浅析局域网安全防范ARP病毒攻击方法.docVIP

浅析局域网安全防范ARP病毒攻击方法 　　摘要：本文详细论述了局域网防范、查杀ARP病毒的方法。 　　关键词：ARP；MAC；IP；VLAN 　　ARP 是“Address Resolution Protocol”的缩写，它是TCP/IP协议中用来解析网络节点地址的底层协议。 　　MAC 它是固化在网卡上串行EEPROM中的物理地址，通常有48位长。 　　IP IP是“Internet Protocol Address”的缩写，是互联网中每一台主机惟一的地址，是该主机在Internet上的唯一标志。它是一串4组由圆点分割的数字组成的，其中每一组数字都在0－256之间，如：0－255．0－255．0－255．0－255．0－255。 　　VLAN 是“Virtual Local Area Network”的缩写，即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 　　一、局域网安全防范ARP病毒攻击的方法有以下几种 　　（一）局域网内主机防范ARP病毒的方法 　　1.在客户端使用arp命令绑定网关的真实MAC地址 　　如果已经有网关的正确MAC地址，可手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC。 　　2.修改系统拒收ICMP重定向报文 　　（1）在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。 　　（2）在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。 　　（3）安装单机版防火墙，如天网、瑞星等等，可修改防火墙设置来拒绝接收icmp重定向报文。 　　3.安装ARP防火墙，如360安全卫士的ARP防火墙等等 　　其主要功能有： 　　（1）拦截外部ARP攻击。在系统内核层拦截接收到的虚假ARP数据包，保障本机ARP缓存表的正确性。 　　（2）拦截对外ARP攻击。在系统内核层拦截本机对外的ARP攻击数据包，避免本机感染ARP病毒后成为攻击源。 　　（3）拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包，避免本机因IP冲突造成掉线等。 　　（4）主动防御。主动向网关通告本机正确的MAC地址，保障网关不受ARP欺骗影响。 　　（二）网络管理层防范ARP病毒的方法 　　1.选择具有Super VLAN或PVLAN技术的网络设备管理网络 　　所谓Super VLAN也叫VLAN聚合，这种技术???同一个子网中划出多个Sub VLAN，而将整个IP子网指定为一个VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默认网关IP地址，不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口划为一个Sub VLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。 　　PVLAN即私有VLAN（Private VLAN） ，PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个（下层）VLAN，则实现了所有端口的隔离。 　　PVLAN和SuperVLAN技术都可以实现端口隔离，但实现方式、出发点不同。PVLAN是为了节省VLAN，而SuperVlan的初衷是节省IP地址。两者都可以达到避免ARP欺骗的效果。 　　2.在局域网主机上IP+MAC绑定，网络设备上IP+MAC+端口绑定 　　在Win 98/me、win 2000/xp等系统中，打上ARP补丁， 使用arp –s命令设置IP+MAC绑定，实现静态ARP，不要让主机刷新你设定好的转换表。 　　在网络设备上做IP+MAC+端口绑定，这样当同一二层下的某台机器发伪造的arp reply（源ip和源mac都填欲攻击的那台机子的）给网关时，网络设备可从（物理）端口处拒绝ARP欺骗报文的流入。 　　对于采用了大量傻瓜交换机的局域网，用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙，支持arp协议规则自定义。 　　3.选择带有ARP防火墙功能的网络交换机或路由器。 　　二、快速定位局域网内ARP病毒主机 　　（一）MS-DOS命令行方法 　　在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的MAC地址，将其记录下来。 　　将记录下来的网关MAC地址与正确的网关MAC地址相比较，可以看出当前电脑的ARP表是错误的，因此该MAC地址不是真正网关的MAC地址，而是攻击者的MAC地址， 　　注意：这种情况仅在网关的MAC地址已被更