摘 要: ARP病毒是在ARP通信协议的漏洞的基础上,编写出来的病毒。自始至终,一直对很多的校园局域网潜伏着很大的危害。由于这款病毒的进攻是依靠ARP协议的漏洞,所以很难依靠某一防火墙或者补丁就可以防御,必须从ARP病毒的欺骗原理入手,找出问题的对策。
关键词:校园网;病毒;预防
一、ARP协议工作原理
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议。MAC地址可以为以太网内主机通信确定目标。ARP协议负责将某个IP地址解析成对应的MAC地址,也就是它负责通知电脑要连接的目标地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址。所以一旦这个环节出了问题,就不能正常和目标主机进行通信,甚至使整个网络瘫痪。
二、ARP攻击原理
1、欺骗主机型。欺骗主机对同一网段的指定IP地址发送ARP数据包进行欺骗,导致部分受影响的主机都通过病毒主机进行http访问。
2、欺骗网关型。欺骗主机发送ARP数据包,伪装网关MAC地址,使得网段内所有欲访问internet的主机转而访问病毒感染主机,导致同一网段内所有主机无法访问internet。
三、ARP攻击的防御方法及预防措施
1、ARP攻击的防御方法
(1)静态绑定网关IP地址和网关MAC地址首先编写一个批处理文件arp.bat:@echo ofarp-darp–s(网关ip地址)(网关MAC地址)将这个批处理软件拖到“windows-*""开始-程序-启动中。把网关IP地址与MAC地址绑定,然后设置开机时自动运行(将该文件放在“开始”-“启动”目录下),实现IP地址和网关MAC地址的静态绑定,这样就不会让别的计算机修改你的ARP表了。
(2)在接入设备上采用PVLAN技术。防御ARP病毒欺骗仅靠网络管理员及时处理病毒主机是远远不够的。还必需靠接入设备来协助完成。ARP欺骗攻击一般是针对同一网段内的所有主机,因此只要VLAN划分得足够小,就可以解决可以避免ARP欺骗攻击。但是这种方法会造成IP地址的大量浪费和汇聚交换机上路由管理的难度。由此这里推荐一种大多数接入网络设备都支持的PVLAN技术。PVLAN技术是一种二层机制,它可以实现端口之间的隔离。与VLAN不同的是,PVLAN不需要为每个接入用户划分不同的虚拟网络和分配子网IP地址,接入相同PVLAN的主机,虽然位于同一个IP地址段,却无法实现彼此之间的通信,它们的通信是靠默认网关实现的。因此采用了PVLAN技术,不仅隔离了局域网内的广播风暴,也解决了主机之间的ARP欺骗问题。
(3)在汇聚设备上绑定用户的IP和MAC地址。
PVLAN技术虽然可以避免主机间的ARP欺骗,但不能防止某台主机用其他主机的IP地址和错误的MAC地址来欺骗网关。因此理想的网络安全信任关系应建立在IP地址+MAC地址基础上。主机的IP和MAC地址对应表在手工输入后不再动态更新,就可避免某台主机用其他主机的IP地址和错误的MAC地址来欺骗网关的可能性。
(4)利用访问控制(ACL)规则过滤ARP报文技术。利用ACL规则对欺骗网关的ARP报文进行过滤技术就是配置交换机设备过滤源IP为网关的ARP(以太数据帧中ARP协议类型值是0806)报文的ACL规则,同时再配置一条过滤源MAC为其ACL规则,然后将配置好的ACL下发到指定的端口上。通过ACL过滤,将ARP报文丢掉,即可保证主机和网关的正常通信。
2、ARP攻击的预防措施
由于ARP攻击往往不是病毒造成的,而是合法的程序(外挂、网页)造成的,所以杀毒软件多数时候束手无策。所以在中毒之前的工作一定要做好,防患与未然。
(1)首先定期更新操作系统,给系统下载和安装最新的系统补丁程序,更新系统可以填补系统的安全漏洞。
(2)给系统管理员帐户设置足够复杂的超强密码,密码数不低于6位。最好是字母+数字等复杂的组合,也可以禁用或删除一些不使用的帐户。
(3)安装杀毒软件,及时升级病毒库。
(4)关闭一些不需要的服务,关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。
(5)不要随便点击打开QQ、MSN等聊天工,具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。(6)使用ARP病毒防火墙。
结语:
ARP病毒欺骗波及全国、影响深远。主要症状表现网络时断时续,网络速度慢,尤其是许多局域网用户深受其害,给用户带来了极大的不便,所以必须充分了解ARP病毒的原理才能找到解决病毒的有效方法,从而避免遭到ARP病毒的攻击,才能更好的方便校园网用户正常访问网络资源。
参考文献:
[1]靳桂珍.基于ARP攻击原理及其解决方法的研究[J].黑龙江科技信息,2009,(19).
[2]杨涛,宋群豹.基于局域网的ARP病毒的分析与防御[J].商场现代化,2009,(18).
[3]周华等.运用ARP欺骗进行网络安全管理[J].网络安全技术与应用,2005(3).