ARP欺骗防御在政企客户网络中的应用.docVIP

ARP欺骗防御在政企客户网络中的应用 　　引言 　　近年来，随着网络技术和网络规模的飞速发展，政企客户对于网络的依赖程度越来越高。然而，网络安全问题也给广大客户带来了很多困扰，频繁掉线，网络速度慢，内网服务器无法访问等等。客户常常抱怨：“设备是最好的设备，服务器是最好的服务器，怎么网络就这么慢呢?”其实问题关键不在设备的贵贱与否，也不在设备性能怎样，而是IP协议本身的漏洞造成，这个漏洞一旦被黑客利用，将局域网中的一台主机植入病毒程序，就有可能造成整个网络的瘫痪。究竟是什么漏洞会给局域网造成如此大的危害?这还得从IP网络协议中的ARP协议说起。 　　一、什么是ARP协议 　　ARP(Address Resolution Protocol)地址解析协议，在TCP/IP网络模型中属于一个2.5层的协议，用于将三层的网络地址(IPV4地址为32位)解析成二层的物理地址(MAC地址为48位)。 　　二、ARP欺骗原理 　　从上面ARP协议的工作过程来看，ARP协议非常简单，没有任何安全保障措施，一旦被黑客主机利用，将会对网络造成巨大的威胁。 　　主机B希望与主机A(IP地址：192.168.1.1)进行通信，于是发送ARP请求广播包，当黑客主机C收到主机B发来的请求时，会向主机B发送一条回应：192.168.1.1对应的MAC地址为CCCC-CCCC-CCCC,主机B就认为主机A的MAC地址为CCCC-CCCC-CCCC,而不是真实的AAAA-AAAA-AAAA,这样就完成了ARP欺骗。在实际的网络环境中，一般黑客主机C不会等待主机B发ARP请求，而是直接利用“免费ARP”机制，主动向网络的其他主机发送ARP响应数据包，告诉网络中的所有主机192.168.1.1对应的MAC地址为CCCC-CCCC-CCCC,而192.168.1.1这个IP地址一般都是网络中的特殊地址，比如说网络中访问互联网的网关。我们将图2做一个小小的改动，让其变成目前一般政企客户网络中普遍存在的一种ARP欺骗方式。 　　三、ARP攻击在政企客户网络中的防御 　　1.政企客户的组成及分类 　　政企客户的的组成非常复杂，包括政府机构，各类型企事业单位，组网要求，组网方式各不相同，网络管理员的水平也是参差不齐，这就要求我们对这些政企客户进行分类，有针对性的对他们的网络进行优化，使得网络布局更加合理，网络维护更加方便，网络结构更加清晰。随着政企客户的网络规模越来越大，网络结构越来越复杂，我们将政企客户大致分为三类：大型政企客户，中型政企客户和小型政企客户。 　　2.政企客户网络的ARP防御 　　对于这三类客户，ARP防御的方式也不尽相同，这主要取决于网络的规模。我们将针对不同规模的网络制定出不同的ARP防御方案。 　　1)小型政企客户 　　小型政企客户的路由器性能比较弱，PC容量比较少，比较方便一对一管理，因此可以采取IP-MAC静态绑定的方法，这种方法直截了当，简单易操作。具体操作方法是通过每台PC里面自带的WINDOWS命令arp-s来绑定出口网关的IP-MAC对应关系以达到不被欺骗的目的。对于有些客户可能不会使用arp-s的命令，可以通过将命令添加到启动栏方法解决，只要在记事本中输入arp-s 192.168.1.1 AA-AA-AA-AA-AA-AA即可，然后将此文本保存为bat文件，之后将此bat文件放入启动一栏就可以保证每次开机都运行一次arp地址的固化，从而保证主机不被ARP欺骗。 　　2)中型政企客户 　　中型政企客户相对小型政企客户在网络的规模上有了一定提升，主要体现在PC的数量有所增加，网络设备的性能有所提升，网络管理员的水平也相应要高一些。因此一般采取在网络设备上进行配置，来保证局域网内的PC被ARP欺骗。一般来说，网络设备(主要是出口路由器或者防火墙)的防御主要有两种方法：第一种是固化ARP表，即将网络中的所有主机的ARP表固化，使得只有在表中固化并且符合IP-MAC绑定关系的PC才能正常访问，对于新入网和绑定关系不正确的PC，就会被禁止访问网络。这种方式对于网络管理员的要求比较高，需要时刻关注网络内主机的变化情况并作出调整。第二种是网关发送免费ARP广播，来不断地告诉网络中的主机自己的IP-MAC绑定关系这种方式和PC发送ARP广播的方式累死，而且这种方式中只有一台设备发送广播，比每台PC都发送要好的多。 　　3)大型企业客户 　　对于大型企业的客户，他们的特点较中型企业的来说就是PC数量更大，网络设备的要求更高，网络结构也更复杂。显然在网络设备上做ARP的绑定就会略显吃力，我们可以通过架设专用的ARP验证