基于大型校园网的ARP病毒防范.docVIP

基于大型校园网的ARP病毒防范 P基于大型校园网的ARP病毒防范/P P　　关键词:ARP;校园网;网络攻击;防范 BR　摘要:ARP协议的安全缺陷来源于自身设计上的不足,造成局域网频繁地被ARP病毒入侵网络,其结果轻者为网络阻塞,掉线不通,重者整个网络瘫痪。呈现出越来越严竣趋势,本文结合实际情况,分析其原理并提出切实可行的防范方法。 /P PBR　　 BR　　Internet时刻面临着各种各样的攻击和威胁,网络安全是一个具有挑战性课题。其中欺骗类攻击是网络安全中常见的一种攻击方式,而ARP病毒是欺骗类攻击的典型代表。它包括伪造和应答包请求和假冒中间人两种方式。进行主机攻击从而更新目标主机的ARP缓存,赢得目标主机的信任,然后再实施有效攻击或非法监听网络数据包,造成目标主机被破坏或机密信息泄漏等一系列灾难性后果。 BR　　一、校园基本状况 BR　　我校现有两大校区,一为坐落在国际旅游城市的三亚市主校区和原坐落在“翡翠山城”五指山市老校区。两校区间相距上百公里,有学生公寓、教师住宅区、办公、公共计算机实验机房、图书馆等用户群,计算机数量庞大,使得校园网内极易产生广播风暴;物理分布的不均匀,终端机群有的数量大,有的终端只有几台甚至只有台微机,有的终端机群距离中心机房数千米甚至上百千米,这使校园网布线复杂性和施工维护难度大大增加。基于我校现有的大型校园网的特殊性,本文结合实际提出了优化解决方案。 BR　　二、ARP工作机制原理 BR　　地址解析协议是在仅知道主机的IP地址时确定其物理地址的一种协议。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。假设计算机A的IP为,MAC地址为0a-1b-2c-3d-4e-00;计算机B的IP为,MAC地址为0a-1b-2c-3d-4e-01。在TCP/IP协议中,A给B发送IP包,在包头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行次以太包的封装,在这个以太包中,目标地址就是B的MAC地址。计算机A是如何得知B的MAC地址的呢?解决问题的关键就在于ARP协议。在A不知道B的MAC地址的情况下,A就在局域网中广播一个ARP请求包,请求包中填有B的IP(),以太网中的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A,A得到ARP应答后,将B的MAC地址放入本机缓存,便于下次使用。本机MAC缓存是有生存期的,生存期结束后,将再次重复上而的过程。这是一种非常高效通信机制,但存在安全隐患。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARP reply包或ARP广播包,都会接受并缓存。这就为ARP欺骗提供了方便,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。对整个校园网进行攻击,给网络管理工作者带来麻烦。 BR　　三、防范策略与解决方法 BR　　(一)建立MAC数据库 BR　　把校园网内所有IP地址所对应的网卡MAC地址、地理位置统统记录,并装入数据库以便及时查询备案。 BR　　(二)建立APR静态路由表 BR　　网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话.这样对网关也是没有用的,确保主机安全。 BR　　网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下: 09:01:4B:B1:23:45然后用/etc/rc.d/rc.local最后添加:arp – f生效即可。 BR　　(三)对三层交换机“下手” BR　　APR病毒攻击是以整个校园网为目标,而三层交换机作为我校整个校园网的核心,是整个校园网的出口,利用三层交换机来构建物理网络,在交换机端并且过滤掉所有非法的ARP包。并在此基础上构建虚拟局域网,这样可以让ARP攻击足不能出户,在局域网内就消除了目前的ARP病毒及其变种的攻击。三层交换技术就是:二层交换技术+三层转发技术。一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单地把路由器设备的硬件和软件简单的叠加在局域网交换机上。VLAN又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。根据大型校园网的特殊性,对安全等级高流动性小终端微机结合传统的AR