论文部分内容阅读
摘要: 针对目前ARP欺骗类病毒在高校机房的频繁发作,通过分析ARP病毒发作的原理,介绍一套在高校机房行之有效的ARP防范策略。
关键词: MAC地址;ARP欺骗;防范
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0610131-01
0 引言
随着校园网规模的日益扩大,ARP欺骗类等病毒给校园网的正常运行带来了很大的影响。ARP病毒最大的特点是,病毒发作时会向全网发送伪造的ARP数据包,一旦发作就会造成网络频繁掉线,网速减慢,甚至导致全校园网络瘫痪。因此,如何在高校机房采取有效措施防御ARP病毒,已经成为机房安全工作中的重点。
1 ARP协议概述及其工作原理
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,就是主机在发送数据帧前将目标IP地址转换成目标MAC地址的过程。
当一台设备试图与另一台设备通信时,该设备必须确定对方的MAC地址。首先,源设备都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当A主机需要将一个数据包要发送到B主机时,会首先检查自己ARP列表中是否存在该IP地址所对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址,如果没有,就向本地网段广播一个ARP请求的广播包,该包中包含B主机的IP地址。网段中所有用户在收到这个ARP请求后,会将数据包中的目的IP和自己的IP地址进行比较。这时,只有B主机会给A主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址,A主机收到这个ARP响应数据包后,将得到的B主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
在局域网中,由于主机缺乏对ARP请求包和应答包的认证机制,从而使局域网任何一台主机都有可能伪造IP地址和MAC地址从而实现ARP欺骗。
2 机房ARP病毒的防范策略
高校机房在三层交换设备上已经被划分为同一VLAN,因此,这里把接入层设备和客户机上实现ARP防御策略作为重点。
2.1 接入层设备上的防范
在接入层交换机上,目前最佳的方案是将IP地址与MAC地址同时绑定到ACL,再将ACL应用到端口。下面介绍此方案的配置:
定义一个MAC地址访问控制列表并命名为“macl”。
Switch(Config)#mac access-list extended macl
定义MAC地址为00:0a:61:a7:47:1e的主机可以访问任何主机。
Switch(Config-ext-mac1)#permit host 00-0a-61-a7-47-1e any
定义任何主机可以访问MAC为00:0a:61:a7:47:1e的主机
Switch(Config-ext-mac1)#permit any host 00-0a-61-a7-47-1e
定义一个IP地址访问控制列表并且命名为“ipl”。
Switch(Config-ext-mac1)#ip access-list extended ipl
定义IP地址为192.168.1.1的主机可以访问任何主机。
Switch(Config-ext-nac1)#permit 192.168.1.1 0.0.0.0 any
定义任何主机都可以访问IP地址为192.168.1.1的主机。
Switch(Config-ext-nac1)#permit any 192.168.1.1 0.0.0.0
进入接口配置模式。
Switch(Config)#interface fastethernet0/1
在该接口上应用名为MAC1的访问列表。
Switch(Config-if) #MAC access-group macl in
在该接口上应用名为IP1的访问列表。
Switch(Config-if)#ip access-group ipl in
2.2 客户机防范设置
1)在客户机上将IP和MAC静态绑定是最常用的方法,具体方法如下:
当网络环境是安全的时候,在命令提示符下输入“arp-a”查看:
Interfaee:192.168.10.17一一0xl000003
Internet AddressPhysical AddressType
192.168.10.100-0a-61-a7-47-1edynamic
其中192.168.10.17是本机的IP地址,网关192.168.10.1的MAC地址是00-0a-61-a7-47-1e,类型是动态的。
输入“arp-s 192.168.10.1 00-0a-61-a7-47-1e”对网关进行绑定,再次输入 “arp-a”:
Interfaee:192.168.10.17一一0xl000003
Internet AddressPhysical Address Type
192.168.10.1 00-0a-61-a7-47-1estatic
此时网关的类型就成了静态的了,但是静态缓存表在客户机重启后会自动恢复到初始设置,为了解决这个问题,一般在启动项中加入一个DAT文件,内容如下
@echo off
arp -d
arp -s 网关 IP 网关mac
exit
2)禁止响应ICMP路由通告报文:
关闭响应ICMP路由通告报文,可以防止跨网段对主机的ARP欺骗。找到注册表中HKEY_LOCAL_MachineSystemCurrentControlSetServicesTCPI
PParamters 分支,在右侧窗口中将子键EnableICMPRedirect的REG_DWORD
值修改为0(0为禁止响应ICMP路由通告报文,默认为1)。
3)客户机安装ARP防火墙:
ARP防火墙软件能够将本机和外部的ARP攻击全拦截,并具有查杀ARP病毒的功能,从而能保证网络的顺畅。
3 总结
从ARP欺骗的原理,可以看出,ARP欺骗给局域网带来了很大的隐患。本文提出的学校机房ARP病毒防范策略,从客户机、网络设备等多个方面建立起了一套有效的ARP防御机制,一定程度的保障了网络安全,并在高校机房的安全维护中得到了切实的体现。
参考文献:
[1](美)特南鲍姆(Tanenbaum,A.S.)著、潘爱民译,计算机网络(第4版),北京:清华大学出版社,2004.
[2]伊鹏举,ARP欺骗攻击及防范[J].通信管理与技术,2007.
[3]边永涛,校园网ARP欺骗检测与防范,网络安全技术与应用,2008.
[4]Address Resolution Protocol.http://en.wikipedia.org/wiki/Addr
Ess_Resolution_Protocol.
作者简介:
马伟(1980-),男,本科,西北民族大学网络与信息管理中心网络工程师,研究方向:网络安全。
关键词: MAC地址;ARP欺骗;防范
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0610131-01
0 引言
随着校园网规模的日益扩大,ARP欺骗类等病毒给校园网的正常运行带来了很大的影响。ARP病毒最大的特点是,病毒发作时会向全网发送伪造的ARP数据包,一旦发作就会造成网络频繁掉线,网速减慢,甚至导致全校园网络瘫痪。因此,如何在高校机房采取有效措施防御ARP病毒,已经成为机房安全工作中的重点。
1 ARP协议概述及其工作原理
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,就是主机在发送数据帧前将目标IP地址转换成目标MAC地址的过程。
当一台设备试图与另一台设备通信时,该设备必须确定对方的MAC地址。首先,源设备都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当A主机需要将一个数据包要发送到B主机时,会首先检查自己ARP列表中是否存在该IP地址所对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址,如果没有,就向本地网段广播一个ARP请求的广播包,该包中包含B主机的IP地址。网段中所有用户在收到这个ARP请求后,会将数据包中的目的IP和自己的IP地址进行比较。这时,只有B主机会给A主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址,A主机收到这个ARP响应数据包后,将得到的B主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
在局域网中,由于主机缺乏对ARP请求包和应答包的认证机制,从而使局域网任何一台主机都有可能伪造IP地址和MAC地址从而实现ARP欺骗。
2 机房ARP病毒的防范策略
高校机房在三层交换设备上已经被划分为同一VLAN,因此,这里把接入层设备和客户机上实现ARP防御策略作为重点。
2.1 接入层设备上的防范
在接入层交换机上,目前最佳的方案是将IP地址与MAC地址同时绑定到ACL,再将ACL应用到端口。下面介绍此方案的配置:
定义一个MAC地址访问控制列表并命名为“macl”。
Switch(Config)#mac access-list extended macl
定义MAC地址为00:0a:61:a7:47:1e的主机可以访问任何主机。
Switch(Config-ext-mac1)#permit host 00-0a-61-a7-47-1e any
定义任何主机可以访问MAC为00:0a:61:a7:47:1e的主机
Switch(Config-ext-mac1)#permit any host 00-0a-61-a7-47-1e
定义一个IP地址访问控制列表并且命名为“ipl”。
Switch(Config-ext-mac1)#ip access-list extended ipl
定义IP地址为192.168.1.1的主机可以访问任何主机。
Switch(Config-ext-nac1)#permit 192.168.1.1 0.0.0.0 any
定义任何主机都可以访问IP地址为192.168.1.1的主机。
Switch(Config-ext-nac1)#permit any 192.168.1.1 0.0.0.0
进入接口配置模式。
Switch(Config)#interface fastethernet0/1
在该接口上应用名为MAC1的访问列表。
Switch(Config-if) #MAC access-group macl in
在该接口上应用名为IP1的访问列表。
Switch(Config-if)#ip access-group ipl in
2.2 客户机防范设置
1)在客户机上将IP和MAC静态绑定是最常用的方法,具体方法如下:
当网络环境是安全的时候,在命令提示符下输入“arp-a”查看:
Interfaee:192.168.10.17一一0xl000003
Internet AddressPhysical AddressType
192.168.10.100-0a-61-a7-47-1edynamic
其中192.168.10.17是本机的IP地址,网关192.168.10.1的MAC地址是00-0a-61-a7-47-1e,类型是动态的。
输入“arp-s 192.168.10.1 00-0a-61-a7-47-1e”对网关进行绑定,再次输入 “arp-a”:
Interfaee:192.168.10.17一一0xl000003
Internet AddressPhysical Address Type
192.168.10.1 00-0a-61-a7-47-1estatic
此时网关的类型就成了静态的了,但是静态缓存表在客户机重启后会自动恢复到初始设置,为了解决这个问题,一般在启动项中加入一个DAT文件,内容如下
@echo off
arp -d
arp -s 网关 IP 网关mac
exit
2)禁止响应ICMP路由通告报文:
关闭响应ICMP路由通告报文,可以防止跨网段对主机的ARP欺骗。找到注册表中HKEY_LOCAL_MachineSystemCurrentControlSetServicesTCPI
PParamters 分支,在右侧窗口中将子键EnableICMPRedirect的REG_DWORD
值修改为0(0为禁止响应ICMP路由通告报文,默认为1)。
3)客户机安装ARP防火墙:
ARP防火墙软件能够将本机和外部的ARP攻击全拦截,并具有查杀ARP病毒的功能,从而能保证网络的顺畅。
3 总结
从ARP欺骗的原理,可以看出,ARP欺骗给局域网带来了很大的隐患。本文提出的学校机房ARP病毒防范策略,从客户机、网络设备等多个方面建立起了一套有效的ARP防御机制,一定程度的保障了网络安全,并在高校机房的安全维护中得到了切实的体现。
参考文献:
[1](美)特南鲍姆(Tanenbaum,A.S.)著、潘爱民译,计算机网络(第4版),北京:清华大学出版社,2004.
[2]伊鹏举,ARP欺骗攻击及防范[J].通信管理与技术,2007.
[3]边永涛,校园网ARP欺骗检测与防范,网络安全技术与应用,2008.
[4]Address Resolution Protocol.http://en.wikipedia.org/wiki/Addr
Ess_Resolution_Protocol.
作者简介:
马伟(1980-),男,本科,西北民族大学网络与信息管理中心网络工程师,研究方向:网络安全。