【赛迪网-IT技术报道】现在很多学校的校园网经常出现掉线、IP冲突、大面积断网等状况,这些问题的根源都是ARP欺骗攻击的结果。在没有ARP欺骗之前,数据流向是:网关<—>本机;ARP欺骗之后,数据流向是:网关<—>攻击者(“网管”)<—>本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),“任人宰割”就难免了。
ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、网络畅通、通讯数据不受第三者控制,从而完美地解决问题。
使用ARP防火墙查杀ARP病毒的使用方法为:ARP拦截到本机外对的ARP攻击时,点击进入显示详细数据的页面, PID即发送攻击数据的进程ID号,双击此数据即可查看进程的详细信息。或者选中数据后右击,选择“查看进程详细信息”选项。
防御措施
ARP协议的安全漏洞来源于协议自身设计上的不足, ARP协议被设计成一种可信任协议,缺乏合法性验证手段。从网络管理的角度上分析,主要的防御方法有:
1.不要把你的网络安全信任关系建立在IP基础上或MAC基础上,理想的关系应该建立在IP+MAC基础上。主机的IP→MAC地址对应表手工维护,输入之后不再动态更新,显然可以避免ARP攻击,大多数三层交换机都支持这种方法。
2.设置静态ARP缓存。采用静态缓存,主机在与其他计算机通信时,只要在自己的静态缓存中根据对方IP地址找到相应的MAC地址,然后直接发送给对方。攻击者若向主机发送ARP应答,目标主机也不会刷新ARP缓存,从而避免了ARP欺骗的发生。
3.关闭ARP动态更新功能。除非很有必要,否则停止使用ARP,将ARP作为永久条目保存在对应表中。
4.使用ARP服务器。即指定局域网内部的一台机器作为ARP服务器,专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求。确保这台ARP服务器不被黑。
5.使用“proxy”代理IP的传输。
6.使用硬件屏蔽主机。设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目)。注意,使用交换集线器和网桥无法阻止ARP欺骗。
7.管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8.管理员定期轮询,检查主机上的ARP缓存。
9.使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
(责任编辑:董建伟)
