谈谈如何防范ARP攻击的论文.docVIP

　　谈谈如何防范ARP攻击的论文 　　宁夏马莲台电厂的网络是典型的三层交换，采用了思科的设备，核心层是一台cisco 6500 , 汇聚层是两台cisco 6500，分别连接生产楼和生活区的设备,在生产区楼里如集控室、化验楼、燃供楼、检修间、除灰楼、小车库都挂着cisco 3550作为接入层。全厂一共有200多台计算机通过交换机连成一个局域网。 马莲台电厂网络拓扑图 　　2、网络故障现象 　　局域网内的计算机出现外部网站访问速度缓慢，甚至无法打开的现象，客户端用户频繁出现断网并发现ip冲突。最严重的时候出现部分生产楼网络瘫痪。 　　3、故障分析： 　　3.1故障原因查找 　　在开始不能上网的计算机上运行arp –a，说明：10.216.96.3是网关地址，后面的00-00-0c-07-0a-01是网关的物理地址。此物理地址默认情况下是不会发生改变的，如果发现物理地址不是此地址说明自己已经受到了arp病毒的攻击 。 　　查找过程： 　　（1）、执行arp –a 列出了： 　　 10.216.96.18 00-0f-ea-11-00-5e 　　　10.216.96.3 00-0f-ea-11-00-5e （网关）　 　　由于之前我们已经知道网关的正确物理地址是00-00-0c-07-0a-01，此时却变成了00-0f-ea-11-00-5e，说明10.216.96.18正在利用arp进行欺骗，冒充网关。. 　　（2）、执行arp –d 清除arp列表信息。重新运行arp –a看数据类表的可疑ip地址是否存在，不存在说明此ip地址正常；存在，说明该机器肯定有arp病毒。 　　（3） 使用tracert命令 　　在任意一台受影响的主机上，在dos命令窗口下运行如下命令：tracert 61.135.179.148（外网ip地址）。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。 　　3.2 arp攻击原理分析 　　arp，全称address resolution protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。arp病毒造成网络瘫痪的原因可以分为对路由器arp表的欺骗，和对内网pc的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网mac地址，并按照一定的频率不断更新学习进行，使真实的地址信息无法通过更新保存在路由器中，造成的pc主机无法正常收到回应信息。第二种是通过交换机的mac地址学习机制，当局域网内某台主机已经感染arp欺骗的木马程序，就会欺骗局域网内所有主机和路由器，让所有上网的流量都必须经过病毒主机。 　　4、调查结论： 　　通过以上查找分析，局域网内有计算机感染arp 病毒，中毒的机器的网卡不断发送虚假的arp数据包，告诉网内其他计算机网关的mac地址是中毒机器的mac地址，是其他计算机将本来发送网关的数据发送到中毒机器上，导致整个局域网都无法上网，严重乃至整个网络的瘫痪。我们知道局域网中的数据流向是:网关→本机; 如果网络有arp 欺骗之后,数据的流向是:网关→攻击者→本机,因此攻击者能随意窃听网络数据,截获局域网中任一台机器收发的邮件,ac地址。以d，点击“确定”后，将出现相关网络状态及连接信息，输入arp –a，可以查看网关的mac地址 　　（2）编写批处理文件arp.bat内容如下： 　　@echo off 　　arp –d 　　arp –s 10.216.96.3(安全网关) 00-09-ac-82-0d （网关的mac地址）注：arp -s 是用来手动绑定网络地址(ip)对应的物理地址(mac) 　　（3） 编写完以后，点击“文件” →“另存为”。注意，文件名一定要是*.bat，点击保存就可以。 　　（4） 将这个批处理文件拖到“ac地址和arp??议失效，因而arp欺骗攻击在这种交换环境下起不了作用。 　　6、结束语 　　arp欺骗在相当长的时间内还会继续存在，arp欺骗也在不断的发展和变化中，希望广大网络管理员密切注意它，从而减少对我们网络的影响。