反ARP病毒技术研究.pdfVIP

Science technologyview 2011年8月第22期 科 技 视 界 IT论坛 [SwitchA—acl—adv一5000】rule1permit0806ffff24 000fe9a08000珀狂 34 ruleO禁止switchA的所有端口接收冒充网关的ARP报 文，其网关 IP地址 100．1．1．1的16进制表示 形式。 rulel允许通过网关发送的ARP报文，000fe9a08000网 关的mac地址。 注意：配置Rule时的配置顺序，上述配置为先下发后生 效的情况。 【Switch]packet-filteruser—group5000 (下发 ACL5000 的规则。) 图2 金山毒霸禁止 自动播放 这样只有 switchA上连网关设备才能够发送网关的ARP 置，由于任何ARP包，都必须经由交换机转发，才能到达被 报文，其它主机都不能发送假冒网关的ARP相应报文。 攻击 目标 ，只要交换机拒收非法的ARP包，那么ARP攻击就 3．2 基于服务器与客户端的防御 不能造成任何影响，一般交换机都具备防ARP功能。 在服务器与客户端上安装 ARP防火墙来阻止 ARP欺 (1)在交换机上做端口、IP与MAC地址绑定 骗，但是ARP防火墙要在全网每台主机上安装，要不然起不 感染ARP病毒的计算机会将该机器的MAC地址映射 到很好的效果。ARP防火墙有很多，有安全 360ARP防火墙、 到网关的 IP地址上，并且向网段 内的所有计算机发出大量 彩影 ARP防火墙、金山ARP防火墙等 的ARP欺骗包。因此会使很多计算机误以为染毒计算机就 3．3 发现染毒计算机与病毒清除 是网关，所以会造成大量计算机访问Intemet时中断。有条件 (1)染毒计算机的定位 的话，可以在三层交换机上将所连接的计算机做 IP与MAC A．主动定位方式 地址的绑定以达到ARP病毒防御的目的。 所 有 的 ARP攻击 源 的网卡会 处于混 杂模 式 f 下面以H3C交换机为例，在交换机的Ethemetl／06／ promiscuous)可以通过 ARPKiller工具扫描网内有哪台机器 口上绑定 IP地址为 192．168．1．2，MAC地址为 0o～17— 的网卡是处于混杂模式的，从而判断这台机器有可能就是元 31—33—58一a4。 凶。 【SwitchA】interfaceEthemetl／06／ BI被动定位方式 [SwitchA-Ethemetl／06／】ipsourcestaticbindin