arp病毒的攻擊 。

　　查找過程：

　　(1)、執行arp –a 列出了：

　　10.216.96.18 00-0F-EA-11-00-5E

　　10.216.96.3 00-0F-EA-11-00-5E (網關)

　　由于之前我們已經知道網關的正確物理地址是00-00-0c-07-0a-01，此時卻變成了00-0F-EA-11-00-5E，說明10.216.96.18正在利用arp進行欺騙，冒充網關。

　　(2)、執行arp –d 清除ARP列表信息。重新運行arp –a看數據類表的可疑IP地址是否存在，不存在說明此IP地址正常;存在，說明該機器肯定有ARP病毒。

　　(3) 使用tracert命令

　　在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert 61.135.179.148(外網IP地址)。假定設置的缺省網關為10.8.6.1，在跟蹤一個外網地址時，第一跳卻是10.8.6.186，那么，10.8.6.186就是病毒源。

　　3.2 ARP攻擊原理分析

　　ARP，全稱Address Resolution Protocol，中文名為地址解析協議，它工作在數據鏈路層，在本層和硬件接口聯系，同時對上層提供服務。ARP病毒造成網絡癱瘓的原因可以分為對路由器ARP表的欺騙，和對內網PC的網關欺騙兩種。第一種必須先截獲網關數據。它使路由器就收到一系列錯誤的內網MAC地址，并按照一定的頻率不斷更新學習進行，使真實的地址信息無法通過更新保存在路由器中，造成的PC主機無法正常收到回應信息。第二種是通過交換機的MAC地址學習機制，當局域網內某臺主機已經感染ARP欺騙的木馬程序，就會欺騙局域網內所有主機和路由器，讓所有上網的流量都必須經過病毒主機。

　　4、調查結論：

　　通過以上查找分析，局域網內有計算機感染ARP 病毒，中毒的機器的網卡不斷發送虛假的ARP數據包，告訴網內其他計算機網關的MAC地址是中毒機器的MAC地址，是其他計算機將本來發送網關的數據發送到中毒機器上，導致整個局域網都無法上網，嚴重乃至整個網絡的癱瘓。我們知道局域網中的數據流向是:網關→本機; 如果網絡有ARP 欺騙之后,數據的流向是:網關→攻擊者→本機,因此攻擊者能隨意偷聽網絡數據,截獲局域網中任一臺機器收發的郵件,WEB瀏覽信息等，還會竊取用戶密碼。如盜密碼、盜取各種網絡游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

　　5、防范所采取措施

　　5、1 用戶端防范措施：

　　安裝arp防火墻或者開啟局域網ARP防護，比如360安全衛士等arp病毒專殺工具，并且實時下載安裝系統漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。

　　如果在沒有防范軟件安裝的情況下，也可以通過編寫簡單的批處理程序來綁定網關來防止ARP欺騙，步驟如下：

　　(1)首先，獲得安全網關的內網的MAC地址。以windows xp為例。點擊“開始”→“運行”→輸入cmd，點擊“確定”后，將出現相關網絡狀態及連接信息，輸入arp –a，可以查看網關的MAC地址

　　(2)編寫批處理文件arp.bat內容如下：

　　@echo off

　　arp –d

　　arp –s 10.216.96.3(安全網關) 00-09-ac-82-0d (網關的MAC地址)注：arp -s 是用來手動綁定網絡地址(IP)對應的物理地址(MAC)

　　(3) 編寫完以后，點擊“文件” →“另存為”。注意，文件名一定要是*.bat，點擊保存就可以。

　　(4) 將這個批處理文件拖到“windows→開始→程序→啟動”中，最后重起電腦即可。

　　5.2 網管員采取的防范措施

　　(1) 學會使用Sniffer抓包軟件。

　　ARP病毒最典型的現象就是網絡時通時斷，用Sniffer抓包分析，會發現有很多的ARP包。

　　(2) 在全網部署安裝ARP防火墻服務端及客戶端軟件

　　(3) 使用多層交換機或路由器：接入層采用基于IP地址交換進行路由的第三層交換機。由于第三層交換技術用的是IP路由交換協議，以往的鏈路層的MAC地址和ARP協議失效，因而ARP欺騙攻擊在這種交換環境下起不了作用。

　　6、結束語

　　ARP欺騙在相當長的時間內還會繼續存在，ARP欺騙也在不斷的發展和變化中，希望廣大網絡管理員密切注意它，從而減少對我們網絡的影響。

　　參考文獻：

　　[1] 王奇.以太網中ARP欺騙原理與解決辦法[J].網絡安全技術與應用,2007,(2)

　　[2]謝希仁.計算機網絡.北京：人民郵電出版社，2006.

　　[3] 趙鵬.計算機網絡系統中基于ARP協議的攻擊與保護[J].網絡安全技術與應用, 2005.1:101.

【談談如何防范ARP攻擊】相關文章：

緩沖區溢出攻擊的分析及防范策略03-18

談談如何進行盈余管理03-18

防火墻在防范局域網內外部攻擊中的應用11-16

如何有效控制與防范內部審計風險03-22

探析數字圖書館網絡防治ARP病毒的策略03-19

企業如何防范財務風險03-22

ＡＲＰ病毒的攻擊原理分析03-14

外貿企業如何防范匯率風險的兩類方法02-28

談談全面成本管理03-22

企業應如何防范和化解財務危機03-22