论文部分内容阅读
摘 要 伴随着Internet的发展,病毒传播速度越来越快,破坏程度也越来越惊人,目前ARP病毒攻击技术已经越来越多地被采用,成为病毒发展的一个新趋势。本人所在的单位时常会出现网络频繁中断现象。检测发现,主要是因为ARP病毒攻击所致。于是自己根据遇到的情况,对ARP病毒攻击进行了初步的研究,并提出了相应的防范措施。
关键词 APR 攻击 防范措施
一、ARP协议及工作原理
1. ARP协议
ARP协议是地址解析协议(Address Resolution Protocol)的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。例如,主机A要和主机B进行直通信,但由于两台主机使用的地址是一种逻辑的地址,而相互通信的道路却是一个真实的物理网路。主机在发送报文前将目的主机的IP地址转换成目的主机MAC地址的协议,称之为ARP协议。
2.ARP协议工作原理
由于主机的IP地址与MAC地址是一一对应的关系,处于同一网段中的A和B两台主机进行通信,主机A要向主机B发送信息。首先主机A查看自己的ARP缓存表,是否包含有目标主机B对应的IP地址。如果有,那么对应的MAC地址也就找到了,则主机A直接把目标MAC地址写入帧里面发送就可以了。若是主机A在其ARP缓存表中未找到主机B的MAC地址,然后在同一网段里发送一个ARP请求报文的广播,网段中的其他主机都不会响应主机A的ARP广播请求,只有被请求的主机B会对该请求作出回应。这样主机A就知道了主机B的MAC地址,进而向B发送信息。
还有一种情况就是主机A和主机B不在同一网段内通信,主机A就会在自己的网段内先向网关发出ARP请求。网关将自己的MAC地址回应给主机A,主机A将报文封装后再发给网关。
二、 ARP病毒的欺骗原理和过程
ARP病毒欺骗就是通过信息通信环境下,对通信的数据进行监听并进行截获。假设三台电脑在同一个局域网内,连接方式为交换机(Switch)连接,分别是攻击方A主机;发送数据方B主机; 接收数据方C主机。比如B主机要给C主机发送数据,首先B主机会向他们所在的网段发出一个广播询问,C主机收到请求后回应自己的正确MAC地址。可与此同时,A主机通过监听然后对C的数据进行截获,再把C主机的IP地址和它本身的MAC地址返回給B。B主机就会误认为所收到的“请求地址”为C的正确地址,这样A主机把应答数据不停地发送过去,致使B主机对自己的ARP缓存表记录进行重新更新,表中新增的记录也就成了C主机的IP地址与A主机的MAC地址对应了。
三、ARP攻击网络故障现象及故障查找方法
1.故障现象
单位局域网内的用户上网时而网速极慢,时而正常。有的时候情况更糟糕——局域网内用户集体上不了网,网络处于瘫痪状态。
2.故障查找
ARP病毒的攻击,尤其是对企业办公的影响特别的大,所以本人在互联网上也查找了许多相关问题的解决方法,从中学到了很多并赋予实践,而且效果很明显。
当局域网中有几台电脑出现了ARP病毒攻击的现象后。先在能正常上网的的计算机上打开运行,输入CMD,然后输入arp -a命令,ARP缓存表的记录就显示出来了,在表中找到相应的网关IP地址和对应的MAC地址。再到发生故障的电脑上运行arp -a命令,看查到网关的记录是否与之前的记录相同,如果在正常情况下肯定是一致的,若出现MAC地址不一致的情况,那说明很不幸,ARP病毒攻击了这台电脑。
四、防范措施
1.用户端
(1)使用相应的杀毒软件及防火墙吗,安装系统补丁
安装ARP杀毒专用软件,以及ARP防火墙,例如彩虹防火墙。随时更新系统补丁,避免病毒的侵害。
(2)IP地址和MAC地址的静态绑定
用户制作一个bat文件,文件的内容就是对内网中的网关和主机的IP地址和MAC地址进行绑定,之后把做好的bat文件放到系统开始的启动项的目录下,当系统重启后,就可以自动运行文件,生成网内主机IP地址和MAC地址绑定的映射表。
2 网管端
(1)使用抓包软件
ARP病毒攻击时的症状就是网络时断时续,这里推荐一款抓包软件Sniffer,通过它可以检测出很多异常的ARP包。
(2)在企业网内部可以统一的安装企业版的ARP防火墙软件。
(3)在交换机上绑定IP地址和MAC地址
网管员可以同时在核心交换机和二层交换机上将局域网内的电脑的IP地址和MAC地址进行绑定。利用双重安全绑定方式可以很大的程度上预防受感染的用户利用ARP欺骗、盗取合法用户的信息,从而降低了ARP攻击网络的影响。
(4)划分VLAN端口进行隔离
按照需要,在网络中心,可以在核心交换机上把各部门进行网络规划,划分到不同的Vlan中去,当某个用户或某几个用户感染了ARP病毒,并进行恶意攻击别人时,由于网络划分了Vlan,恶意攻击的情况只会出现在一个或几个Vlan当中,不会影响整个网络,这样就降低了整个网络瘫痪的可能性。然后,将感染ARP病毒的用户进行隔离,待清除病毒后再允许连接至局域网。
(5)采取802.1X服务认证
802.1X认证可以将某台受ARP病毒感染的主机,通过认证的方式,检测出不具备认证条件,将其从网络中隔离出去。
五、结论
ARP病毒攻击目前是局域网内最常见的一种病毒攻击方式,而且也是最令网管头疼的一种方式。它的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击。同时防范ARP欺骗也没有什么特别好的办法,也只能通过即时发现症状即时解决。无论怎样防范,首要的就是找出病毒攻击的原理。只有这样才能找到非常有效的解决方案。
参考文献:
[1]张曾科.计算机网络[M].清华大学出版社.2004.
[2]邱雪松,ARP病毒原理与防御[M].柳钢科技出版社.2006.
[3]王奇.以太网中ARP欺骗原理与解决办法[J].网络安全技术与应用,2007,(2)
关键词 APR 攻击 防范措施
一、ARP协议及工作原理
1. ARP协议
ARP协议是地址解析协议(Address Resolution Protocol)的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。例如,主机A要和主机B进行直通信,但由于两台主机使用的地址是一种逻辑的地址,而相互通信的道路却是一个真实的物理网路。主机在发送报文前将目的主机的IP地址转换成目的主机MAC地址的协议,称之为ARP协议。
2.ARP协议工作原理
由于主机的IP地址与MAC地址是一一对应的关系,处于同一网段中的A和B两台主机进行通信,主机A要向主机B发送信息。首先主机A查看自己的ARP缓存表,是否包含有目标主机B对应的IP地址。如果有,那么对应的MAC地址也就找到了,则主机A直接把目标MAC地址写入帧里面发送就可以了。若是主机A在其ARP缓存表中未找到主机B的MAC地址,然后在同一网段里发送一个ARP请求报文的广播,网段中的其他主机都不会响应主机A的ARP广播请求,只有被请求的主机B会对该请求作出回应。这样主机A就知道了主机B的MAC地址,进而向B发送信息。
还有一种情况就是主机A和主机B不在同一网段内通信,主机A就会在自己的网段内先向网关发出ARP请求。网关将自己的MAC地址回应给主机A,主机A将报文封装后再发给网关。
二、 ARP病毒的欺骗原理和过程
ARP病毒欺骗就是通过信息通信环境下,对通信的数据进行监听并进行截获。假设三台电脑在同一个局域网内,连接方式为交换机(Switch)连接,分别是攻击方A主机;发送数据方B主机; 接收数据方C主机。比如B主机要给C主机发送数据,首先B主机会向他们所在的网段发出一个广播询问,C主机收到请求后回应自己的正确MAC地址。可与此同时,A主机通过监听然后对C的数据进行截获,再把C主机的IP地址和它本身的MAC地址返回給B。B主机就会误认为所收到的“请求地址”为C的正确地址,这样A主机把应答数据不停地发送过去,致使B主机对自己的ARP缓存表记录进行重新更新,表中新增的记录也就成了C主机的IP地址与A主机的MAC地址对应了。
三、ARP攻击网络故障现象及故障查找方法
1.故障现象
单位局域网内的用户上网时而网速极慢,时而正常。有的时候情况更糟糕——局域网内用户集体上不了网,网络处于瘫痪状态。
2.故障查找
ARP病毒的攻击,尤其是对企业办公的影响特别的大,所以本人在互联网上也查找了许多相关问题的解决方法,从中学到了很多并赋予实践,而且效果很明显。
当局域网中有几台电脑出现了ARP病毒攻击的现象后。先在能正常上网的的计算机上打开运行,输入CMD,然后输入arp -a命令,ARP缓存表的记录就显示出来了,在表中找到相应的网关IP地址和对应的MAC地址。再到发生故障的电脑上运行arp -a命令,看查到网关的记录是否与之前的记录相同,如果在正常情况下肯定是一致的,若出现MAC地址不一致的情况,那说明很不幸,ARP病毒攻击了这台电脑。
四、防范措施
1.用户端
(1)使用相应的杀毒软件及防火墙吗,安装系统补丁
安装ARP杀毒专用软件,以及ARP防火墙,例如彩虹防火墙。随时更新系统补丁,避免病毒的侵害。
(2)IP地址和MAC地址的静态绑定
用户制作一个bat文件,文件的内容就是对内网中的网关和主机的IP地址和MAC地址进行绑定,之后把做好的bat文件放到系统开始的启动项的目录下,当系统重启后,就可以自动运行文件,生成网内主机IP地址和MAC地址绑定的映射表。
2 网管端
(1)使用抓包软件
ARP病毒攻击时的症状就是网络时断时续,这里推荐一款抓包软件Sniffer,通过它可以检测出很多异常的ARP包。
(2)在企业网内部可以统一的安装企业版的ARP防火墙软件。
(3)在交换机上绑定IP地址和MAC地址
网管员可以同时在核心交换机和二层交换机上将局域网内的电脑的IP地址和MAC地址进行绑定。利用双重安全绑定方式可以很大的程度上预防受感染的用户利用ARP欺骗、盗取合法用户的信息,从而降低了ARP攻击网络的影响。
(4)划分VLAN端口进行隔离
按照需要,在网络中心,可以在核心交换机上把各部门进行网络规划,划分到不同的Vlan中去,当某个用户或某几个用户感染了ARP病毒,并进行恶意攻击别人时,由于网络划分了Vlan,恶意攻击的情况只会出现在一个或几个Vlan当中,不会影响整个网络,这样就降低了整个网络瘫痪的可能性。然后,将感染ARP病毒的用户进行隔离,待清除病毒后再允许连接至局域网。
(5)采取802.1X服务认证
802.1X认证可以将某台受ARP病毒感染的主机,通过认证的方式,检测出不具备认证条件,将其从网络中隔离出去。
五、结论
ARP病毒攻击目前是局域网内最常见的一种病毒攻击方式,而且也是最令网管头疼的一种方式。它的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击。同时防范ARP欺骗也没有什么特别好的办法,也只能通过即时发现症状即时解决。无论怎样防范,首要的就是找出病毒攻击的原理。只有这样才能找到非常有效的解决方案。
参考文献:
[1]张曾科.计算机网络[M].清华大学出版社.2004.
[2]邱雪松,ARP病毒原理与防御[M].柳钢科技出版社.2006.
[3]王奇.以太网中ARP欺骗原理与解决办法[J].网络安全技术与应用,2007,(2)