ARP欺骗病解决方案.docVIP

‘ARP欺骗病毒’攻击的解决方案 ARP病毒发作现像 如用户网络中的主机有感染ARP欺骗病毒且病毒发作时,在被感染主机的同一网段上,其它主机的网速很快下降,并且很多连接无法正常连接，严重影响正常的网络业务。 ARP病毒原理分析 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，，帧目标主机MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。当局域网内某台主机感染了病毒时，会欺骗网内所有主机，让的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网，切换过程中本局域网的用户会断一次线。由于该病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当该病毒停止发作时，用户会恢复成正常上网状态，切换过程中用户电脑会再断一次线。病毒不发作，就造成网络的时断时续。 网络现状:用户终端主机以二层LANswitch接入，上行通过二层LANswitch极联至网关，LANswitch现已配置静态ARP表项。目前部份网段内有部分主机已被感染ARP欺骗病毒，且使被感染主机所在网段的其它主机网速下降和无法连接等。 故障分析：1、现在网络中的ARP病毒正在发作，对网络中LANswitch或主机产生了ARP欺骗。LANswitch现在已做了静态ARP表项，二层的数据转可以保证正确交换传送。 2、根据ARP欺骗的原理，除了可以对LANswitch进行欺骗，那么同一网段中的主机也会受到欺骗，如：主机A向网关C发数据包进行三层路由转发前，会向外广播ARP请求包来获取网关对应的MAC地址；而此时被感染ARP病毒的主机B会回应一个MAC地址是自己B、而IP地址是网关C的ARP回应帧；这样，主机A在刷新ARP表项时，就会让C的IP地址与B的MAC地址对应，送向网关C的数据帧头目标MAC则为B的MAC，LANswitch在转发二层报文时，则会把送向C的数据包送向B。LANswitch的MAC与PORT 对应与转发无误，说明是主机A受到了ARP的欺骗攻击后,而引起数帧目标MAC地址错误。 解决思路 网络安全信任关系不应只建立在IP基础上或MAC基础上，（反向地址解析协议RARP同样存在欺骗的问题），安全关系应该建立在IP+MAC正确对应的基础上。根据网络现状和故障现像可从以下几个方面着手解决： 使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。静态ARP条目，注意，使用交换集线器和网桥无法阻止ARP欺骗。设置静态的MAC--IP对应表，不要让主机刷新你设定好的转换表。除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。这台ARP服务器。 注意：必须在LANswitch上进行，在集线器等广播类设备中不支持。 这样网络设备如LANswitch等的正确交换转发数据是不会受ARP欺骗病毒的影响。 2、因为ARP的请求信息是以‘FF-FF-FF-FF-FF-FF’广播地址为目标地址进行请求，那么在同一网段的所有主机（含已病毒主机）都能接受到，则ARP的请求终端就会收到病毒机发来的错误的ARP回应帧，造成请求机中ARP表项错误的刷新，引起二层转发错误；所以必须在各客户端主机中，建立静态的ARP表项保证正确的IP与MAC对应，使网络中链路层中的帧能得到正确的转发。在DOS界面下执行以下命令： @echo off 　　arp -d 　　arp -s 192.168.16.254 00-22-aa-00-22-aa 深圳市奥怡轩实业有限公司 2 至网关C 感染ARP病毒主机B 正常客户终端主机A LANswitch(非集线器类的二层设备)