亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        校園網(wǎng)中ARP攻擊的防治

        2008-12-04 02:36:00陳科武
        關(guān)鍵詞:校園網(wǎng)防治

        陳科武

        摘要:近年來(lái)各種形式的ARP攻擊層出不窮,出現(xiàn)在校園網(wǎng)絡(luò)中的ARP攻擊往往導(dǎo)致網(wǎng)絡(luò)中斷,嚴(yán)重影響學(xué)校各項(xiàng)工作的正常開(kāi)展。本文闡述和分析了ARP協(xié)議的工作原理及缺陷、常見(jiàn)的ARP攻擊方式及防治策略。

        關(guān)鍵詞:ARP攻擊;校園網(wǎng);防治

        中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1673-8454(2008)22-0078-02

        近年來(lái),許多校園網(wǎng)絡(luò)陸續(xù)出現(xiàn)內(nèi)網(wǎng)的電腦訪問(wèn)互聯(lián)網(wǎng)時(shí)斷時(shí)續(xù),甚至整個(gè)網(wǎng)絡(luò)完全中斷的現(xiàn)象。究其原因,多數(shù)是因?yàn)榫W(wǎng)內(nèi)電腦上網(wǎng)時(shí)不慎感染ARP病毒或木馬,并在校園網(wǎng)內(nèi)傳播引起的。本文從ARP協(xié)議的工作原理及缺陷入手,深入分析了ARP的原理,并提出了行之有效的防治措施。

        一、ARP協(xié)議的工作原理及缺陷

        ARP全稱(chēng)為Address Resolution Protocol,即地址解析協(xié)議。它在TCP/IP協(xié)議棧中屬于較低層的協(xié)議,負(fù)責(zé)將IP地址解析成對(duì)應(yīng)的MAC地址。當(dāng)以太網(wǎng)中兩臺(tái)主機(jī)通信時(shí),主機(jī)A首先檢查自己的ARP緩存中有沒(méi)有主機(jī)B的MAC地址,如果有則將主機(jī)B的IP地址映射到相應(yīng)的MAC地址,協(xié)議棧將IP包封裝到以太網(wǎng)幀中進(jìn)行傳送。如果沒(méi)有,主機(jī)A會(huì)發(fā)送一個(gè)ARP請(qǐng)求廣播包,當(dāng)主機(jī)B收到此廣播后,會(huì)發(fā)出ARP響應(yīng)包,將自己的MAC地址傳給主機(jī)A,同時(shí)主機(jī)B將主機(jī)A的IP地址/MAC地址添加到自己的ARP緩存中,以供后面使用。主機(jī)A收到主機(jī)B的ARP響應(yīng)包后,將更新自己的ARP緩存,并開(kāi)始通信。

        ARP協(xié)議作為一個(gè)局域網(wǎng)協(xié)議,它是建立在各主機(jī)之間相互信任的基礎(chǔ)上的,存在嚴(yán)重的安全隱患。正常情況下主機(jī)的ARP緩存生存期有限,例如Windows系統(tǒng)默認(rèn)存活2分鐘,在路由器中默認(rèn)存活4小時(shí),惡意用戶(hù)只要在下一次通信前成功地修改被欺騙機(jī)器上的ARP緩存,就可以進(jìn)行ARP欺騙。由于ARP協(xié)議是無(wú)狀態(tài)的,攻擊者可以隨心所欲地發(fā)送ARP響應(yīng)包,收到ARP響應(yīng)包的主機(jī)即使沒(méi)有發(fā)送過(guò)ARP請(qǐng)求廣播包也將無(wú)條件地利用響應(yīng)包更新自己的ARP緩存,從而受騙。

        二、常見(jiàn)ARP攻擊

        常見(jiàn)的ARP攻擊主要包括網(wǎng)關(guān)劫持和雙向的ARP欺騙。

        圖1 自動(dòng)批處理文件示例

        網(wǎng)關(guān)劫持是指攻擊主機(jī)仿冒網(wǎng)關(guān)發(fā)出ARP響應(yīng)包,誘騙其它客戶(hù)機(jī)以為攻擊主機(jī)是網(wǎng)關(guān),從而找不到真正的網(wǎng)關(guān)而無(wú)法上網(wǎng)。這種攻擊最常見(jiàn)的是校園網(wǎng)中某一臺(tái)電腦中了ARP病毒,導(dǎo)致整個(gè)網(wǎng)絡(luò)或者中毒電腦所在的網(wǎng)段不能上網(wǎng),如果病毒在校園網(wǎng)中迅速擴(kuò)散,大量的中毒電腦不斷發(fā)送ARP廣播包還可能導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷。

        正常情況下校園網(wǎng)中兩臺(tái)主機(jī)A和B是直接通信的,如果攻擊主機(jī)C在主機(jī)A面前通過(guò)ARP欺騙仿冒成主機(jī)B,同時(shí)又在主機(jī)B面前仿冒成主機(jī)A,那么攻擊主機(jī)C可以成為主機(jī)A和B之間的信息交流的中轉(zhuǎn)站,在主機(jī)A和B都不知情的情況下竊取他們交流的信息,這是一種典型的黑客行為,嚴(yán)重影響信息安全。

        三、ARP攻擊的防治策略

        有效防治ARP攻擊,可以分別從客戶(hù)端和服務(wù)端兩方面著手。

        1.客戶(hù)端ARP攻擊防治

        (1)靜態(tài)綁定法,針對(duì)網(wǎng)關(guān)劫持的ARP攻擊,可以使用以下命令:“arp –s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址 ”,在客戶(hù)端電腦手工綁定網(wǎng)關(guān)的IP地址和MAC地址。為了避免每次開(kāi)機(jī)都要進(jìn)行重復(fù)操作,建立以下批處理文件(以我校校園網(wǎng)為例配置,下同),并將該批處理文件設(shè)成隨機(jī)自動(dòng)啟動(dòng)即可。

        (2)使用工具軟件法,常見(jiàn)的工具軟件有AntiArp,360ARP防火墻等等。以360ARP防火墻為例,可以在安全360軟件界面中點(diǎn)擊打開(kāi)“保護(hù)-局域網(wǎng)ARP攻擊攔截-ARP攔截高級(jí)設(shè)置-綜合設(shè)置-添加保護(hù)網(wǎng)關(guān)IP/MAC”,將網(wǎng)關(guān)的IP地址和MAC地址輸入后確定退出即可。

        2.服務(wù)端ARP攻擊防治

        圖2 360ARP防火墻配置

        圖3 網(wǎng)關(guān)ARP強(qiáng)制廣播配置

        (1)交換機(jī)端口綁定,如果校園網(wǎng)使用Cisco、華為、3COM等品牌的中高端交換機(jī),可以每臺(tái)交換機(jī)設(shè)置IP地址和MAC地址綁定以及MAC地址與交換機(jī)端口的綁定,此方法可以有效地預(yù)防ARP攻擊和IP地址欺騙,但是配置繁瑣且靈活性差,適合較小型、少變化的校園網(wǎng)絡(luò)。

        (2)配置VLAN,VLAN可以有效地隔離廣播報(bào)文,大大減少ARP病毒的傳播范圍和傳播速度,同時(shí)也減輕了交換機(jī)的流量負(fù)荷,減少?gòu)V播風(fēng)暴出現(xiàn)的幾率。

        (3)網(wǎng)關(guān)ARP強(qiáng)制廣播技術(shù),針對(duì)ARP攻擊中最常見(jiàn)的網(wǎng)關(guān)劫持,可以命令網(wǎng)關(guān)設(shè)備不斷強(qiáng)制廣播正確的ARP報(bào)文,壓制ARP攻擊。由于現(xiàn)在局域網(wǎng)中ARP病毒的泛濫,許多廠家的網(wǎng)關(guān)設(shè)備中增加了ARP強(qiáng)制廣播功能。如圖2以我校路由器為例,可以激活路由器中“防止ARP病毒攻擊”功能,并將“每秒發(fā)送”設(shè)為1~5筆。值得注意的是如果“每秒發(fā)送”設(shè)置值過(guò)高,有可能加重整個(gè)校園網(wǎng)的負(fù)荷,造成相反的效果。

        (4)設(shè)備廠商開(kāi)發(fā)的專(zhuān)利偵測(cè)技術(shù),許多網(wǎng)絡(luò)設(shè)備廠商開(kāi)發(fā)了針對(duì)ARP攻擊的專(zhuān)利技術(shù),以CISCO公司為例,它開(kāi)發(fā)的動(dòng)態(tài)ARP報(bào)文檢測(cè)技術(shù)(DAI,Dynamic Arp Inspection)的基本原理是利用 DHCP Snooping Bind表判斷ARP欺騙,并丟棄欺騙報(bào)文,屏蔽相應(yīng)的交換機(jī)端口,同時(shí)生成報(bào)警日志。

        四、結(jié)束語(yǔ)

        由于ARP協(xié)議的先天缺陷,要根治ARP攻擊,不僅需要校園網(wǎng)管理者的努力,也需要校園網(wǎng)內(nèi)每一個(gè)用戶(hù)的配合,才能將ARP攻擊對(duì)校園網(wǎng)的影響減小到最低的程度。

        參考文獻(xiàn):

        [1]Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)(第3版)[M].北京:清華大學(xué)出版社.

        [2]Joseph Davis,Thomas Lee.Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference[M].

        北京:清華大學(xué)出版社.

        [3]Liam B Quinn,Richard G.Russell.快速以太網(wǎng)[M].北京:人民郵電出版社.

        [4]劉洪濤.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用[J].襄樊職業(yè)技術(shù)學(xué)院學(xué)報(bào),2008,(5).

        [5]陳義陸等.八方會(huì)診ARP[J].中國(guó)教育網(wǎng)絡(luò),2007,(12).

        [6]蔡宏澤.校園網(wǎng)防病毒策略研究與實(shí)現(xiàn)[J].中國(guó)科技信息,2007,(15).

        [7]張道軍,吳銀芳.校園網(wǎng)絡(luò)中ARP病毒的綜合治理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(9).

        [8]步山岳,沈益彬.校園網(wǎng)漏洞檢測(cè)與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(2).

        [9]孔祥翠等.校園局域網(wǎng)防ARP病毒的研究和解決[J].計(jì)算機(jī)安全,2008,(4).

        猜你喜歡
        校園網(wǎng)防治
        數(shù)字化校園網(wǎng)建設(shè)及運(yùn)行的幾點(diǎn)思考
        甘肅教育(2020年18期)2020-10-28 09:05:54
        試論最大匹配算法在校園網(wǎng)信息提取中的應(yīng)用
        電子制作(2019年10期)2019-06-17 11:45:26
        基于VRRP和MSTP協(xié)議實(shí)現(xiàn)校園網(wǎng)高可靠性
        NAT技術(shù)在校園網(wǎng)中的應(yīng)用
        電子制作(2017年8期)2017-06-05 09:36:15
        牛有機(jī)磷中毒的診療與防治
        淺談豬喘氣病的病因、診斷及防治
        論述循環(huán)流化床鍋爐爐膛受熱面磨損及防治技術(shù)
        無(wú)公害農(nóng)藥在防治蔬菜粉虱中的應(yīng)用
        蘋(píng)果樹(shù)常見(jiàn)病蟲(chóng)害防治技術(shù)
        公路橋梁常見(jiàn)病害原因分析及防治
        科技視界(2016年20期)2016-09-29 13:08:21
        免费日本一区二区三区视频| 亚洲成AV人片在一线观看| 精品人妻中文字幕一区二区三区 | 亚洲国产中文字幕九色| 色吧噜噜一区二区三区| 亚洲av福利无码无一区二区| 爱我久久国产精品| 日本一区二区三区的免费视频观看| 久久久精品人妻一区二区三区游戏| 欧美人与禽z0zo牲伦交| 66lu国产在线观看| 亚洲乱精品中文字字幕| 日本不卡视频一区二区三区| 亚洲人成网网址在线看| 宝贝把腿张开我要添你下边动态图 | 亚洲国产精品成人一区| 成人女同av在线观看网站| 国产二级一片内射视频插放| 国产成人无码A区在线观| 国产一区二区三区在线观看免费版 | 亚洲一区二区三区av无码| 日韩精品大片在线观看| 日韩熟女一区二区三区| 美女在线一区二区三区视频| 亚洲国产精品va在线看黑人| 伊人色综合久久天天人手人停| 美女被插到高潮嗷嗷叫| 熟妇高潮一区二区三区在线观看 | 日韩美女av二区三区四区| 蜜臀av一区二区三区久久| 9 9久热re在线精品视频| 2021国产精品视频| 白色白色在线视频播放平台| 国精产品一区一区三区| 国产在线精品一区二区| 99在线国产视频| 手机在线观看av资源| 内射爽无广熟女亚洲| 亚洲AV一二三四区四色婷婷| 青青视频在线播放免费的| 国产精品区一区二区三在线播放 |