浅议局域网ARP攻击危害及防范方法.docVIP

浅议局域网ARP攻击危害及防范方法【摘　要】公司网络频繁掉线、网络缓慢等问题，对正常工作带来了极大的不便，造成这种现象的情况有很多，目前最常见的是ARP攻击。本文主要讨论了ARP攻击的原理、其造成的危害、判断是否中ARP的方法，并提出防范方法以解决因ARP攻击而引发的网络安全问题。 【关键词】ARP 欺骗 攻击 防范 最近公司的局域网经常掉线，重启计算机或网络设备后恢复正常。网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常。经过查找，主要是ARP攻击的原因，目前局域网内已发现的“ARP攻击”系列病毒已经有了几十个变种。为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。公司网络拓补图如图1： 一、ARP的基本知识 1、什么是ARP ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的，ARP协议对网络安全具有重要的意义。 2、ARP欺骗的原理 正常情况下， ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层，因此它的危害就更加隐蔽。 ARP类型的攻击最早用于盗取密码之用，网内中毒电脑可以伪装成路由器，盗取用户的密码，后来发展成内藏于软件，扰乱其他局域网用户正常的网络通信。当局域网中一台机器，反复向其他机器，特别是向网关，发送无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络 中计算机发来的数据无法正常发到网关，自然无法正常上网。这就造成了无法访问外网的问题，另外由于很多时候网关还控制着我们的局域网LAN上网，所以这时 我们的LAN访问也就出现问题了。 二、ARP欺骗的危害 目前公司局域网内的计算机所感染的 “ARP欺骗”系列病毒已经有了几十个变种。根据这些变种的工作特点和外部特性大概可以分为三大类，其中“ARP欺骗”和“恶意窃听”两类对局域网的正常运行和网络用户的信息安全的威胁最大。ARP攻击只要一开始就造成局域网内计算机无法和其他计算机进行通讯，而且网络对此种病毒没有任何耐受度，只要局域网中存在一台感染“ARP欺骗”病毒的计算机将会造成整个局域网通讯中断。“恶意窃听”病毒是“ARP欺骗”系列病毒中影响和危害最为恶劣的。它不会造成局域网的中断，仅仅会使网络产生较大的延时，但是中毒主机会截取局域网内所有的通讯数据，并向特定的外网用户发送所截获的数据，对局域网用户的网络使用造成非常非常严重的影响，直接威胁着局域网用户自身的信息安全。 三、ARP攻击的原因及判断方法 一个正常运行的局域网是不应该出现ARP攻击的，经过长时间运行，发现造成ARP攻击的主要原因如下： 主要是内网有人安装了P2P监控软件，如P2P终结者，网络执法官，聚生网管，QQ第六感等，恶意监控其它机器，限制流量，或者进行内网DDOS攻击。 判断机器是否受ARP攻击的方法如下： 当出现ARP攻击后最明显的特征是网络频繁掉线，速度变慢，查看进程你会发现增加了 down.exe 1.exe cmd.exe 9sy.exe中的任意一个或多个，严重的还能自动还下载病毒，logo_1.exe.rundl132.exe，感染可执行文件，图标变换。不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。计算机不能正常上网，出现网络中断的症状。 四、防范方法 目前ARP系列的攻击方式和手段多种多样，因此还没有一个绝对全面有效的防范方法。从实践经验看最为有效的防范 方法即打全Windows系统的补丁、正确配置和使用网络防火墙、安装防病毒软件并及时更新病毒库。此外，正确使用U盘等移动存储设备，防止传播病毒和木马。 下面介绍防范ARP攻击的几种常用方法： 1、静态绑定 将IP和MAC静态绑定，把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。缺点是每台电脑需绑定，且重启后仍需绑定，工作量较大。 2、使用防护软件目前关于ARP类的防护软件出的比较多了，常用的一款软件是彩影软件的ARP防火墙.ARP防火墙采用系统内核层拦截技术和主动防御技术，包含六大功能模块可解决大部分欺骗、ARP攻击带来的问题，从而保证通讯安全（保障通讯数据不被网管软件/恶意软件监听和控制）、保证网络畅通。 3、具有ARP防护功能的