亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        機(jī)房防御ARP病毒攻擊的策略

        2011-06-17 04:59:10江芝蒙
        科技視界 2011年15期
        關(guān)鍵詞:局域網(wǎng)IP地址網(wǎng)關(guān)

        ■江芝蒙 侯 翔

        0 引言

        高校教學(xué)機(jī)房是學(xué)校計(jì)算機(jī)及相關(guān)課程實(shí)驗(yàn)教學(xué)、課程設(shè)計(jì)、畢業(yè)設(shè)計(jì)及學(xué)生自學(xué)計(jì)算機(jī)科學(xué)知識(shí)、提高計(jì)算機(jī)操作技能、應(yīng)用能力的主要場所,教師經(jīng)常會(huì)在計(jì)算機(jī)機(jī)房進(jìn)行授課,并且根據(jù)課程安排需要連接到INTERNET上進(jìn)行實(shí)際操作。但是很多時(shí)候經(jīng)常會(huì)出現(xiàn)一種情況:學(xué)生機(jī)不能夠連接網(wǎng)絡(luò),或者網(wǎng)絡(luò)時(shí)斷時(shí)續(xù),通過重啟路由器,網(wǎng)絡(luò)又恢復(fù)正常,但很快故障又發(fā)生了。究竟是什么原因?qū)е鲁霈F(xiàn)這種現(xiàn)象呢?作為一名機(jī)房的維護(hù)人員,筆者經(jīng)過反復(fù)研究和測試,發(fā)現(xiàn)這是典型的ARP攻擊,或者也稱為ARP病毒。下面對機(jī)房局域網(wǎng)的ARP病毒欺騙原理和防治方法作簡要分析研究。

        1 ARP病毒簡介

        ARP病毒并不是某一種病毒的名稱,而是對利用ARP協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。ARP協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議,用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成MAC地址。通常此類攻擊的手段有兩種:路由欺騙和網(wǎng)關(guān)欺騙。ARP病毒是一種入侵電腦的木馬病毒,對電腦用戶私密信息的威脅很大。

        ARP病毒傳播示意圖

        ARP(Address Resolution Protocol)的中文名稱為“地址解析協(xié)議”,它的運(yùn)行方式比較簡單,整個(gè)過程是由ARP請求(ARP Request)與 ARP應(yīng)答(ARP Reply)兩種信息包所組成。網(wǎng)絡(luò)常識(shí)告訴我們,數(shù)據(jù)鏈路層在傳遞信息包時(shí),必須利用數(shù)據(jù)鏈路層地址(例如:以太網(wǎng)卡的MAC地址)來識(shí)別目標(biāo)設(shè)備;網(wǎng)絡(luò)層在傳遞信息包時(shí),必須利用網(wǎng)絡(luò)層地址(例如:IP地址)來識(shí)別目標(biāo)設(shè)備。通俗來說,當(dāng)我們在網(wǎng)絡(luò)中利用IP地址傳遞信息包時(shí),必須要知道目標(biāo)的MAC地址,這項(xiàng)工作就由ARP完成。

        由于ARP的請求信息包為以太網(wǎng)廣播信息包,即ARP請求無法通過路由器傳送到其他網(wǎng)絡(luò)。因此,ARP僅能解析同一網(wǎng)絡(luò)內(nèi)的MAC地址,無法解析其他網(wǎng)絡(luò)的MAC地址。

        2 ARP病毒欺騙原理

        2.1 ARP病毒原理

        ARP病毒是一種木馬程序,其本質(zhì)就是利用ARP本身的漏洞進(jìn)行ARP欺騙,即通過偽造IP_MAC地址實(shí)現(xiàn)ARP欺騙,在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,或使信息流向錯(cuò)誤的服務(wù)器,從而使個(gè)人主機(jī)無法收到信息。

        2.2 ARP病毒的欺騙過程

        ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的用戶,也就是說它的假設(shè)前提是:局域網(wǎng)中任何一臺(tái)電腦,其發(fā)送的ARP數(shù)據(jù)包都是正確的。那么這樣就很危險(xiǎn)了!因?yàn)閷?shí)際上,局域網(wǎng)內(nèi)并非所有的計(jì)算機(jī)都能安分守己,往往會(huì)有非法者的存在。在實(shí)際操作中,由于局域網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)一般都為總線型,也就是說當(dāng)A主機(jī)發(fā)送廣播數(shù)據(jù)包時(shí),除了B主機(jī)以外,局域網(wǎng)內(nèi)的其他主機(jī)也會(huì)同時(shí)收到此數(shù)據(jù)包,只不過其他主機(jī)對該數(shù)據(jù)包進(jìn)行了屏蔽,不會(huì)作出回應(yīng)。但如果有一臺(tái)主機(jī)C主動(dòng)在B主機(jī)向A主機(jī)發(fā)回?cái)?shù)據(jù)包之前,搶先發(fā)回了數(shù)據(jù)包。由于協(xié)議中并沒有規(guī)定ARP緩存表對接收到的ARP數(shù)據(jù)包的正確與否進(jìn)行審查,這時(shí)A主機(jī)ARP緩存表中B主機(jī)的IP、MAC地址就被C主機(jī)的地址所假冒。從而導(dǎo)致A主機(jī)的數(shù)據(jù)包被發(fā)向C主機(jī),而B主機(jī)卻沒有接收到數(shù)據(jù)。

        通過以上分析可知,ARP工作的原理不需要通過雙方互相的驗(yàn)證,僅僅是建立在雙方互相信任的基礎(chǔ)上,另外映射關(guān)系不是持久的,是有存在時(shí)間的,而且不會(huì)去記憶是否曾經(jīng)發(fā)送過請求報(bào)文。因此ARP協(xié)議具有動(dòng)態(tài)性、無序性、無記憶性、無安全管理等特性,這也是ARP攻擊的基礎(chǔ)。

        2.3 ARP病毒的欺騙分類

        ARP欺騙的分類從影響網(wǎng)絡(luò)連接通暢的方式來看,可以分為二種:一種是對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙是通過截獲網(wǎng)關(guān)數(shù)據(jù)實(shí)現(xiàn)的。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無法通過更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常網(wǎng)內(nèi)主機(jī)無法收到信息。第二種ARP欺騙是通過偽造網(wǎng)關(guān)實(shí)現(xiàn)的。它的原理是建立假網(wǎng)關(guān),讓被欺騙的主機(jī)向假網(wǎng)關(guān)(其實(shí)是局域網(wǎng)內(nèi)一臺(tái)被感染ARP病毒的普通電腦)發(fā)送數(shù)據(jù),而不是通過正常的路由器途徑上網(wǎng)。由于假網(wǎng)關(guān)處理速度和本身不斷地在濫發(fā)廣播消息,相對網(wǎng)內(nèi)其他PC而言,該P(yáng)C是無法登陸網(wǎng)絡(luò)的了。

        2.4 ARP病毒的故障現(xiàn)象

        當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí),會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng),切換的時(shí)候用戶會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后,假如用戶已經(jīng)登陸了某些服務(wù)器,那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像,那么用戶就得重新登錄服務(wù)器,這樣病毒主機(jī)就可以盜號了。

        由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí),用戶會(huì)恢復(fù)從路由器上網(wǎng),切換過程中用戶會(huì)再斷一次線。

        3 ARP病毒的防御策略

        3.1 機(jī)房局域網(wǎng)可采用IP與MAC綁定

        在PC端上通過IP地址和MAC地址的綁定,在網(wǎng)絡(luò)交換設(shè)備上采用IP和MAC的端口綁定。而ARP欺騙是通過ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)計(jì)算機(jī),所以把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)計(jì)算機(jī)的欺騙,同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定,這樣的雙向綁定可以在一定程度上解決問題。

        防毒墻可以有效地保護(hù)企業(yè)網(wǎng)絡(luò)免遭ARP病毒的襲擊

        但是這兩種方法也不能完全杜絕ARP欺騙,內(nèi)網(wǎng)計(jì)算機(jī)上所設(shè)置的靜態(tài)ARP項(xiàng)還是會(huì)被ARP欺騙所改變。而網(wǎng)絡(luò)設(shè)備上只作IP和MAC地址的綁定,也是不安全的。假如同一層下的某臺(tái)機(jī)器發(fā)送偽造的ARP reply給網(wǎng)關(guān),但是源IP和源MAC地址都是欲攻擊的那臺(tái)主機(jī)的,還是會(huì)造成網(wǎng)絡(luò)把流量送到欺騙者所連的那個(gè)物理端口,從而造成網(wǎng)絡(luò)故障。

        3.2 采用Super Vlan或Pvlan技術(shù)

        Super VLAN也被叫做VLAN聚合,這種技術(shù)能夠在同一個(gè)子網(wǎng)中生成出多個(gè)Sub VLAN,而將整個(gè)IP子網(wǎng)指定為一個(gè)VLAN聚合 (Super VLAN),所有的Sub VLAN都使用Super VLAN的默認(rèn)網(wǎng)關(guān)IP地址,不同的Sub VLAN仍保留各自獨(dú)立的廣播域。子網(wǎng)中的所有主機(jī)只能與自己的默認(rèn)網(wǎng)關(guān)通信。如果將交換機(jī)的每個(gè)端口化為一個(gè) Sub VLAN,則實(shí)現(xiàn)了所有端口的隔離,也就避免了ARP欺騙。PVLAN 即私有 VLAN(Private VLAN),PVLAN 采用兩層VLAN隔離技術(shù),只有上層 VLAN全局可見,下層VLAN相互隔離。如果將交換機(jī)的每個(gè)端口劃分成為一個(gè)子VLAN,就能夠?qū)崿F(xiàn)所有端口之間的隔離。

        PVLAN和Super VLAN技術(shù)都能夠?qū)崿F(xiàn)端口之間的隔離,但實(shí)現(xiàn)的方式和出發(fā)點(diǎn)是不同的。PVLAN是為了節(jié)省VLAN,而Super Vlan則是為了節(jié)省IP地址。

        3.3 使用軟件

        對于計(jì)算機(jī)不是很熟悉的老師和同學(xué),最好使用軟件來解決ARP中毒問題。推薦使用ARP防火墻和ARP衛(wèi)士。ARP防火墻是基于IP地址和MAC地址的綁定,使用簡單,適用于普通的ARP欺騙。如果用ARP防火墻依然不能解決問題的話,也可以使用ARP衛(wèi)士,ARP衛(wèi)士通過底層核心驅(qū)動(dòng)能很好解決ARP欺騙、攻擊問題。

        4 結(jié)語

        計(jì)算機(jī)病毒技術(shù)和反病毒技術(shù)都是呈現(xiàn)螺旋式發(fā)展的趨勢,互為促進(jìn)。沒有任何一種反病毒技術(shù)手段可以使我們高枕無憂,而技術(shù)手段也僅僅只是一種方法。在對付計(jì)算機(jī)病毒最根本的方法仍然是預(yù)防為主,這就要靠一套行之有效的、嚴(yán)格的法律、法規(guī)和章程制度及措施來保障,其核心是人,要使用計(jì)算機(jī)文化來約束自己的行為,不要使用、傳播非法的、來歷不明的軟件。

        [1]閆實(shí)等.高校校園ARP病毒欺騙原理及防御方法[J].網(wǎng)絡(luò)安全技術(shù)與用,2010,06:48,73.

        [2]李振強(qiáng).談構(gòu)建完善的校園網(wǎng)防范ARP攻擊[J].硅谷,2010,7:65.

        [3]于佳.淺談ARP欺騙原理與防范[J].中國校外教育,2010,10:163.

        [4]王玉偉,沈國梁.淺議校園網(wǎng)中ARP攻擊及其防護(hù)措施[J].科技信息,2010,17:60.

        [5]方向麗.淺談局域網(wǎng)的ARP病毒攻擊和防范[J].網(wǎng)絡(luò)與信息,2010,2:52-53.

        猜你喜歡
        局域網(wǎng)IP地址網(wǎng)關(guān)
        基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計(jì)
        鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
        基于VPN的機(jī)房局域網(wǎng)遠(yuǎn)程控制系統(tǒng)
        電子制作(2019年16期)2019-09-27 09:35:04
        基于802.1Q協(xié)議的虛擬局域網(wǎng)技術(shù)研究與實(shí)現(xiàn)
        電子制作(2017年17期)2017-12-18 06:40:48
        局域網(wǎng)性能的優(yōu)化
        電子制作(2017年8期)2017-06-05 09:36:15
        基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
        黑龍江電力(2017年1期)2017-05-17 04:25:16
        LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
        應(yīng)對氣候變化需要打通“網(wǎng)關(guān)”
        太陽能(2015年7期)2015-04-12 06:49:50
        一種實(shí)時(shí)高效的伺服控制網(wǎng)關(guān)設(shè)計(jì)
        用統(tǒng)一身份認(rèn)證解決IP地址的盜用
        日韩毛片在线看| 国产精品一区二区三区自拍| 国产精品亚洲精品日韩已方| 国产又a又黄又潮娇喘视频| 中文幕无线码中文字蜜桃| 国产精品女同学| 日韩中文字幕久久久老色批| 亚洲av无码国产精品色午夜字幕 | 在线视频中文字幕一区二区三区| 成人中文乱幕日产无线码| 国内老熟妇对白xxxxhd| 一区二区三区放荡人妻| 日本午夜伦理享色视频| 妺妺窝人体色777777| 国产成人无码一区二区在线观看 | 日韩www视频| 国产av乳头久久一区| 成人大片免费观看视频| 看黄a大片日本真人视频直播| 久久这里只精品国产99热| 国产内射视频免费观看| 免费国产自拍在线观看| 亚洲乱码中文字幕综合| 国产日韩欧美911在线观看| 日本久久视频在线观看| 五月av综合av国产av| 国产精品久久无码一区二区三区网 | 夫妇交换性三中文字幕| 精品88久久久久88久久久| 亚洲一区二区三区成人在线| 漂亮人妻被强了完整版| 亚洲精品午睡沙发系列| 久久久一本精品99久久| 亚洲乱码av一区二区蜜桃av| 高清偷自拍亚洲精品三区 | 久久dvd| 精品极品一区二区三区| 久久精品国产亚洲av电影网| 亚洲国产成人无码影院| 久久精品久久精品中文字幕| 国产免费又爽又色又粗视频 |