晋煤集团防止arp病毒攻击解决方案

来源 :数字化用户 | 被引量 : 0次 | 上传用户:lamm
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘 要】arp病毒经常造成企业网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等现象。
  【关键词】arp病毒 仿冒网关 ACL访问控制列表
  一、ARP病毒及其攻击介绍
  ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。它经常造成我们企业网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等现象。
  按照TCP/IP协议的原理,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
  晋煤集团网络中,常见的ARP攻击有如下几种形式:
  (一)仿冒网关
  攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
  (二)欺骗网关
  攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
  (三)欺骗终端用户
  攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。
  (四)“中间人”攻击
  ARP “中间人”攻击,又称为ARP双向欺骗。例如,Host A和Host C通过Switch进行通信。此时,如果有恶意攻击者(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
  (五)ARP报文泛洪攻击
  恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
  二.解决方案:
  (一)阻止仿冒网关IP的arp攻击
  1.二层交换机
  3652是三层设备,其中ip:100.1.1.1是所有pc的网关,3652上的网关mac地址为000f-e200-3999。PC-B上装有arp攻击软件。现在需要对3126_A进行一些特殊配置,目的是过滤掉仿冒网关IP的arp报文。
  对于二层交换机如3126c等支持ACL number为5000到5999的交换机,可以配置acl来进行报文过滤。
  (1)全局配置deny 所有源IP是网关的arp报文(自定义规则)
  ACL num 5000
  rule 0 deny 0806 ffff 24 64010101 ffffffff 40
  rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
  rule0目的:把整个3126C_A端口冒充网关的ARP报文禁掉,其中蓝色部分64010101是网关ip地址的16进制表示形式:100.1.1.1=64010101。
  rule1目的:把上行口的网关ARP报文允许通过,蓝色部分为网关3652的mac地址000f-e200-3999。
  注意配置Rule时的配置顺序,上述配置为先下发后生效的情况。
  在S3126C-A系统视图下发acl规则:
  [S3126C-A]packet-filter user-group 5000
  这样只有3126C_A上连设备能够下发网关的ARP报文,其它pc就不能发送假冒网关的arp响应报文。
  (二)三层交换机
  对于三层设备,需要配置过滤源IP是网关的arp报文的acl规则,配置如下acl规则:
  ACL num 5000
  rule 0 deny 0806 ffff 24 64010105 ffffffff 40
  rule0目的:把所有3652E端口冒充网关的ARP报文禁掉,其中蓝色部分64010105是网关ip地址的16进制表示形式:100.1.1.5=64010105。
  三、阻止仿冒他人IP的arp攻击
  作为网关的设备有可能会出现arp错误表项,因此在网关设备上还需对仿冒他人IP的arp攻击报文进行过滤。
  当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3652)的,这样3652上就会学习错误的arp,如下所示:
  ------ 错误 arp 表项-----
  IP Address MAC Address VLAN ID Port Name Aging
  100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20
  100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20
  PC-D的arp表项应该学习到端口e0/8上,而不应该学习到e0/2端口上。
  ①在3652上配置静态arp,可以防止该现象:arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
  ②同理,S3652E上也可以配置静态arp来防止设备学习到错误的arp表项。
  ③对于三层设备(3600系列),除了可以配置静态arp外,还可以配置IP+mac+port绑定,比如在3126C端口4上作如下操作:
  am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4,则ip为100.1.1.4并且mac为000d-88f8-09fa的arp报文可以通过e0/4端口,仿冒其它设备arp报文无法通过,从而不会出现错误arp表项。
  参考文献:
  [1]计算机网络基础及应用 吴晓葵主编 高等教育出版社 2008
  [2]计算机网络安全案例教程 陈昶 杨艳春主编 北京大学出版社.2008
  [3]网络操作系统与配置管理 王达主编 电子工业出版社 2008
其他文献
SHIP(SH2 domain containing inositol 5′-phosphatase)基因位于人类染色体2q36-37.1,广泛表达于造血细胞。SHIP基因敲除小鼠可表现出骨髓细胞的高度增生。SHIP 可特异地清
期刊
【摘 要】随着国防与军事事业的快速发展,军队指挥自动化作用日益明显。 军队指挥自动化是提高作战效能的倍增器,军队指挥自动化装备的使用与管理成为提升国防实力,保卫祖国和人民安全的重要内容。本文以军队指挥自动化装备的管理与质量优化为研究的内容,以当前我国军队指挥自动化所涉及的计算机、网络、通信装备的内涵为切入点,就军队指挥自动化装备的管理与质量优化途径进行了分析。  【关键词】军队;指挥;自动化;管理
【摘 要】皮带传动因具有适用于两轴中心距较大的传动场合,工作时传动平衡无噪声,造价低廉、不需要润滑以及能缓冲、吸震、易维护等特点,而被广泛应用于不需要保证精确传动比的工作场合。但由于在使用过程中,由于种种原因会造成皮带的非正常损坏而停工,造成一定的经济损失。因此,有必要对其损坏原因进行查找、分析,从而对皮带的非正常损坏制定一套合理的预防措施,以延长皮带的使用寿命、减少停机维修次数。  【关键词】皮
迪士普公司承接了北京08奥运9项公共广播工程,概述了该公司根据国家标准(报批稿)的要求、以及"低姿态代偿"可靠性设计概念,解决奥运场馆公共广播系统设计问题的思路.
“传统的杀毒软件沿用杀毒引擎+特征码的技术,20年没有创新,已经不能有效解决互联网的安全问题。”近日。奇虎董事长周鸿祎在360安全卫士的发布会上抛出“杀毒软件无用论”,再次挑动中国安全软件行业敏感的神经。去年,周鸿祎就曾经大肆宣扬“所有的杀毒软件都应该免费”,引发了安全软件江湖上一场旷日持久的争论。这一回。他来得更加彻底,抓住杀毒软件查杀滞后和资源占用过大的弊端。将其批得体无完肤。而这一切,也恰到
介绍国外近年来用超声导波对化工埋管表面腐蚀状态进行长距离快速检测的新技术,包括装置构成、信号分类和波幅设定.在设有模拟缺陷的试样管上探索并比较了两种导波(纵波和扭
为推动NDT行业技术进步和提升企业设备运行维保服务水平,2015年10月15-16日由浩中科技(上海)有限公司主办,通用电气检测控制技术(上海)有限公司协办及霍释特(上海)检测有限公
ASPP家族成员抑制剂(inhibitory member of the ASPP family,iASPP)是最近发现的能特异抑制p53抑癌功能的蛋白[1,2].研究发现iASPP在多种肿瘤细胞中表达显著升高[3,4],提示通过抑制肿瘤细胞中iASPP基因的过表达有可能成为恢复p53抑癌功能的新策略.我们通过构建iASPP基因的小干扰RNA(siRNA)真核表达载体,将其分别转染到含野生型p53
对当今流行的几种WebGIS开发技术做了阐述和分析,提出了一种基于WebGIS的城市配电网监控系统.