ARP攻击的防护.docVIP

精品论文 参考文献 ARP攻击的防护 陈文博 （武汉工业职业技术学院，湖北 武汉 430064） 中图分类号：TP3 文献标识码：A 文章编号：1003-2738（2011）09-0000-01 摘要：在计算机网络中，ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写，在网络层中主机基于硬件地址互相联系。ARP不仅仅是一个IP或者以太网协议；它能够将不同的OSI模型中的不同层的协议最终解释成硬件地址，尽管现在由于IPV4和以太网非常流行，但正是由于ARP完成的是将IP地址转换成以太网的硬件地址，所以它是必不可少的最后一步。ARP协议同样也应用到其他的不是基于以太网的网络中，比如Token Ring、FDDI或者IEEE 802.11。 关键词：ARP；硬件地址；IPV4；以太网；OSI层 怎么样在网络中发现感染ARP病毒的主机，是摆在网络管理人员面前的一大挑战。在如今的网络上各种病毒木马，普通用户一般很难将防御工作做得很好，那么一旦出现问题后，若在第一时间里清除ARP病毒，就能降低使用者数据有可能泄漏的危险。但一般来说，在用户发现由ARP攻击导致不能浏览网页的现象后，可能在一个局域网的其他用户已经被感染了，这样就没有在源头上控制病毒的产生。现在的预防的手段一是在核心交换机上配置ACL策略，这样可以一定程度的在源头上封闭ARP蠕虫病毒常用的一些端口，二是在服务器上安装Sniffer抓包工具，只针对ARP协议的包做监视，若发现有异常的流量就能在第一时间找到改病毒主机，三是在核心交换上使用显示ARP的命令来列出所有的MAC地址和IP的对应关系。下面就对以上提出的方法做简要介绍。 ARP病毒的表现形式及危害 类型一 发送ARP数据包，欺骗网关MAC地址，使得网段内所有主机访问INTERNET时访问病毒感染主机。同一网段内所有主机无法访问internet。 类型二 发送arp数据包，欺骗网关MAC地址为自身的MAC，使得网段内所有主机访问INTERNET时通过病毒主机，同时病毒主机会转发http请求，但是会在http相应包中加入病毒网站地址。同一网段内所有主机访问正常WEB地址时，被定向到了病毒网站，如果此时这些主机系统有漏洞，会导致感染病毒，访问网站的同时，杀毒软件可能会报告发现病???。 类型三 发送arp数据包，欺骗内部网站地址（例如OA）为自身的MAC，使得网段内所有主机访问内部网站时通过病毒主机，同时病毒主机会转发http请求，但是会在http相应包中加入病毒网站地址。同一网段的主机可以访问internet，但是在访问内部站点时会被指向到病毒网站，杀毒软件可能会报告发现病毒。 类型四 对同一网站的指定IP地址发送arp数据包，进行欺骗，导致部分受影响的主机进行http访问时通过病毒主机，病毒主机会在http响应中加入病毒网站地址。同一网段的部分主机在正常http访问时，会被指向到病毒网站，但是更改IP地址后，现象消失在局域网内发现感染ARP病毒的主机和预防办法。 一、在交换机上配置的ACL 目前ARP蠕虫病毒是当前网络最大的危害，是造成当前很多网络堵塞的重要原因。目前发现的这些ARP蠕虫病毒，容易通过防火墙识别出这些被感染的计算机，它具有比较明显的扫描和连接特征，为了尽量减少ARP蠕虫病毒在网络上的传播，我们配置ACL封掉已知的ARP蠕虫病毒常用的端口， 目前已知的常见端口有135、136、137、138、139、445、593、1434、2745、3127、16210，因为不断会有病毒出现，要经常的更新危害严重的蠕虫端口。 二、使用抓包工具找ARP包 在全局下抓包的工具有很多，有常见的Sniffer pro，ethereal等。 我们今天来看国内的网络分析软件“科来网络分析系统” ，它有如下特性：全局到节点的网络流量统计、捕获网络数据包、检测网络传输的所有数据、自动发现IP、端口、主机会话和物理端点、监测内网web访问情况、提供数据过滤与筛选，来调节检测范围、数据包解码分析、深入的数据分析、监测网络连接情况、找出会话最大的主机。按会话数来排序就是我们分析哪台主机中了ARP病毒的依据。在此以它作为抓ARP包的说明。 因为我们针对的是网络中的ARP包的产生情况，所以我们要在“FILTER”过滤选项里编辑一个过滤器，因为是全局抓包所以“过滤地址”按默认的全部IP或MAC就可以了，而“协议”选项里列出了所有协议，如DHCP、DNS、BITTORRENT等等类型，我们这里选中“ARP”就制