高校公共机房ARP病毒分析与防范策略.docVIP

高校公共机房ARP病毒分析与防范策略 　　摘 要:本文介绍了ARP病毒的表现,阐述了ARP欺骗产生的原理和欺骗手段,提出高校机房ARP病毒的防范策略并结合实际给出了解决方案。 　　关键词:ARP病毒;网络安全;校园网防范策略 　　中国分类号:TP309.5文献标识码:B 文章编号:1673-8454(2010)19-0033-02 　　 　　一、ARP病毒的表现 　　ARP欺骗是局域网内爆发的一种木马病毒,病毒发作时其症状为: 　　(1)网络异常,具体表现为:掉线、IP地址冲突等; 　　(2)数据窃取,具体表现为个人隐私泄漏(如MSN聊天记录、邮件等)、帐号被盗(如QQ帐号、银行帐号等); 　　(3)数据被篡改,具体表现为:网络速度、网络访问行为(打开网页、打开某些应用程序)受第三方非法控制。 　　ARP病毒严重影响了学校的正常教学工作,并且给校园网络带来很大的安全隐患。因此,有效地防范ARP网络攻击已成为确保网络畅通的必要条件。 　　二、ARP病毒原理 　　ARP(Address Resolution Protocol,地址解析协议) 是一个位于TCP/IP 协议栈中的低层协议。该协议负责将某个IP 地址解析成对应的MAC 地址。一旦这个环节出现问题,就不能正常和目标主机进行通信,甚至可能导致整个网络瘫痪。 　　ARP病毒属于木马类病毒,一般表现为该广播域内的计算机无法正确地获得网关和其他客户机的网卡真实的MAC 地址,导致无法进行正常的网络通信。在局域网中的任何一台主机中,都有一个ARP 缓存表,里面存放着IP地址和MAC地址的对应关系,ARP病毒通过伪造IP地址和MAC地址实现ARP欺骗,并在网络中产生大量的ARP通信量使网络阻塞或者进行ARP重定向和嗅探攻击,为伪造源MAC地址发送ARP响应包,也就是当这台中毒主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里假的地址进行发送,发一个假的ARP应答包,当另外一台主机接受到这个假的ARP应答包时,会将其写入到ARP缓存表中。这样当主机互相通信时,会先到ARP缓存表中查找对方的ARP信息,因此它会将数据发送到MAC地址的机器上,对ARP高速缓存机制攻击。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC地址,造成网络中断,ARP欺骗就成功了。 　　通过前文对ARP欺骗原理的分析可知,ARP病毒在进行欺骗时会采取两种手段, 一种是对路由器ARP表的欺骗, 另一种是对同网段内主机ARP缓存的欺骗。因此,要防止ARP病毒造成的危害,关键是要防止ARP欺骗的这两种手段。 　　(1)防止ARP病毒对路由器(核心交换机)ARP表的欺骗。对于这种欺骗,可以采用在路由器(核心交换机)上绑定VLAN接口IP地址(网关地址)和MAC地址的方法,将网关IP和MAC地址设为静态条目,不再响应ARP应答数据,这样就能保证网关IP地址和MAC地址对应条目不被欺骗所替换。 　　(2)防止ARP病毒对内网主机ARP缓存的欺骗。对于这种欺骗,可以采用端口隔离的方法将计算机隔离开来, 这样每台计算机都不再响应其他计算机的ARP应答包,而只响应网关发来的应答包,就能完全杜绝其他计算机对自己ARP缓存的欺骗。 　　三、ARP病毒防范策略 　　为了防范ARP病毒攻击,除了需做双向的绑定外,应时刻关注ARP病毒方面的有关报道,加强防范措施,保障图书馆电子阅览室等公共机房的网络畅通,使读者有一个良好的上网环境。 　　1.网络管理防范策略 　　(1)建立抽查制度,管理员定期抽查客户机ARP 缓存。清空ARP缓存:很多人曾经使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下: 　　第一步:通过点击桌面上任务栏的“开始”-“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式; 　　第二步:在命令行模式下输入arp-a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息; 　　第三步:使用arp-d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据