论文部分内容阅读
[摘 要] 本文分析了校园网络的安全问题,结合“ARP 欺骗”木马病毒的表现和危害,提出了一系列的应对措施。
[关键词] 校园网络; 安全; 措施
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 24. 061
[中图分类号] TP393.08 [文献标识码] A [文章编号] 1673 - 0194(2011)24- 0106- 01
随着教育信息化的发展,各学校已经普遍实现网络信息化教学,计算机校园网络成为学校重要的现代化基础设施。随着应用的深入,网络安全问题也应运而生,近期,一种叫“ARP 欺骗”的木马病毒在校园网中扩散,严重影响了校园网的正常运行。目前ARP攻击技术已经被越来越多的病毒所利用,成为病毒发展的一个新趋势。由此可见,ARP欺骗不是某一个特定的病毒,而是对利用ARP协议缺陷的各种病毒木马的统称。
1 ARP欺骗攻击的表现和危害
我们知道,当局域网内某台主机被植入了ARP欺骗木马程序并运行时,中毒机器的网卡不断向网内所有计算机发送虚假的ARP数据包,告诉网内其他计算机网关的MAC地址是中毒机器的MAC地址,于是其他计算机将本来发送网关的数据发送到中毒机器上,导致整个局域网无法上网,甚至整个网络的瘫痪。笔者亲身经历过一次比较严重的ARP攻击,最初没有ARP攻击的经验以为是网络故障,用单机进行光纤数据测试时一切正常,后来频繁出现断网并发现IP冲突才意识到可能是其他问题导致网络阻塞,最后由于网络设备的承载过重,导致网络瘫痪。ARP木马程序运行时,原来直接通过路由器上网现在转由通过病毒主机上网,而且每次切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登录了某个服务器,那么病毒主机就会经常伪造断线的假象,那么用户就得重新登录服务器。本来局域网中的数据流向是:网关→本机; 如果网络有ARP 欺骗之后数据的流向是:网关→攻击者→本机,因此攻击者能随意窃取网络数据,截获局域网中任一台机器收发的邮件和Web浏览信息等,甚至会窃取用户密码。比如盗取QQ密码、盗取网上银行账号等,这是木马的惯用伎俩,会给用户造成了很大的不便和巨大的经济损失。
2 常用应对措施
目前,利用防火墻在网络的边缘设置了快速有效网络巡警系统,可以对网络入侵进行监控和防护,抵御个人电脑的入侵,检测恶意的程序对校园网络系统的破坏。 这种解决方案只是针对外部入侵的防范,对于网络内部安全管理作用不大,特别是目前ARP病毒的猖獗,加之“ARP欺骗”系列病毒存在非常多的变种,各大防病毒厂商目前也没有提供很好的解决方案,一些ARP防火墙若没有进行手工设置也效果不好,导致了校园网内ARP病毒泛滥防不胜防,严重影响了网络的正常运行。为了保障校园网络正常运行,针对ARP病毒的猖獗和破坏性,提出常用的几种应对措施:
2.1 安装防护病毒工具
安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士的ARP病毒专杀工具,实时下载安装系统漏洞补丁,关闭不必要的服务都能有效减少病毒的攻击。不足之处是,在学校计算机数量比较多的情况下不利于实施。
(1) 绑定静态地址映射。绑定主机和路由器的静态地址映射。不足之处:只能适用于小范围的局域网,主机的IP-MAC映射只能手工维护,不能适应网络的动态变化。还可以通过ARP-S命令在主机上绑定路由器的IP和ARP,这样可以防御冒充网关的ARP欺骗,这种方法也可以称为双向绑定。
(2) 绑定交换机端口。把交换机的每个端口和一个固定的MAC地址绑定,优点是与使用静态缓存基本相同,缺点是只有具有网管功能的交换机才可以,工作量大。
2.2 利用红旗LINUX6.0桌面版架设PPPOE服务器防御攻击
现在ARP病毒似乎成为局域网中的一个不可回避的话题,这些措施有的尽管能解一时之急,但不能从根本上解决问题;有的虽然能从根本上解决,但对于绝大部分学校来说,资金投入较多根本行不通,而且这些措施都是在继续使用ARP协议上网的基础上实施的,为了彻底解决ARP病毒带来的困扰,那么有没有一种不采用ARP协议而且投资又比较少的上网方式呢?可以在网内采用PPPOE(Point to Point Protocol over Ethernet,基于以太网的点对点协议)的方式上网,PPPOE不使用ARP协议,也就不存在ARP病毒欺骗了。利用红旗LINUX6.0桌面版架设PPPOE服务器的方法已有应用,而且利用LINUX服务器来架设PPPOE服务器,功能很稳定,最关键还是完全免费的,对计算机硬件配置要求不是太高,正常办公使用的计算机即可。对于网卡也没有特殊的要求,常见的Rt l8139、3COM 905B-TX、Intel 82559 服务器网卡等都可以,不过一台工作良好的拨号服务器,网卡一定要好,所以还是建议使用大品牌的网卡。
ARP欺骗在相当长的时间内还会继续存在,通过上述几种方法来解决ARP病毒对于局域网的欺骗攻击都是比较有效的。因此有必要提前做好局域网ARP病毒的防范工作,将ARP病毒的危害减少到最小程度。采用PPPOE方式上网可以有效地防范ARP病毒。
[关键词] 校园网络; 安全; 措施
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 24. 061
[中图分类号] TP393.08 [文献标识码] A [文章编号] 1673 - 0194(2011)24- 0106- 01
随着教育信息化的发展,各学校已经普遍实现网络信息化教学,计算机校园网络成为学校重要的现代化基础设施。随着应用的深入,网络安全问题也应运而生,近期,一种叫“ARP 欺骗”的木马病毒在校园网中扩散,严重影响了校园网的正常运行。目前ARP攻击技术已经被越来越多的病毒所利用,成为病毒发展的一个新趋势。由此可见,ARP欺骗不是某一个特定的病毒,而是对利用ARP协议缺陷的各种病毒木马的统称。
1 ARP欺骗攻击的表现和危害
我们知道,当局域网内某台主机被植入了ARP欺骗木马程序并运行时,中毒机器的网卡不断向网内所有计算机发送虚假的ARP数据包,告诉网内其他计算机网关的MAC地址是中毒机器的MAC地址,于是其他计算机将本来发送网关的数据发送到中毒机器上,导致整个局域网无法上网,甚至整个网络的瘫痪。笔者亲身经历过一次比较严重的ARP攻击,最初没有ARP攻击的经验以为是网络故障,用单机进行光纤数据测试时一切正常,后来频繁出现断网并发现IP冲突才意识到可能是其他问题导致网络阻塞,最后由于网络设备的承载过重,导致网络瘫痪。ARP木马程序运行时,原来直接通过路由器上网现在转由通过病毒主机上网,而且每次切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登录了某个服务器,那么病毒主机就会经常伪造断线的假象,那么用户就得重新登录服务器。本来局域网中的数据流向是:网关→本机; 如果网络有ARP 欺骗之后数据的流向是:网关→攻击者→本机,因此攻击者能随意窃取网络数据,截获局域网中任一台机器收发的邮件和Web浏览信息等,甚至会窃取用户密码。比如盗取QQ密码、盗取网上银行账号等,这是木马的惯用伎俩,会给用户造成了很大的不便和巨大的经济损失。
2 常用应对措施
目前,利用防火墻在网络的边缘设置了快速有效网络巡警系统,可以对网络入侵进行监控和防护,抵御个人电脑的入侵,检测恶意的程序对校园网络系统的破坏。 这种解决方案只是针对外部入侵的防范,对于网络内部安全管理作用不大,特别是目前ARP病毒的猖獗,加之“ARP欺骗”系列病毒存在非常多的变种,各大防病毒厂商目前也没有提供很好的解决方案,一些ARP防火墙若没有进行手工设置也效果不好,导致了校园网内ARP病毒泛滥防不胜防,严重影响了网络的正常运行。为了保障校园网络正常运行,针对ARP病毒的猖獗和破坏性,提出常用的几种应对措施:
2.1 安装防护病毒工具
安装ARP防火墙或者开启局域网ARP防护,比如360安全卫士的ARP病毒专杀工具,实时下载安装系统漏洞补丁,关闭不必要的服务都能有效减少病毒的攻击。不足之处是,在学校计算机数量比较多的情况下不利于实施。
(1) 绑定静态地址映射。绑定主机和路由器的静态地址映射。不足之处:只能适用于小范围的局域网,主机的IP-MAC映射只能手工维护,不能适应网络的动态变化。还可以通过ARP-S命令在主机上绑定路由器的IP和ARP,这样可以防御冒充网关的ARP欺骗,这种方法也可以称为双向绑定。
(2) 绑定交换机端口。把交换机的每个端口和一个固定的MAC地址绑定,优点是与使用静态缓存基本相同,缺点是只有具有网管功能的交换机才可以,工作量大。
2.2 利用红旗LINUX6.0桌面版架设PPPOE服务器防御攻击
现在ARP病毒似乎成为局域网中的一个不可回避的话题,这些措施有的尽管能解一时之急,但不能从根本上解决问题;有的虽然能从根本上解决,但对于绝大部分学校来说,资金投入较多根本行不通,而且这些措施都是在继续使用ARP协议上网的基础上实施的,为了彻底解决ARP病毒带来的困扰,那么有没有一种不采用ARP协议而且投资又比较少的上网方式呢?可以在网内采用PPPOE(Point to Point Protocol over Ethernet,基于以太网的点对点协议)的方式上网,PPPOE不使用ARP协议,也就不存在ARP病毒欺骗了。利用红旗LINUX6.0桌面版架设PPPOE服务器的方法已有应用,而且利用LINUX服务器来架设PPPOE服务器,功能很稳定,最关键还是完全免费的,对计算机硬件配置要求不是太高,正常办公使用的计算机即可。对于网卡也没有特殊的要求,常见的Rt l8139、3COM 905B-TX、Intel 82559 服务器网卡等都可以,不过一台工作良好的拨号服务器,网卡一定要好,所以还是建议使用大品牌的网卡。
ARP欺骗在相当长的时间内还会继续存在,通过上述几种方法来解决ARP病毒对于局域网的欺骗攻击都是比较有效的。因此有必要提前做好局域网ARP病毒的防范工作,将ARP病毒的危害减少到最小程度。采用PPPOE方式上网可以有效地防范ARP病毒。