常见智能交换机防御ARP病毒方法.docVIP

常见智能交换机防御ARP病毒方法 　　摘 要： 目前，ARP病毒在局域网中发作的几率很大，造成局域网断线或者无法正常连接外网，给用户带来很大的麻烦，分析ARP工作原理，列出常见ARP欺骗方式以及一种是用交换机防御ARP病毒的方法。 　　关键词： ARP；防御；交换机 　　中图分类号：TP309.5 文献标识码：A 文章编号：1671－7597（2011）1020034－01 　　 　　1 ARP工作原理 　　ARP（Address Resolution Protocol）简称地址解析协议。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行，主要用于把以太网卡硬件地址和IP地址捆绑起来。当主机之间发生通信要求，则ARP协议通过广播请求/单播回应方式建立主机间通信连接。大家熟悉的IP地址采用32位长度，在以太局域网中网卡设备地址是48位长度（也称为MAC地址）。一张称为ARP缓存的表单用于维护MAC地址和其所对应的IP地址的相关性。ARP则提供用于在网络设备间进行地址转换和创造MAC-IP相关性的协议规则。网络链路层的建立通信关系的准则：网络主机A欲与网络主机C建立通信连接，主机A在网络中广播ARP的请求数据包（REQUEST），主机A欲与IP地址为192.168.1.3的目标主机通信，则发送的广播的数据包中包含本身的IP地址、网卡的MAC地址、目标主机的IP地址以及广播MAC地址（FF-FF-FF-FF-FF-FF）。主机C接收到ARP的REQUEST广播包，发现目标地址中IP地址与自身IP地址一致，接收该数据请求，并作出响应。主机C发现主A的ARP请求符合要求，在自身ARP缓存表中添加主机A的IP-MAC绑定映像记录，并发送单播ARP回应数据包（RELAY）给主机A。主机A接收到回应数据包，更新其ARP缓存表记录，绑定主机C的IP-MAC映像记录。至此，二层通信关系建立完毕。而网络中其他主机则忽略此请求包。 　　这种关系可以类似于情景会话： 　　主机A：嗨，谁主机的IP地址是192.168.1.3？ 　　主机B：嗨，我主机地址是192.168.1.3，我的门牌号是00-50-56-C0-08，记得来找我啊。 　　其他主机：NO，这不是我的IP地址。 　　从原理分析发觉ARP本身是无类协议，本身不能携带任何状态信息。因此ARP协议不能进行任何认证，这样就导致协议本身具有安全威胁性。造成这种安全威胁的历史原因在于：早先的网络创造者们是在一个平和自由的环境中设计ARP协议，因而安全问题在当时几乎是琐碎的事情。然而网络集聚膨胀，破坏性攻击和入侵事件的增加，使得ARP协议脆弱不堪。 　　2 ARP欺骗 　　很多企业学校大面积的断网大都是ARP欺骗在作怪。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是――伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。一般情况解决方法有静态IP和MAC地址绑定，安装ARP防火墙，抓包。但因为有些大型单位有的采用动态地址规划，实行静态IP和MAC地址绑定工作量大，维护也不方便；ARP病毒变种很多，目前市面上ARP防火墙也只能起到一部分防御作用效果不是很理想；如果公司或单位楼宇众多，ARP病毒在不同楼宇爆发，因为ARP病毒只在同一网段里传播，不通过三层，故每次抓包都要去不同的办公楼内接入病毒网段抓包，也很麻烦。现在?涠嗌璞赋?商已经考虑到ARP的问题，相关的交换机也支持防御ARP病毒功能。我们也可以利用交换机来实现防御ARP欺骗。 　　3 利用智能交换机设置 　　1）工作中碰到过几次内网ARP。常用方法列举如下：当某栋楼一个网段内有好几台机器无法上网报故障时，有可能是内网ARP，马上telnet到那个网段的三层交换机上（二层的不行）用show arp（华为设备用dis arp）可