• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      校園網(wǎng)中ARP攻擊的防治

      2008-12-04 02:36陳科武
      關(guān)鍵詞:校園網(wǎng)防治

      陳科武

      摘要:近年來(lái)各種形式的ARP攻擊層出不窮,出現(xiàn)在校園網(wǎng)絡(luò)中的ARP攻擊往往導(dǎo)致網(wǎng)絡(luò)中斷,嚴(yán)重影響學(xué)校各項(xiàng)工作的正常開展。本文闡述和分析了ARP協(xié)議的工作原理及缺陷、常見的ARP攻擊方式及防治策略。

      關(guān)鍵詞:ARP攻擊;校園網(wǎng);防治

      中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1673-8454(2008)22-0078-02

      近年來(lái),許多校園網(wǎng)絡(luò)陸續(xù)出現(xiàn)內(nèi)網(wǎng)的電腦訪問互聯(lián)網(wǎng)時(shí)斷時(shí)續(xù),甚至整個(gè)網(wǎng)絡(luò)完全中斷的現(xiàn)象。究其原因,多數(shù)是因?yàn)榫W(wǎng)內(nèi)電腦上網(wǎng)時(shí)不慎感染ARP病毒或木馬,并在校園網(wǎng)內(nèi)傳播引起的。本文從ARP協(xié)議的工作原理及缺陷入手,深入分析了ARP的原理,并提出了行之有效的防治措施。

      一、ARP協(xié)議的工作原理及缺陷

      ARP全稱為Address Resolution Protocol,即地址解析協(xié)議。它在TCP/IP協(xié)議棧中屬于較低層的協(xié)議,負(fù)責(zé)將IP地址解析成對(duì)應(yīng)的MAC地址。當(dāng)以太網(wǎng)中兩臺(tái)主機(jī)通信時(shí),主機(jī)A首先檢查自己的ARP緩存中有沒有主機(jī)B的MAC地址,如果有則將主機(jī)B的IP地址映射到相應(yīng)的MAC地址,協(xié)議棧將IP包封裝到以太網(wǎng)幀中進(jìn)行傳送。如果沒有,主機(jī)A會(huì)發(fā)送一個(gè)ARP請(qǐng)求廣播包,當(dāng)主機(jī)B收到此廣播后,會(huì)發(fā)出ARP響應(yīng)包,將自己的MAC地址傳給主機(jī)A,同時(shí)主機(jī)B將主機(jī)A的IP地址/MAC地址添加到自己的ARP緩存中,以供后面使用。主機(jī)A收到主機(jī)B的ARP響應(yīng)包后,將更新自己的ARP緩存,并開始通信。

      ARP協(xié)議作為一個(gè)局域網(wǎng)協(xié)議,它是建立在各主機(jī)之間相互信任的基礎(chǔ)上的,存在嚴(yán)重的安全隱患。正常情況下主機(jī)的ARP緩存生存期有限,例如Windows系統(tǒng)默認(rèn)存活2分鐘,在路由器中默認(rèn)存活4小時(shí),惡意用戶只要在下一次通信前成功地修改被欺騙機(jī)器上的ARP緩存,就可以進(jìn)行ARP欺騙。由于ARP協(xié)議是無(wú)狀態(tài)的,攻擊者可以隨心所欲地發(fā)送ARP響應(yīng)包,收到ARP響應(yīng)包的主機(jī)即使沒有發(fā)送過ARP請(qǐng)求廣播包也將無(wú)條件地利用響應(yīng)包更新自己的ARP緩存,從而受騙。

      二、常見ARP攻擊

      常見的ARP攻擊主要包括網(wǎng)關(guān)劫持和雙向的ARP欺騙。

      圖1 自動(dòng)批處理文件示例

      網(wǎng)關(guān)劫持是指攻擊主機(jī)仿冒網(wǎng)關(guān)發(fā)出ARP響應(yīng)包,誘騙其它客戶機(jī)以為攻擊主機(jī)是網(wǎng)關(guān),從而找不到真正的網(wǎng)關(guān)而無(wú)法上網(wǎng)。這種攻擊最常見的是校園網(wǎng)中某一臺(tái)電腦中了ARP病毒,導(dǎo)致整個(gè)網(wǎng)絡(luò)或者中毒電腦所在的網(wǎng)段不能上網(wǎng),如果病毒在校園網(wǎng)中迅速擴(kuò)散,大量的中毒電腦不斷發(fā)送ARP廣播包還可能導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷。

      正常情況下校園網(wǎng)中兩臺(tái)主機(jī)A和B是直接通信的,如果攻擊主機(jī)C在主機(jī)A面前通過ARP欺騙仿冒成主機(jī)B,同時(shí)又在主機(jī)B面前仿冒成主機(jī)A,那么攻擊主機(jī)C可以成為主機(jī)A和B之間的信息交流的中轉(zhuǎn)站,在主機(jī)A和B都不知情的情況下竊取他們交流的信息,這是一種典型的黑客行為,嚴(yán)重影響信息安全。

      三、ARP攻擊的防治策略

      有效防治ARP攻擊,可以分別從客戶端和服務(wù)端兩方面著手。

      1.客戶端ARP攻擊防治

      (1)靜態(tài)綁定法,針對(duì)網(wǎng)關(guān)劫持的ARP攻擊,可以使用以下命令:“arp –s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址 ”,在客戶端電腦手工綁定網(wǎng)關(guān)的IP地址和MAC地址。為了避免每次開機(jī)都要進(jìn)行重復(fù)操作,建立以下批處理文件(以我校校園網(wǎng)為例配置,下同),并將該批處理文件設(shè)成隨機(jī)自動(dòng)啟動(dòng)即可。

      (2)使用工具軟件法,常見的工具軟件有AntiArp,360ARP防火墻等等。以360ARP防火墻為例,可以在安全360軟件界面中點(diǎn)擊打開“保護(hù)-局域網(wǎng)ARP攻擊攔截-ARP攔截高級(jí)設(shè)置-綜合設(shè)置-添加保護(hù)網(wǎng)關(guān)IP/MAC”,將網(wǎng)關(guān)的IP地址和MAC地址輸入后確定退出即可。

      2.服務(wù)端ARP攻擊防治

      圖2 360ARP防火墻配置

      圖3 網(wǎng)關(guān)ARP強(qiáng)制廣播配置

      (1)交換機(jī)端口綁定,如果校園網(wǎng)使用Cisco、華為、3COM等品牌的中高端交換機(jī),可以每臺(tái)交換機(jī)設(shè)置IP地址和MAC地址綁定以及MAC地址與交換機(jī)端口的綁定,此方法可以有效地預(yù)防ARP攻擊和IP地址欺騙,但是配置繁瑣且靈活性差,適合較小型、少變化的校園網(wǎng)絡(luò)。

      (2)配置VLAN,VLAN可以有效地隔離廣播報(bào)文,大大減少ARP病毒的傳播范圍和傳播速度,同時(shí)也減輕了交換機(jī)的流量負(fù)荷,減少?gòu)V播風(fēng)暴出現(xiàn)的幾率。

      (3)網(wǎng)關(guān)ARP強(qiáng)制廣播技術(shù),針對(duì)ARP攻擊中最常見的網(wǎng)關(guān)劫持,可以命令網(wǎng)關(guān)設(shè)備不斷強(qiáng)制廣播正確的ARP報(bào)文,壓制ARP攻擊。由于現(xiàn)在局域網(wǎng)中ARP病毒的泛濫,許多廠家的網(wǎng)關(guān)設(shè)備中增加了ARP強(qiáng)制廣播功能。如圖2以我校路由器為例,可以激活路由器中“防止ARP病毒攻擊”功能,并將“每秒發(fā)送”設(shè)為1~5筆。值得注意的是如果“每秒發(fā)送”設(shè)置值過高,有可能加重整個(gè)校園網(wǎng)的負(fù)荷,造成相反的效果。

      (4)設(shè)備廠商開發(fā)的專利偵測(cè)技術(shù),許多網(wǎng)絡(luò)設(shè)備廠商開發(fā)了針對(duì)ARP攻擊的專利技術(shù),以CISCO公司為例,它開發(fā)的動(dòng)態(tài)ARP報(bào)文檢測(cè)技術(shù)(DAI,Dynamic Arp Inspection)的基本原理是利用 DHCP Snooping Bind表判斷ARP欺騙,并丟棄欺騙報(bào)文,屏蔽相應(yīng)的交換機(jī)端口,同時(shí)生成報(bào)警日志。

      四、結(jié)束語(yǔ)

      由于ARP協(xié)議的先天缺陷,要根治ARP攻擊,不僅需要校園網(wǎng)管理者的努力,也需要校園網(wǎng)內(nèi)每一個(gè)用戶的配合,才能將ARP攻擊對(duì)校園網(wǎng)的影響減小到最低的程度。

      參考文獻(xiàn):

      [1]Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)(第3版)[M].北京:清華大學(xué)出版社.

      [2]Joseph Davis,Thomas Lee.Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference[M].

      北京:清華大學(xué)出版社.

      [3]Liam B Quinn,Richard G.Russell.快速以太網(wǎng)[M].北京:人民郵電出版社.

      [4]劉洪濤.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用[J].襄樊職業(yè)技術(shù)學(xué)院學(xué)報(bào),2008,(5).

      [5]陳義陸等.八方會(huì)診ARP[J].中國(guó)教育網(wǎng)絡(luò),2007,(12).

      [6]蔡宏澤.校園網(wǎng)防病毒策略研究與實(shí)現(xiàn)[J].中國(guó)科技信息,2007,(15).

      [7]張道軍,吳銀芳.校園網(wǎng)絡(luò)中ARP病毒的綜合治理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(9).

      [8]步山岳,沈益彬.校園網(wǎng)漏洞檢測(cè)與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(2).

      [9]孔祥翠等.校園局域網(wǎng)防ARP病毒的研究和解決[J].計(jì)算機(jī)安全,2008,(4).

      猜你喜歡
      校園網(wǎng)防治
      數(shù)字化校園網(wǎng)建設(shè)及運(yùn)行的幾點(diǎn)思考
      試論最大匹配算法在校園網(wǎng)信息提取中的應(yīng)用
      基于VRRP和MSTP協(xié)議實(shí)現(xiàn)校園網(wǎng)高可靠性
      NAT技術(shù)在校園網(wǎng)中的應(yīng)用
      公路橋梁常見病害原因分析及防治
      校園網(wǎng)貸有哪些違法隱患
      VPN在校園網(wǎng)中的集成應(yīng)用
      夏河县| 凤山市| 房产| 科技| 曲沃县| 合肥市| 平邑县| 巫溪县| 莫力| 华蓥市| 新乡县| 临汾市| 长沙县| 林周县| 松江区| 徐水县| 文化| 腾冲县| 武清区| 长治县| 台北市| 富阳市| 浑源县| 调兵山市| 探索| 山丹县| 新巴尔虎右旗| 湖州市| 隆子县| 晋中市| 遂川县| 金塔县| 永年县| 东港市| 沂南县| 阳高县| 乌恰县| 石楼县| 鸡东县| 五指山市| 青河县|