企业局域网病毒爆发的阻击方法及防范措施_NoRestriction.pdfVIP

企业局域网病毒爆发的阻击方法及防范措施 许文婧，李振华 (华能北方联合电力有限责任公司达拉特电厂，内蒙古鄂尔多斯014300) 摘要：局域网受ARP欺骗／攻击，易大面积瘫痪，分析ARP病毒原理，制定防范措施，实施解决方案对如何 做好网络管理基础工作提出具体建议。 关键词：局域网；病毒；狙击；防范 换为第二层物理地址(即MAC地址)。ARP协议对 0 引言 网络安全具有重要意义。通过伪造IP地址和MAC 地址实现ARP欺骗，能够在网络中产生大量的ARP 对于企业局域网安全管理者来讲，最头痛的就 inthe 通信量使网络阻塞或者实现“man middle”进 是不定期的网络病毒爆发，而影响整个网络运行的 行ARP重定向和嗅探攻击。用伪造源MAC地址发 病毒莫过于ARP病毒的危害了。随着ARP攻击的 送ARP响应包，对ARP高速缓存机制的攻击。每 不断升级，不同的解决方案在网络上流传。有一些 个主机都用一个ARP高速缓存存放最近IP地址到 方案，从短期看来似乎有效，但实际应用起来，长期 MAC硬件地址之间的映射记录。MSWindows高速 效果不大，降低了局域网工作效率，且不能从根本 缓存中的每一条记录(条目)的生存时间一般为 上清除ARP病毒的困扰。 60s，起始时间从被创建时开始算起。默认情况下， 达拉特电厂运行的网络有VLAN17个，互联网 用户占3个VLAN，近期1个VLAN爆发ARP病毒， MAC条目是根据ARP响应包动态变化的。 造成整个一个网段200多个用户无法正常使用网络 因此，只要网络上有ARP响应包发送到本机， 资源，经过3天的排查，停用87台PC机用户才使网 即会更新ARP高速缓存中的IP—MAC条目。攻击 络得到了稳定运行，这使网络维护人员的维护工作 者只要持续不断地发出伪造的ARP响应包就能更 量急剧增加。后来针对这次事件，网管对所接人的 改目标主机ARP缓存中的IP—MAC条目，造成网 44台二级交换机进行了每一个接线端口与PC机的 络中断。ARP协}义并不只在发送了ARP请求才接 物理MAC地址进行绑定，另外将原来一个大网段的 收ARP应答。当计算机接收到ARP应答数据包的 用户按部门进行VLAN细划为5个小VLAN，使病 时候，就会对本地的ARP缓存进行更新，将应答中 毒爆发时所带来的影响范围大大降低。 的IP和MAC地址存储在ARP缓存中。当攻击源 达拉特电厂的网络是一个比较典型的拥有700 大量向局域网中发送虚假的ARP信息后，就会造成 多台终端的大型局域网，近期网络的部分用户反复 遭受ARP欺骗／攻击，造成