校园网内对ARP攻击的处理及防御

2010-10-27 01:02叶倩文三水区工业中专
中国科技信息 2010年3期
关键词:IP地址局域网校园网

叶倩文 三水区工业中专

校园网内对ARP攻击的处理及防御

叶倩文 三水区工业中专

在校园局域网上,我们需要使用ARP协议来进行IP地址和MAC地址进行转换。但近年来网络上出现了大量的木马程序,通过伪造IP地址和MAC地址可实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络速度减慢甚至中断。这种行为我们称之为ARP攻击,这种非法的攻击对网络的安全造成了严重威胁。本文对于ARP攻击给出了有效的处理及防御方法。

校园网;局域网;MAC地址;ARP攻击

近几年,在我校校园网内,我们经常会受到各种攻击,最常见的是ARP攻击。ARP是一个协议,作用是用于把IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。现在网络上有很多木马程序,能够通过伪造IP地址和MAC地址以实现ARP欺骗,它能够在网络中产生大量的ARP通信量使网络阻塞。攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络速度减慢甚至中断。因此,如何防范ARP攻击,以及对攻击进行有效的处理,是近几年来网络安全方面的一个热门话题。

根据我们学校校园网的具体情况,我在这里谈一下ARP攻击的特征以及如何处理、预防攻击事件的一些方法与心得。

一、症状和危害

如果局域网受到arp攻击,则网速变得非常慢,甚至无法上网,如果主机装有防火墙,则防火墙会不停提示受到了arp攻击。这是因为,arp攻击会占用大量的交换机带宽,从而严重影响网络的正常运行,因为这种攻击是采用木马程序进行入侵的,所以,这种攻击甚至能套取我们帐号、密码,对我们造成不可弥补的损失。

二、故障定位和处理方法

首先,我们需要在交换机处于正常工作的时候,定期收集网内各计算机的MAC地址,便于在攻击事件发生时进行故障定位。并用dis arp port-number(华为交换机上使用)命令定期查看网络上IP与MAC地址的对应关系,如果发现多台主机对应同一个MAC地址,则表明网络很有可能受到ARP攻击(在明确网内没有主机随意改动过MAC的情况下)。

从上面数据可见,病毒源应该是0011-5b9a-4583这个MAC地址对应的计算机,我们就可以在交换机上把该MAC地址对应的计算机所在端口关闭掉,并对下一级进行排查。

还有一个规律就是,当我们使用dis arp port-number列表以后,病毒机向交换机发出的请求往往是最频繁的,一般都是列在最后行。通过观察这个最后行,我们可以发现,别人的IP和MAC都是随时间往上移动的,获取时间周期是逐步缩短,而这个病毒机,要是你设置的老化时间是20分钟查询一次,它永远都是排最后,老化时间永远都还剩余20分钟。

如果网内计算机上安装了360ARP防火墙,那更好办,在受到攻击时,主机上会有拦截提示,但注意,现在的木马不是直接就显示出中毒机的MAC地址,而是伪装交换机网关地址进行欺骗攻击,你用360查的时候可以采用“追踪攻击源IP”,这个时候查到的MAC地址才是真正的中毒机MAC地址。如图1所示。

而一般情况下,判别一台主机是否成为了病毒源,有一个很简单的判别方法,在交换机上,我们通过观察该主机所连接的端口,指示灯会闪烁得很厉害,这也是作为判断的主要依据之一。

找到问题机器后要立即对其进行断网,杀毒,杀木马。

三、预防措施

当然,我们不能一味被动地在攻击发生后才进行处理,我们还需要进行一定的预防措施,在这里,我们可以通过在交换机上把IP地址与MAC地址进行绑定来解决。方法如下:

图1

这是一种全局的捆绑,不管下面调到什么端口都是有效的,当然,这样做也只是一种被动的做法,如果客户端换网卡了,或者是改IP了,那必须重新绑定。

而且,捆绑后能有效防止攻击的前提是,局域网内没有ARP病毒源,交换机还没有受到ARP攻击,但是,如果网络内已经存在病毒源了,那么,ARP攻击仍然会存在,它虽然改变不了局域网内其他主机的MAC地址,但是ARP攻击仍然会占用交换机大量资源,令交换机不能正常工作,甚至down掉。所以,最好的办法还是从源头上解决病毒源,硬件方面,可以加装具有防止ARP攻击或者是异常流量控制的防火墙;软件方面,就是加强防毒杀毒意识,例如,主机上安装ARP防火墙和杀毒软件,并及时进行升级。

我们还需要在平常加强对客户机的管理,在局域网上出公告,说明ARP攻击的危害性,建议用户不要上黄色网站、个人网站,或是那些骗子网站,也不要随便安装来历不明的软件,特别是一些个人网站下载的软件,安装前最好查毒。而给各用户在客户机上安装一个ARP防火墙是最有效的预防方法。

四、总结

ARP攻击造成的影响是整个网络的问题,而不是仅仅凭个人在主机上处理一下就可以解决的,最重要的是网络管理员需要加强网络安全意识,管理好交换机,及时做好安全防备措施,在发现问题后能及时进行有效的处理。

[1] 雷震甲.网络工程师.清华大学出版社.2009-8-1

[2] 崔北亮,杨小健.针对校园网中ARP攻击的防御.南京工业大学学报(自然科学版).2007年05期

猜你喜欢
IP地址局域网校园网
数字化校园网建设及运行的几点思考
轨道交通车-地通信无线局域网技术应用
铁路远动系统几种组网方式IP地址的申请和设置
基于VPN的机房局域网远程控制系统
试论最大匹配算法在校园网信息提取中的应用
基于VRRP和MSTP协议实现校园网高可靠性
基于802.1Q协议的虚拟局域网技术研究与实现
局域网性能的优化
NAT技术在校园网中的应用
公安网络中IP地址智能管理的研究与思考