防范ARP攻击A_第1页
防范ARP攻击A_第2页
防范ARP攻击A_第3页
全文预览已结束

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、防范ARP攻击论文关键词:网络 ARP病毒攻击MAC防范论文摘要:螺虫病毒伴随着Internet的发展.传播速度越来越快、破坏能力也越来越强,目前ARP攻击技术已经被越来越多的病毒所采用,成为病毒发 展的一个新趋势。特别是近期局域网 ARP病毒攻击事件出现群体高发期,宁夏 马莲台发电厂时常出现网络频繁中断现象。调查发现,主要是因为个别用户计 算机感染某种ARP病毒导致。笔者结合自己的一些网络管理经验,对 ARP病 毒攻击进行了分析和总结,并提出了相应的防范措施。1、引言:宁夏马莲台电厂的网络是典型的三层交换,采用了思科的设备,核心层是 一台Cisco 6500,汇聚层是两台 Cisco 650

2、0 ,分别连接生产楼和生活区的设 备,在生产区楼里如集控室、化验楼、燃供楼、检修间、除灰楼、小车库都挂 着Cisco 3550作为接入层。全厂一共有200多台计算机通过交换机连成一个局域 网。马莲台电厂网络拓扑图2、网络故障现象局域网内的计算机出现外部网站访问速度缓慢,甚至无法打开的现象,客 户端用户频繁出现断网并发现IP冲突。最严重的时候出现部分生产楼网络瘫痪。3、故障分析:3. 1故障原因查找在开始不能上网的计算机上运行arp -a ,说明:10. 216. 96. 3是网关地址,后面的00-00-0c-07-0a-01 是网关的物理地址。此物理地址默认情况卜是不会 发生改变的,如果发现物

3、理地址不是此地址说明自己己经受到了arp病毒的攻击o查找过程:、执行arp - a列出了10. 216. 96.18 00-0F-EA-11-00-5E由于之前我们已经知道网关的正确物理地址是00-00-0c-07-0a-01 ,此时却变成了 00-0F-EA-11-00-5E,说明10. 216. 96. 18 正在利用arp进行欺骗, 冒 充网关。(2) 、执行arp -d清除ARP列表信息。重新运行arp -a看数据类表的可疑IP地址是否存在,不存在说明此IP地址正常;存在,说明该机器肯定有ARP病毒。(3) 使用tracert命令在任意一台受影响的主机上,在 DOS命令窗口下运行如下命

4、令:tracert 61. 135. 179. 148 (外网IP地址)。假定设置的缺省网关为 10. 8. 6. 1 ,在跟踪 一个外网地址时,第一跳却是 10.8.6. 186,那么,10. 8. 6. 186就是病毒源。3.2 ARP攻击原理分析ARP,全称 Address Resolution Protocol,中文名为地址解析协议,它工 作在数据链路层,在本层和硕件接口联系,同时对上层提供服务。ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗,和对内网PC的网关欺骗两 种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址,并按照一定的频率不断更新学习进行

5、,使真实的地址信息无法通过更新保 存在路由器中,造成的PC主机无法正常收到回应信息。第二种是通过交换机的 MAC地址学习机制,当局域网内某台主机已经感染ARP欺骗的木马程序,就会欺骗局域网内所有主机和路由器,让所有上网的流量都必须经过病毒主机。4、调查结论:通过以上查找分析,局域网内有计算机感染 ARP病毒,中毒的机器的网卡 不断发送虚假的ARP数据包,告诉网内其他计算机网关的 MAC地址是中毒机 器的MAC地址,是其他计算机将本来发送网关的数据发送到中毒机器上,导致整 个局域网都无法上网,严重乃至整个网络的瘫痪。我们知道局域网中的数据流 向是:网关一本机;如果网络有 ARP欺骗之后,数据的流

6、向是:网关一攻击者本机,因此攻击者能随意窃听网络数据,截获局域网中任一台机器收发的邮件,WEB浏览信息等,还会窃取用户密码。如盗取 QQ密码、盗取各种网络游戏 密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马 的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。5、防范所米取措施5、1用户端防范措施:安装arp防火墙或者开启局域网 ARP防护,比如360安全卫士等arp病毒 专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒 的攻击。如果在没有防范软件安装的情况下,也可以通过编写简单的批处理程序来绑定网关来防止 ARP欺骗,步骤如下:(1) 首先,获得安全

7、网关的内网的MAC地址。以windowsxp为例。点击'开始”一运行” 一输入cmd,点击确定”后,将出现相关网络状态及连接信息,输入arp -a,可以查看网关的MAC地址编写批处理文件arp.bat内容如下: echo offarp - darp -s 10. 216. 96.3 (安全网关)00-09-ac-82-0d (网关的 MAC 地址)注 arp -s是用来手动绑定网络地址(IP)对应的物理地址(MAC)(3) 编写完以后,点击文件”一另存为”。注意,文件名一定耍是*. bat,点击保存就可以。(4) 将这个批处理文件拖到windows F始一程序一启动”中,最后重起电脑即可。5.2网管员采取的防范措施(1) 学会使用Sniffer抓包软件。ARP病毒最典型的现象就是网络时通时断,用 Sniffer抓包分析,会发现 有很多的ARP包。(2) 在全网部署安装ARP防火墙服务端及客户端软件(3) 使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的 第三层交换机。由于第三层交换技术用的是IP路由交换协议,以往的链路层的MAC地址和ARP协议失效,因而ARP欺骗攻击在这种交换环境下起不了作用。6、结束语ARP欺骗在相当长的时间内还会继续存在,ARP欺骗也在不断的发展和变化 中,希望广大网络管理员密切注意它,从而减少对我们网络的影响。参

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论