亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        機房防御ARP病毒攻擊的策略

        2011-06-17 04:59:10江芝蒙
        科技視界 2011年15期
        關(guān)鍵詞:局域網(wǎng)IP地址網(wǎng)關(guān)

        ■江芝蒙 侯 翔

        0 引言

        高校教學(xué)機房是學(xué)校計算機及相關(guān)課程實驗教學(xué)、課程設(shè)計、畢業(yè)設(shè)計及學(xué)生自學(xué)計算機科學(xué)知識、提高計算機操作技能、應(yīng)用能力的主要場所,教師經(jīng)常會在計算機機房進行授課,并且根據(jù)課程安排需要連接到INTERNET上進行實際操作。但是很多時候經(jīng)常會出現(xiàn)一種情況:學(xué)生機不能夠連接網(wǎng)絡(luò),或者網(wǎng)絡(luò)時斷時續(xù),通過重啟路由器,網(wǎng)絡(luò)又恢復(fù)正常,但很快故障又發(fā)生了。究竟是什么原因?qū)е鲁霈F(xiàn)這種現(xiàn)象呢?作為一名機房的維護人員,筆者經(jīng)過反復(fù)研究和測試,發(fā)現(xiàn)這是典型的ARP攻擊,或者也稱為ARP病毒。下面對機房局域網(wǎng)的ARP病毒欺騙原理和防治方法作簡要分析研究。

        1 ARP病毒簡介

        ARP病毒并不是某一種病毒的名稱,而是對利用ARP協(xié)議的漏洞進行傳播的一類病毒的總稱。ARP協(xié)議是TCP/IP協(xié)議組的一個協(xié)議,用于進行把網(wǎng)絡(luò)地址翻譯成MAC地址。通常此類攻擊的手段有兩種:路由欺騙和網(wǎng)關(guān)欺騙。ARP病毒是一種入侵電腦的木馬病毒,對電腦用戶私密信息的威脅很大。

        ARP病毒傳播示意圖

        ARP(Address Resolution Protocol)的中文名稱為“地址解析協(xié)議”,它的運行方式比較簡單,整個過程是由ARP請求(ARP Request)與 ARP應(yīng)答(ARP Reply)兩種信息包所組成。網(wǎng)絡(luò)常識告訴我們,數(shù)據(jù)鏈路層在傳遞信息包時,必須利用數(shù)據(jù)鏈路層地址(例如:以太網(wǎng)卡的MAC地址)來識別目標設(shè)備;網(wǎng)絡(luò)層在傳遞信息包時,必須利用網(wǎng)絡(luò)層地址(例如:IP地址)來識別目標設(shè)備。通俗來說,當我們在網(wǎng)絡(luò)中利用IP地址傳遞信息包時,必須要知道目標的MAC地址,這項工作就由ARP完成。

        由于ARP的請求信息包為以太網(wǎng)廣播信息包,即ARP請求無法通過路由器傳送到其他網(wǎng)絡(luò)。因此,ARP僅能解析同一網(wǎng)絡(luò)內(nèi)的MAC地址,無法解析其他網(wǎng)絡(luò)的MAC地址。

        2 ARP病毒欺騙原理

        2.1 ARP病毒原理

        ARP病毒是一種木馬程序,其本質(zhì)就是利用ARP本身的漏洞進行ARP欺騙,即通過偽造IP_MAC地址實現(xiàn)ARP欺騙,在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,或使信息流向錯誤的服務(wù)器,從而使個人主機無法收到信息。

        2.2 ARP病毒的欺騙過程

        ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的用戶,也就是說它的假設(shè)前提是:局域網(wǎng)中任何一臺電腦,其發(fā)送的ARP數(shù)據(jù)包都是正確的。那么這樣就很危險了!因為實際上,局域網(wǎng)內(nèi)并非所有的計算機都能安分守己,往往會有非法者的存在。在實際操作中,由于局域網(wǎng)內(nèi)部的拓撲結(jié)構(gòu)一般都為總線型,也就是說當A主機發(fā)送廣播數(shù)據(jù)包時,除了B主機以外,局域網(wǎng)內(nèi)的其他主機也會同時收到此數(shù)據(jù)包,只不過其他主機對該數(shù)據(jù)包進行了屏蔽,不會作出回應(yīng)。但如果有一臺主機C主動在B主機向A主機發(fā)回數(shù)據(jù)包之前,搶先發(fā)回了數(shù)據(jù)包。由于協(xié)議中并沒有規(guī)定ARP緩存表對接收到的ARP數(shù)據(jù)包的正確與否進行審查,這時A主機ARP緩存表中B主機的IP、MAC地址就被C主機的地址所假冒。從而導(dǎo)致A主機的數(shù)據(jù)包被發(fā)向C主機,而B主機卻沒有接收到數(shù)據(jù)。

        通過以上分析可知,ARP工作的原理不需要通過雙方互相的驗證,僅僅是建立在雙方互相信任的基礎(chǔ)上,另外映射關(guān)系不是持久的,是有存在時間的,而且不會去記憶是否曾經(jīng)發(fā)送過請求報文。因此ARP協(xié)議具有動態(tài)性、無序性、無記憶性、無安全管理等特性,這也是ARP攻擊的基礎(chǔ)。

        2.3 ARP病毒的欺騙分類

        ARP欺騙的分類從影響網(wǎng)絡(luò)連接通暢的方式來看,可以分為二種:一種是對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙是通過截獲網(wǎng)關(guān)數(shù)據(jù)實現(xiàn)的。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址,造成正常網(wǎng)內(nèi)主機無法收到信息。第二種ARP欺騙是通過偽造網(wǎng)關(guān)實現(xiàn)的。它的原理是建立假網(wǎng)關(guān),讓被欺騙的主機向假網(wǎng)關(guān)(其實是局域網(wǎng)內(nèi)一臺被感染ARP病毒的普通電腦)發(fā)送數(shù)據(jù),而不是通過正常的路由器途徑上網(wǎng)。由于假網(wǎng)關(guān)處理速度和本身不斷地在濫發(fā)廣播消息,相對網(wǎng)內(nèi)其他PC而言,該PC是無法登陸網(wǎng)絡(luò)的了。

        2.4 ARP病毒的故障現(xiàn)象

        當局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網(wǎng)內(nèi)所有主機和路由器,讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng),切換的時候用戶會斷一次線。切換到病毒主機上網(wǎng)后,假如用戶已經(jīng)登陸了某些服務(wù)器,那么病毒主機就會經(jīng)常偽造斷線的假像,那么用戶就得重新登錄服務(wù)器,這樣病毒主機就可以盜號了。

        由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶會感覺上網(wǎng)速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復(fù)從路由器上網(wǎng),切換過程中用戶會再斷一次線。

        3 ARP病毒的防御策略

        3.1 機房局域網(wǎng)可采用IP與MAC綁定

        在PC端上通過IP地址和MAC地址的綁定,在網(wǎng)絡(luò)交換設(shè)備上采用IP和MAC的端口綁定。而ARP欺騙是通過ARP的動態(tài)實時的規(guī)則欺騙內(nèi)網(wǎng)計算機,所以把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)計算機的欺騙,同時在網(wǎng)關(guān)也要進行IP和MAC的靜態(tài)綁定,這樣的雙向綁定可以在一定程度上解決問題。

        防毒墻可以有效地保護企業(yè)網(wǎng)絡(luò)免遭ARP病毒的襲擊

        但是這兩種方法也不能完全杜絕ARP欺騙,內(nèi)網(wǎng)計算機上所設(shè)置的靜態(tài)ARP項還是會被ARP欺騙所改變。而網(wǎng)絡(luò)設(shè)備上只作IP和MAC地址的綁定,也是不安全的。假如同一層下的某臺機器發(fā)送偽造的ARP reply給網(wǎng)關(guān),但是源IP和源MAC地址都是欲攻擊的那臺主機的,還是會造成網(wǎng)絡(luò)把流量送到欺騙者所連的那個物理端口,從而造成網(wǎng)絡(luò)故障。

        3.2 采用Super Vlan或Pvlan技術(shù)

        Super VLAN也被叫做VLAN聚合,這種技術(shù)能夠在同一個子網(wǎng)中生成出多個Sub VLAN,而將整個IP子網(wǎng)指定為一個VLAN聚合 (Super VLAN),所有的Sub VLAN都使用Super VLAN的默認網(wǎng)關(guān)IP地址,不同的Sub VLAN仍保留各自獨立的廣播域。子網(wǎng)中的所有主機只能與自己的默認網(wǎng)關(guān)通信。如果將交換機的每個端口化為一個 Sub VLAN,則實現(xiàn)了所有端口的隔離,也就避免了ARP欺騙。PVLAN 即私有 VLAN(Private VLAN),PVLAN 采用兩層VLAN隔離技術(shù),只有上層 VLAN全局可見,下層VLAN相互隔離。如果將交換機的每個端口劃分成為一個子VLAN,就能夠?qū)崿F(xiàn)所有端口之間的隔離。

        PVLAN和Super VLAN技術(shù)都能夠?qū)崿F(xiàn)端口之間的隔離,但實現(xiàn)的方式和出發(fā)點是不同的。PVLAN是為了節(jié)省VLAN,而Super Vlan則是為了節(jié)省IP地址。

        3.3 使用軟件

        對于計算機不是很熟悉的老師和同學(xué),最好使用軟件來解決ARP中毒問題。推薦使用ARP防火墻和ARP衛(wèi)士。ARP防火墻是基于IP地址和MAC地址的綁定,使用簡單,適用于普通的ARP欺騙。如果用ARP防火墻依然不能解決問題的話,也可以使用ARP衛(wèi)士,ARP衛(wèi)士通過底層核心驅(qū)動能很好解決ARP欺騙、攻擊問題。

        4 結(jié)語

        計算機病毒技術(shù)和反病毒技術(shù)都是呈現(xiàn)螺旋式發(fā)展的趨勢,互為促進。沒有任何一種反病毒技術(shù)手段可以使我們高枕無憂,而技術(shù)手段也僅僅只是一種方法。在對付計算機病毒最根本的方法仍然是預(yù)防為主,這就要靠一套行之有效的、嚴格的法律、法規(guī)和章程制度及措施來保障,其核心是人,要使用計算機文化來約束自己的行為,不要使用、傳播非法的、來歷不明的軟件。

        [1]閆實等.高校校園ARP病毒欺騙原理及防御方法[J].網(wǎng)絡(luò)安全技術(shù)與用,2010,06:48,73.

        [2]李振強.談構(gòu)建完善的校園網(wǎng)防范ARP攻擊[J].硅谷,2010,7:65.

        [3]于佳.淺談ARP欺騙原理與防范[J].中國校外教育,2010,10:163.

        [4]王玉偉,沈國梁.淺議校園網(wǎng)中ARP攻擊及其防護措施[J].科技信息,2010,17:60.

        [5]方向麗.淺談局域網(wǎng)的ARP病毒攻擊和防范[J].網(wǎng)絡(luò)與信息,2010,2:52-53.

        猜你喜歡
        局域網(wǎng)IP地址網(wǎng)關(guān)
        基于改進RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計
        鐵路遠動系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
        基于VPN的機房局域網(wǎng)遠程控制系統(tǒng)
        電子制作(2019年16期)2019-09-27 09:35:04
        基于802.1Q協(xié)議的虛擬局域網(wǎng)技術(shù)研究與實現(xiàn)
        電子制作(2017年17期)2017-12-18 06:40:48
        局域網(wǎng)性能的優(yōu)化
        電子制作(2017年8期)2017-06-05 09:36:15
        基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
        黑龍江電力(2017年1期)2017-05-17 04:25:16
        LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
        移動通信(2015年18期)2015-08-24 07:45:08
        應(yīng)對氣候變化需要打通“網(wǎng)關(guān)”
        太陽能(2015年7期)2015-04-12 06:49:50
        一種實時高效的伺服控制網(wǎng)關(guān)設(shè)計
        用統(tǒng)一身份認證解決IP地址的盜用
        亚洲天堂av大片暖暖| 国产福利姬喷水福利在线观看| 国产亚洲精品看片在线观看| 国产免费一区二区av| 中文字幕一区二区三区日日骚| 无码爆乳护士让我爽| 国产精品成人99一区无码| 日韩在线观看网址| 超碰青青草手机在线免费观看| 新婚少妇无套内谢国语播放| 国产精一品亚洲二区在线播放| 毛片毛片免费看| 亚洲中文字幕高清乱码毛片| 美利坚日韩av手机在线| 大肉大捧一进一出好爽视频| 亚洲伊人久久一次| 日韩成精品视频在线观看| av日韩一区二区三区四区| 丰满人妻熟妇乱又伦精品软件| 日韩爱爱网站| 在线视频一区二区三区中文字幕| 日本最新一区二区三区在线视频 | 久久精品波多野结衣中文字幕| 亚洲愉拍自拍视频一区| 美女主播网红视频福利一区二区| 亚洲色欲色欲大片www无码| 久久国产精彩视频| 亚洲大片一区二区三区四区| 亚洲国产a∨无码中文777| 国产美女久久精品香蕉69| 呦泬泬精品导航| 青青草在线免费观看在线| 在教室伦流澡到高潮hgl动漫| 国产精品揄拍100视频| 亚洲精品一品二品av| 亚洲国产av一区二区三区精品| 日本japanese丰满多毛| 国内精品人妻无码久久久影院94| 亚洲一区二区三区自拍麻豆| 后入内射国产一区二区| 精品无码专区久久久水蜜桃|