浅析局域网安全防范ARP病毒攻击的方法_安全防范
时间:2019-04-23 03:36:22 来源:雅意学习网 本文已影响 人 
摘要:本文详细论述了局域网防范、查杀ARP病毒的方法。 关键词:ARP;MAC;IP;VLAN ARP 是“Address Resolution Protocol”的缩写,它是TCP/IP协议中用来解析网络节点地址的底层协议。
MAC 它是固化在网卡上串行EEPROM中的物理地址,通常有48位长。
IP IP是“Internet Protocol Address”的缩写,是互联网中每一台主机惟一的地址,是该主机在Internet上的唯一标志。它是一串4组由圆点分割的数字组成的,其中每一组数字都在0-256之间,如:0-255.0-255.0-255.0-255.0-255。
VLAN 是“Virtual Local Area Network”的缩写,即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
一、局域网安全防范ARP病毒攻击的方法有以下几种
(一)局域网内主机防范ARP病毒的方法
1.在客户端使用arp命令绑定网关的真实MAC地址
如果已经有网关的正确MAC地址,可手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC。
2.修改系统拒收ICMP重定向报文
(1)在linux下可以通过在防火墙上拒绝ICMP重定向报文或者是修改内核选项重新编译内核来拒绝接收ICMP重定向报文。
(2)在win2000下可以通过防火墙和IP策略拒绝接收ICMP报文。
(3)安装单机版防火墙,如天网、瑞星等等,可修改防火墙设置来拒绝接收icmp重定向报文。
3.安装ARP防火墙,如360安全卫士的ARP防火墙等等
其主要功能有:
(1)拦截外部ARP攻击。在系统内核层拦截接收到的虚假ARP数据包,保障本机ARP缓存表的正确性。
(2)拦截对外ARP攻击。在系统内核层拦截本机对外的ARP攻击数据包,避免本机感染ARP病毒后成为攻击源。
(3)拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包,避免本机因IP冲突造成掉线等。
(4)主动防御。主动向网关通告本机正确的MAC地址,保障网关不受ARP欺骗影响。
(二)网络管理层防范ARP病毒的方法
1.选择具有Super VLAN或PVLAN技术的网络设备管理网络
所谓Super VLAN也叫VLAN聚合,这种技术在同一个子网中划出多个Sub VLAN,而将整个IP子网指定为一个VLAN聚合(Super VLAN),所有的Sub VLAN都使用Super VLAN的默认网关IP地址,不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口划为一个Sub VLAN,则实现了所有端口的隔离,也就避免了ARP欺骗。
PVLAN即私有VLAN(Private VLAN) ,PVLAN采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离。
PVLAN和SuperVLAN技术都可以实现端口隔离,但实现方式、出发点不同。PVLAN是为了节省VLAN,而SuperVlan的初衷是节省IP地址。两者都可以达到避免ARP欺骗的效果。
2.在局域网主机上IP+MAC绑定,网络设备上IP+MAC+端口绑定
在Win 98/me、win 2000/xp等系统中,打上ARP补丁, 使用arp –s命令设置IP+MAC绑定,实现静态ARP,不要让主机刷新你设定好的转换表。
在网络设备上做IP+MAC+端口绑定,这样当同一二层下的某台机器发伪造的arp reply(源ip和源mac都填欲攻击的那台机子的)给网关时,网络设备可从(物理)端口处拒绝ARP欺骗报文的流入。
对于采用了大量傻瓜交换机的局域网,用户自己可以采取支持arp过滤的防火墙等方法。推荐Look ‘n’Stop防火墙,支持arp协议规则自定义。
3.选择带有ARP防火墙功能的网络交换机或路由器。
二、快速定位局域网内ARP病毒主机
(一)MS-DOS命令行方法
在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的MAC地址,将其记录下来。
将记录下来的网关MAC地址与正确的网关MAC地址相比较,可以看出当前电脑的ARP表是错误的,因此该MAC地址不是真正网关的MAC地址,而是攻击者的MAC地址,
注意:这种情况仅在网关的MAC地址已被更改时使用。此时的故障现象是局域网内部所有主机都不能上网,但网络连接显示正常。如果想立即解决上网的问题,可先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a命令,可查看正确的网关MAC地址。
(二)网络设备端
查看网络设备的ARP缓存列表,判断异常的物理MAC地址。
由上表可以看出,物理地址为000d.609e.67e6的电脑主机在不断的变化自己的IP地址,并不断的向网内发包,可以断定这台电脑就是ARP病毒主机。
(三)通过工具软件定位ARP病毒主机
1.Anti ARP Sniffer软件
Anti ARP Sniffer是一款小巧的防ARP攻击的软件,通过他的抓包追捕功能,可以快速的定位ARP病毒主机。
2.Ethereal抓包软件
Ethereal是免费的网络协议检测程序,支持Unix和Windows操作系统。让您经由程序抓取运行的网站的相关资讯,包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等。通过其抓包功能,可以快速定位病毒感染主机。
三、查杀局域网内ARP病毒的方法
(一)网络设备端
在通过以上定位局域网内ARP病毒主机方法确定ARP病毒主机的MAC地址后,可使用DOS命令将此设备的端口关闭,若病毒主机MAC地址为0015.58e7.2d91,可如下图操作:
注:因为网络内部通过定位病毒主机的方法确定的MAC地址,此地址可能是一台电脑,也可能是一台网络交换机,所以要根据情况操作。另外因网络条件的不同,有许多接入层交换机无管理地址或无管理功能,所以也要根据实际情况处理病毒主机。
(二)局域网内ARP病毒主机的彻底查杀
第一步:
1.进入安全模式
2.打开WINDOWS\SYSTEM32下找到NPPTOOLS.DLL文件 。 因为WINDOWS发ARP包要用到NPPTOOLS文件。
3.双击,打开方式选记事本.
4.全选记事本内的字符(看起来象乱码~_~),删除并保存它.这时NPPTOOLS.DLL文件应该是0字节.
5.在NPPTOOLS上点右键,选中只读,再点安全选项卡,把里边所有用户改成拒绝.(XP可能有的没有安全选项卡,这时要打开一个文件夹,点工具-文件夹选项-查看-使用简单文件共享的勾去掉
第二步:
1.进入“MS-DOS”;
2.输入ARP –s 10.78.135.131 00-EO-4C-4E-4B-8F ;(绑定网关IP+MAC)
(三)使用ARP guard杀毒软件,彻底清除ARP病毒,可快速恢复网络主机的通讯。
(四)使用网上发布的ARP病毒专杀工具对机器进行查杀。
[作者简介]蔡海超(1980-),男;籍贯:安徽省宿州市,工作单位:川庆钻探长庆钻井总公司信息与档案管理中心,学历:大学本科,职称:工程师,研究方向:局域网管理维护。
