浅谈医院外网ARP攻击及解决方法.docVIP

PAGE PAGE 1 浅谈医院外网ARP攻击及解决方法 　　摘要：通过对ARP攻击原理分析，使用软路由解决医院外网局域网断网故障。 　　关键词：外网局域网；ARP 　　中图分类号：TP393.08文献标识码：A文章编号：1007-9599（2012）20-0000-02 　　1引言 　　随着信息时代的到来，医院信息化系统逐步成为服务于未来医院竞争和经营管理战略的重要工具和手段，这使得医院在拥有内网局域网的基础上，还有一个很重要的院外信息交互平台外网局域网，因外网局域网是是直接接连到互联网的网络，所以，各种网络故障多发于外网局域网，其中，ARP攻击是最常见的一种。 　　2ARP定义 　　ARP（AddressResolutionProtocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，对应于数据链路层，负责将某个IP地址解析成对应的MAC地址。 　　3ARP基本功能 　　ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。 　　4ARP攻击的局限性 　　ARP攻击仅能在以太网（局域网如：机房、内网、公司网络等）进行，无法对外网（互联网、非本区域内的局域网）进行攻击。 　　5ARP攻击原理 　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。 　　ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 　　6受到ARP攻击后外网局域网故障现象及解决方案 　　我院外网局域网硬件由外网计算机、D-Link24口二层交换机、D-Link家用路由器及5类网线组成，网段为/24。 　　6.1外网局域网故障现象 　　最初时外网时断时续，重启路由器后故障解决，隔几分钟或几小时不等，外网断网，重启路由器和更换交换机后故障依旧。外网局域网线路及硬件设备在故障出现前没有更换或更改过，由此排除硬件问题和网络风暴引起的外网局域网断网故障，由此判断医院外网局域网有可能受到ARP攻击。 　　6.2软件解决ARP攻击方案 　　6.2.1在每台外网计算机上安装360安全卫士，并在360安全卫士里的“360木马防火墙”打开“局域网防护（ARP）”，打开后，360安全卫士立即拦截ARP攻击，跳出一对话框，提示攻击计算机的IP和MAC地址，经查，是路由器的网关和MAC地址，说明IP地址和MAC地址是假的，外网依旧中断，无法上网。 　　6.2.2使用双向绑定：双向绑定是在路由器和PC上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。 　　（1）在路由器上做IP-MAC表的绑定工作 　　（2）在PC上绑定安全网关的IP和MAC地址（例如D-Link网关地址的MAC地址为00-22-aa-00-22-aa）。 　　（3）编写一个批处理文件rarp.bat内容如下： 　　@echooff 　　arp–d 　　arp-s00-22-aa-00-22-aa 　　将这个批处理软件拖到“windows“开始-程序-启动”中，确保开机就执行这个批处理文件，因为静态绑定在计算机重启后就会失效。在所有的外网电脑做完绑定后，问题依旧，外网依旧中断，无法上网。后经分析，原因有2点： 　　（1）在终端上进行的静态绑定，很容易被升级的ARP攻击所捣毁，病毒的一个ARP–d命令，就可以使静态绑定完全失效。 　　（2）双绑只是让网络的两端电脑和路由不接收相关ARP信息，但是大量的ARP攻击数据还是能发出，还要在内网传输，大幅降低内网传输效率，依然会出现问题。 　　6.3用软路由软件做路由服务器 　　由于用前面的两种方法都无法有效的解决ARP攻击，外网中断两天，给医院造成很大的影响，所以决定使用软路由软件，搭建路由服务器，这里本人使用的是国产的免费软路由软件“海蜘蛛V8”，用一台淘汰下来服务器做路由服务器，先删除所有分区，不分区，放入刻好的海蜘蛛安装光盘，按照提示一路完成安装，访问路由器的默认地址为http：//：880，用户名：admin，密码：admin，进入控制台设置W