ARP病毒入侵防范

关键词： 数据包 解析 地址 病毒

ARP病毒入侵防范（精选九篇）

ARP病毒入侵防范 篇1

1.1 ARP的概念

ARP(Address Resolution Protocol)名为″地址解析协议″,工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。“地址解析”是网络中的主机在发送数据包前先将目标主机IP地址转换成目标主机MAC地址的过程。

1.2 ARP的工作原理

在每台安装了TCP/IP协议的计算机里都有一个ARP缓存表,里面记录了IP地址和MAC地址的对应情况。在发送数据的时候会按照缓存表里的对应关系进行发送。如源主机A要发送一个数据包给目的主机B时,会先在A的ARP缓存表里面寻找和B对应的MAC地址,如果有就直接发送出去;如果没有就向全网发送一个ARP请求的广播包,查询B所对应的MAC地址。这个ARP请求数据包里包括了A的IP地址、MAC地址以及B的IP地址。网络中所有的主机都会收到这个ARP请求,然后各自检查数据包中的目的IP是否一致,如果不相同就丢掉此数据包;如果相同,主机首先将A的MAC地址和IP地址添加到ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给A发送一个ARP响应数据包,告诉A其是所要查找的MAC地址,即为B;A收到这个ARP响应数据包后,将得到的B的IP地址和MAC地址对应,并添加到ARP缓存表中,再开始数据传输。如果A一直没有收到ARP响应数据包,则表示ARP查询失败。

1.3 ARP欺骗过程

ARP的工作机制并不安全,假设又增加了一台主机C。A和B要通信,A机在不知道B机的地址情况下同样发送了一个ARP请求广播,B机收到后给A机发送了正确的回复数据包。然而这时C机也给A机发送了一个伪造的数据包,当A接收到C伪造的ARP应答,就会更新本地的ARP缓存,这时C就伪装成B了。同时,C同样向B发送一个ARP应答,当B收到C伪造的ARP应答,也会更新本地ARP缓存,这时C就伪装成了A。结果主机A和B都被主机C欺骗,A和B之间通讯的数据都经过了C中转,主机C完全可以截获A和B间的数据。这就是典型的ARP欺骗过程。

如果C机冒充网关,C就会监听整个局域网发送给互联网的数据包,同时也会导致局域网大面积掉线,严重时就会造成网络瘫痪。

1.4 ARP病毒的表现形式

网络游戏中的一些木马程序通过游戏外挂、网页木马等方式使局域网中的某台电脑中毒,这样中毒的电脑便可嗅探到整个局域网发送的所有数据包。木马通过截获局域网中的数据包,分析数据包中的用户隐私信息,盗取用户的游戏帐号和密码。在解析这些封包后,再发送到真正的网关。还有的病毒修改HTTP请求访问,如果局域网中一台电脑B要请求www.hao123.com这个网页,这台电脑会先向网关发送HTTP请求,这样,网关就会将www.hao123.com页面下载下来,并发送给B电脑。这时,若A电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当B电脑请求WEB网页时,A电脑先是将这个页面下载下来,然后发送给B电脑,但在发给B电脑时,会向其中插入恶意网址连接,造成B电脑中毒,同样,若其它电脑也请求WEB页面访问,A电脑同样也给其他电脑返回带病毒的网页,这样,如果一个局域网中存在这样的ARP病毒电脑的话,整个网段的电脑将会全部中毒。

2 结束语

通过上面的介绍,对ARP病毒有所了解和认识。建议要养成良好的电脑使用习惯,努力做到防患于未然,即便是发生事故时也可将损失降到最少。

参考文献

[1]张嵘,徐丕丞.解析一种实施ARP欺骗的木马[J].成都:信息安全与通信保密,2007(2):61-62.

[2]谢希仁.计算机网络.第三版.大连:大连理工大学出版社,2000:101-108.

[3]程胜利.计算机病毒及其防治技术.北京:清华大学出版社,2004:178-194.

ARP病毒入侵防范 篇2

中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.

Part2. 病毒原理分析:

病毒的组件

本文研究的病毒样本有三个组件构成:

%windows%SYSTEM32LOADHW.EXE(108,386 bytes) ….. ”病毒组件释放者”

%windows%System32drivers pf.sys(119,808 bytes) ….. ”发ARP欺骗包的驱动程序”

%windows%System32msitinit.dll (39,952 bytes)…”命令驱动程序发ARP欺骗包的控制者”

病毒运作基理:

1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .

LOADHW.EXE释放组件后即终止运行.

注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,

基于大型校园网的ARP病毒防范 篇3

关键词:ARP;校园网;网络攻击;防范

中图分类号:TP309.5文献标识码:A文章编号:1007-9599 (2010) 03-0023-02

Based On A Large Campus Network ARP Virus Prevention

Xu liWen,Qiao Lijuan

(Qiongzhou University Electronic Information Engineering College Sanya 572022,China)

Abstract: ARP Protocol Flaws From Their Lack Of Design,Frequently Caused By ARP LAN Network Viruses,The Results Were As Network Congestion Light, Dropped Barrier,Severe Cases, Paralysis Of The Entire Network. Showing a trend of more and more severe, In this paper, the actual Situation, Analyzing The Principle And Put Forward Practical Preventive Method.

Keywords:ARP;Campus;Network;Network attack;Prevention

Internet时刻面临着各种各样的攻击和威胁,网络安全是一个具有挑战性课题。其中欺骗类攻击是网络安全中常见的一种攻击方式,而ARP病毒是欺骗类攻击的典型代表。它包括伪造和应答包请求和假冒中间人两种方式。进行主机攻击从而更新目标主机的ARP缓存,赢得目标主机的信任,然后再实施有效攻击或非法监听网络数据包,造成目标主机被破坏或机密信息泄漏等一系列灾难性后果。

一、校园基本状况

我校现有两大校区,一为坐落在国际旅游城市的三亚市主校区和原坐落在“翡翠山城”五指山市老校区。两校区间相距上百公里,有学生公寓、教师住宅区、办公、公共计算机实验机房、图书馆等用户群,计算机数量庞大,使得校园网内极易产生广播风暴;物理分布的不均匀,终端机群有的数量大,有的终端只有几台甚至只有台微机,有的终端机群距离中心机房数千米甚至上百千米,这使校园网布线复杂性和施工维护难度大大增加。基于我校现有的大型校园网的特殊性,本文结合实际提出了优化解决方案。

二、ARP工作机制原理

地址解析协议是在仅知道主机的IP地址时确定其物理地址的一种协议。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。假设计算机A的IP为192.168.0.1,MAC地址为0a-1b-2c-3d-4e-00;计算机B的IP为192.168.0.2,MAC地址为0a-1b-2c-3d-4e-01。在TCP/IP协议中,A给B发送IP包,在包头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行次以太包的封装,在这个以太包中,目标地址就是B的MAC地址。计算机A是如何得知B的MAC地址的呢?解决问题的关键就在于ARP协议。在A不知道B的MAC地址的情况下,A就在局域网中广播一个ARP请求包,请求包中填有B的IP(192.168.0.2),以太网中的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A,A得到ARP应答后,将B的MAC地址放入本机缓存,便于下次使用。本机MAC缓存是有生存期的,生存期结束后,将再次重复上而的过程。这是一种非常高效通信机制,但存在安全隐患。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARP reply包或ARP广播包,都会接受并缓存。这就为ARP欺骗提供了方便,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。对整个校园网进行攻击,给网络管理工作者带来麻烦。

三、防范策略与解决方法

(一)建立MAC数据库

把校园网内所有IP地址所对应的网卡MAC地址、地理位置统统记录,并装入数据库以便及时查询备案。

(二)建立APR静态路由表

网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话.这样对网关也是没有用的,确保主机安全。

网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:192.168.1.2 09:01:4B:B1:23:45然后用/etc/rc.d/rc.local最后添加:arp – f生效即可。

(三)对三层交换机“下手”

APR病毒攻击是以整个校园网为目标,而三层交换机作为我校整个校园网的核心,是整个校园网的出口,利用三层交换机来构建物理网络,在交换机端并且过滤掉所有非法的ARP包。并在此基础上构建虚拟局域网,这样可以让ARP攻击足不能出户,在局域网内就消除了目前的ARP病毒及其变种的攻击。三层交换技术就是:二层交换技术+三层转发技术。一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单地把路由器设备的硬件和软件简单的叠加在局域网交换机上。VLAN又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。根据大型校园网的特殊性,对安全等级高流动性小终端微机结合传统的ARP绑定策略进行IP与MAC地址及端口的双向绑定;对安全等级低流动性大的终端微机从终端交换机到终端微机进行单向绑定,使ARP欺骗的影响控制在最小的范围内,即只影响存在ARP欺骗的终端交换机或其虚拟网段,这就极大减少了网络维护的难度和工作量。

(四)ARP病毒的自检和处理方法

1.自检

如果用户发现网络经常掉线不同等疑似情况,可以通过如下操作进行自我诊断。点击“开始”选择“运行”,输入“arp -d",点击“确定”按钮。然后重新尝试上网,如果恢复正常,则说明此次掉线就是受ARP欺骗所致。

2.查找ARP病毒源

(1)使用Sniffer软件进行抓包。在校园网内任意一台主机上运行Sniffer抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP Request请求包,那么这台电脑般就是病毒源。

(2)使用arp命令。任选校园网内两台不能上网的主机,在DOS命令窗口下运行“arp –a”命令,在结果中,如果两台电脑除了网关的IP ,MAC地址对应项外.都包含了相同的IP,那么就有理由认为这个IP的这台主机为病毒源的主要怀疑对象。原理:一般情况下,网内的主机只和网关通信,这台主扫的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最近有过数据通信发生。如果某台主机既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么病毒源极有可能就是它。

(3)使用tracert命令:在校园网中选一台不能上网的主机在Dos命令窗口下运行如下命令tracert 202. 100. 192. 68 ,假定设置的缺省网关为210.37.144.10而在跟踪个外网地址时第一跳却是以上检测到的IP,那么这个IP极有可能是病毒。原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。

(4)处理方法。编写一个批处理文件autobd.bat,内容如下:

@echo off

Arp –d

Arp –s 网关IP网关MAC

以上的网关IP和MAC都是用户自己定义的,将些程序添加到Windows启动项中,这样一开机就自动批处理,用户无需重新绑定。

(五)大型校园局域网ARP病毒的防治工作任重而道远,仅仅依靠网络管理人员是不够的,必须提高用户的防范意识,对用户进行网络安全教育及宣传,及时发现攻击,切断攻击源。且要求每一台终端机都得安装学校网络杀毒软件,以便更新最新病毒库,同时安装上ARP防火墙。

四、总结

ARP病毒具有隐蔽性、随机性的特点,是校园网的安全威胁。结合学校当前实际情况,采取以上防范策略及解决方法,对ARP病毒攻击具有一定的实用意义。当然技术不断的更新,我们须及时应用新技术,来捍卫网络安全,以保证校园网的正常运行。

参考文献:

[1]王燕,张新刚.基于ARP协议的攻击及其防御方法分析[J].微计算机信息2007第12-3期

ARP病毒入侵防范 篇4

关键词：网络协议病毒,IP地址,ARP欺骗

“ARP攻击”木马病毒, 病毒发作时其症状表现为计算机网络连接正常, 能登录成功却无法打开网页, 极大地影响了局域网用户的正常使用。这些问题的出现有很大一部分要归功于ARP攻击, 目前网络上APR攻击形式多样, 其变种也有几十个, 让人防不胜防。因此, 有效地防范ARP网络攻击已成为保障网络安全和畅通的一件刻不容缓的大事。

1 ARP 病毒的原理与故障表现

要了解ARP病毒, 首先要了解ARP协议。局域网内需要通过MAC地址通信, 故需要将IP地址和MAC地址对应起来。就像一个班里的同学要把电话号码和真人对应起来一样, 完成这个对应过程的就需要ARP协议。ARP协议就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

1.1 ARP 病毒攻击

ARP攻击其实就是攻击主机会向局域网电脑广播一个错误的ARP信息, 一般而言发送的ARP攻击包不外乎攻击者的MAC地址加上网关的IP地址 , 这样局域网电脑在受到这种ARP攻击报文时, 会更新自己电脑的ARP表项 , 然后就认为攻击源主机的MAC地址就是网关的MAC地址, 由于局域网通信是通过MAC地址来进行传输的, 因此受到ARP攻击的电脑就会将报文发送到发动ARP攻击的电脑上了, 攻击源主机就可以获取被攻击电脑的所有上网报文, 然后再通过一定的技术手段解析出报文里面的具体信息, 如密码、口令等; 当然, 大多数ARP攻击行为是为了控制电脑的数据包的发送进而控制电脑的上网速度, 达到限制局域网电脑网速, 然后独占上网流量的目的。此外, 一些恶意的ARP攻击行为会伪造一个错误的MAC地址然后广播给局域网所有的电脑, 然后让局域网受到攻击的电脑将公网报文发送到一个不存在的MAC地址, 从而达到使得整个局域网电脑无法上网的目的。如图1所示。

1.2 ARP 攻击的故障表现

ARP欺骗木马的中毒现象表现为 : 使用局域网时会突然掉线, 过一段时间后又会恢复正常。比如客户端状态频频变红, 用户频繁断网, IE浏览器频繁出错, 以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的, 会突然出现可认证但不能上网的现象 (无法ping通网关), 重启机器或在MS-DOS窗口下运行命令arp-d后, 又可恢复上网。

ARP欺骗木马只需成功感染一台电脑 , 就可能导致整个局域网都无法上网, 严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外, 还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易, 盗窃网上银行账号来做非法交易活动等, 这是木马的惯用伎俩, 给用户造成了很大的不便和巨大的经济损失。

2 ARP 病毒入侵检测方法

(1) 进入命令行模式ARP-A显示所有ARP连接, 注意查看网关的MAC, 如果和真实的MAC地址不同, 那肯定是有病毒了; 继续观察所有的连接, 如果发现列表中有一台跟本机没有实际联系的机器, 那么, 这台机器应该就是ARP病毒的传播者。也可以通过网关那个假MAC地址找到源机 (原机的MAC就是就是假网关的MAC地址)。

(2) 先用扫描器扫描下整个网段 , 然后用ARP-A命令 , 可以看到, 有一台机器的MAC地址和网关的MAC地址是一样的, 这台机器就是中ARP病毒的机器, 再根据平时的统计找到这台机器即可;

(3) 可以到交换机上看 , 多个重复的MAC地址说明有ARP欺骗现象;

除了以上的3种方法外, 可以安装360安全卫士, 开通里面的ARP网络防火墙对电脑进行监测, 也是一种非常不错的入侵检测方式。

3 防范 ARP 病毒攻击的解决方案

3.1 提升自身操作系统的安全性

ARP攻击方式多种多样 , 要对其作出全面的防范是有一定难度的, 但系统的安全性可以在某种程度上减少被攻击的概率, 无论对于Windows还是Linux操作系统, 补丁的更新以及漏洞修复都会起到一定的防范作用, 在操作系统中使用网络防火墙 (如360安全卫士中的ARP防火墙可以一定程度上拦截ARP攻击), 并及时更新病毒库, 能最大限度地防范病毒和木马的袭击。

此外, 指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息; 不要随便打开或运行陌生、可疑文件和程序, 如邮件中的陌生附件、外挂程序; 在使用U盘的时候要特别小心, 防止病毒和木马通过这些外部设备传播到计算机里面从而被感染。

3.2 清空 ARP 缓存

大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题, 该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备, 用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗, 可以通过ARP的指令来清空本机的ARP缓存对应关系, 让网络设备从网络中重新获得正确的对应关系。

3.3 实现网关和终端双向绑定 IP 和 MAC 地址

针对局域网中的每一台计算机利用“IPCONFIG”命令获取本机IP和MAC地址, 并将该信息添加到路由器ARP映射表中。同时通过查看路由器的Lan口参数获取其IP和MAC地址, 然后在局域网中的每台计算机上实现静态ARP绑定。具体做法是: 打开“运行”对话框, 输入cmd进入Msdos界面, 通过IPCONFIG命令获取本机的IP地址和MAC地址。然后打开浏览器, 输入网址“http;//192.168.1.1”进入路由器配置界面, 在界面中定位到ARP与IP地址绑定位置处, 设置“单机的MAC地址和IP地址的匹配规则”, 指定局域网中各个计算机的IP地址和其对应MAC地址实现绑定。

3.4 VLAN 和交换机端口绑定

通过划分VLAN和交换机端口绑定, 以图防范ARP, 也是常用的防范方法。做法是细致地划分VLAN, 减小广播域的范围, 使ARP在小范围内起作用, 而不至于发生大面积影响。同时, 一些网管交换机具有MAC地址学习的功能, 学习完成后, 再关闭这个功能, 就可以把对应的MAC和端口进行绑定, 避免了病毒利用ARP攻击篡改自身地址, 这种方法确实能把ARP攻击中被截获数据的风险解除起到一定的作用。

3.5 免疫网络是解决 ARP 最根本的办法

道高一尺魔高一丈, 网络问题必定需要网络的方法去解决。免疫网络就是彻底解决ARP问题的最实际的方法, 但从技术层面上, 彻底解决ARP欺骗和攻击, 要满足3个技术关键:

(1) 终端对网关的绑定要坚实可靠 , 这个绑定能够抵制被病毒破坏。

(2) 接入路由器或网关要对终端IP-MAC的识别始终保证唯一准确。

(3) 网络内要有一个最可依赖的机构 , 提供对网关IP- MAC最强大的保护。它既能够分发正确的网关信息 , 又能够对出现的假网关信息立即摧毁。

4 结语

局域网病毒入侵原理及防范方法 篇5

一、局域网病毒入侵原理及现象

一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。

（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；

（2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；

（3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中

（4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说，由于其并非真的“无盘”（它的盘是网络盘），当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上，因此无盘工作站也是病毒孽生的温床。

由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。

（1）感染速度快

在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。

（2）扩散面广

由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。

（3）传播的形式复杂多样

计算机病毒在网络上一般是通过“工作站”到“服务器”到“工作站”的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。

（4）难于彻底清除e.

单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。

（5）破坏性大

网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。

（6）可激发性

网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。

（7）潜在性

网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据统计，病毒在网络上被清除后，85％的网络在30天内会被再次感染。

例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含“DOC”和“eml”文件的目录中，当用户通过Word、写字板、Outlook打开“DOC”和“eml”文档时，这些应用程序将执行 Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。

二、局域网病毒防范方法

以“尼姆达”病毒为例，个人用户感染该病毒后，使用单机版杀毒软件即可清除；然而企业的网络中，一台机器一旦感染“尼姆达”，病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。

计算机病毒形式及传播途径日趋多样化，因此，大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单，而需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理系统来设置和维护对病毒的防护策略。

一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的，应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。

（1）增加安全意识

杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传播。

（2）小心邮件

随着网络的普及，电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时，也无意之中成为了病毒的帮凶。有数据显示，如今有超过90％的病毒通过邮件进行传播。

尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。例如，如果所有的Windows用户都关闭了VB脚本功能，像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。

（3）挑选网络版杀毒软件

浅析局域网ARP病毒的防范 篇6

1 ARP协议简介

1.1 ARP定义

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

1.2 ARP工作原理

TCP/IP协议中, 定义网络节点是由IP地址来标识, IP地址又称为逻辑地址, 而在数据链路层传输数据寻址时, 采用的是MAC地址, 即物理地址。而网络层传输数据寻址是用的逻辑地址。由此需要建立IP地址与MAC地址的映射关系表。由此便设计定义了ARP协议。ARP协议是将IP地址解析为MAC地址, 当计算机接受到ARP数据包时, 就会修改ARP缓存并进行更新。将IP地址与MAC地址映射关系存入到计算机的ARP缓存列表中。当下次计算机进行通信时便会从ARP缓存列表中进行查询, 然后直接将数据进行转发。

2 ARP欺骗原理和危害

2.1 ARP欺骗原理

ARP欺骗从其欺骗的对象不同一般分为两种:一种是对ARP缓存表的欺骗, 利用ARP缓存表的更新存在时间差, 伪造IP, 从而使网络中IP地址出现混乱甚至冲突。另一种是对网络中的网关进行欺骗, 让主机冒充网关, 从而使网络中数据的指向发生错误。一般来说分以下两步进行:首先截获网关信息, ARP病毒通过截取网络中的信息, 将正确的网关信息进行截取, 取得网关数据;然后伪造网关信息, 中毒的计算机会把自己冒充成真网关的IP地址, 并将自己伪造的网关信息发送到网络上, 网络中的其他计算机数据包在传输的过程中就会将数据全部传给中毒的计算机, 而不是发送到正确的网关路由器上, 从而直接造成上不了网。

2.2 ARP欺骗危害

如果局域网中一旦中了ARP病毒后, 由于错误的网关存在, 整个局域网的的跨网段访问就不能进行通信, 而且这种病毒的感染速度非常快, 一旦局域网中有一台计算机感染了ARP病毒, 很快病毒就会在整个局域网蔓延, 导致整个局域网不能正常通信, 甚至出现通信中断现象。

同时ARP病毒也存在“恶意窃听”行为, 此种行为不会导致网络通信中断, 但是会通过不停向网络广播数据包, 从而大量的占用局域网带宽, 从而造成较大的网络延时, 使数据不可达或延迟到达, 给网络用户的正常访问造成很大程度的影响, 并且威胁到网络用户的信息安全。

3 ARP病毒防范

3.1 采用IP与MAC双向绑定

进行双向绑定, 主要是先从网关路由器对客户机的IP-MAC地址进行绑定, 现在大部分的核心交换机和路由设备都具有这个功能。然后在客户机使用arp命令手动绑定网关路由器的真实MAC地址。假设:网关的IP地址为172.16.32.1对应的MAC地址为70-71-BC-A4-3C-0E, 那么在客户机上就使用arp-s 172.16.32.170-71-BC-A4-3C-0E进行绑定, 也可以编写一个批处理文件进行IP地址与MAC地址的绑定, 并设置为开机启动。

但此方法最大问题在于任务量过大和更改复杂, 如果局域网主机数量大, 就会使得管理员工作量非常大。同时如果客户机或者网关设备发生改变后, 又需要重新进行MAC地址进行扫描和绑定。而且绑定了后只能防范一些级别较低的ARP欺骗, 并不能够完全防范ARP攻击。

3.2 安装ARP防欺骗软件

由于ARP病毒给局域网带来了很大的危害, 目前市面上有很多种ARP病毒防范软件, 按照其工作原理主要分为两种:一种是拦截ARP的攻击数据包或者是排除IP地址冲突, 使得网络通信不受ARP攻击的干扰。其主要攻击方式是通过向网络中广播正确的IP地址的MAC信息, 可以有效防止ARP攻击造成的掉线等问题, 但会给整个网络带来一定的负载, 占用一定的网络带宽。另一种是阻止恶意程序修改主机的ARP列表。这种办法较为实用, 不会对网络有什么影响, 但其防护效果相对而言比较差。

时下比较流行的ARP病毒防范软件有:金山贝壳ARP防火墙、彩影ARP防火墙、360 ARP防火墙等, 用户可以根据实际情况选择适合自己的防火墙。

当然, 如果有条件的话也可以使用硬件ARP防火墙, 相对软件防火墙来说, 硬件ARP防火墙功能更加强大, 对细节控制会更加灵活, 但费用相对较高, 对于小型局域网单位来说负担过重。

3.3 加强监控, 及时排除欺骗主机

网管人员在日常网络维护中, 可以将网关设备中IP-MAC地址表导出备份, 在发现网络不稳定时, 可以采用sniffer等网络监视软件对网络数据进行监控分析, 对ARP数据包进行捕获, 对数据进行分析, 对照备份的IP-MAC地址表找到假冒主机的MAC地址, 查找到染毒电脑, 对其进行病毒查杀, 清除ARP病毒, 确认安全后再将其接入到局域网中。

3.4 提高用户安全意识

在网络安全中, 最主要、最关键的就是“人”, 用户在日常使用计算机时需注意做好一些必要的安全防护措施, 包括:安装功能比较完善的杀毒软件和防火墙软件, 及时对病毒库升级和全面杀毒;及时对系统和软件打“补丁”, 封堵系统漏洞;给计算机管理员账号设置复杂度的密码;不随意接受和运行未知的文件和软件。

结束语

虽然ARP病毒对局域网带来了很大的危害, 但对于ARP攻击我们不能谈虎色变, 了解ARP攻击的工作原理和其攻击方式。并且在日常使用计算机时做好必要的安全防范工作, 就能很好的抵御ARP病毒的攻击, 给整个局域网提供一个正常、稳定、绿色的网络环境。

参考文献

谈校园网中ARP病毒的防范 篇7

1 具体情况描述

1)当一个VLAN内某台主机感染了ARP病毒时,会向本VLAN内所有主机发送ARP欺骗攻击。谎称自己是这个网端的网关设备,不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框,让原本流向网关的流量改道流向病毒主机,造成受害者无法正常上网。

2)VLAN内有某些用户使用了ARP欺骗程序(如:传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,经常掉线。

3)网段内的客户机访问网页时发现被挂木马,查看网页源码可以发现被加入代码。同时,用户电脑还会出现IE浏览器频繁出错、客户端杀毒软件被强行关闭等。

2 病毒原理分析

在没有ARP欺骗之前数据流向是:网关本机;ARP欺骗后,数据流向是:网关攻击者本机,本机与网关之间的所有通讯数据都将流经攻击者。病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,进行ARP重定向和嗅探攻击;用伪造源MAC址发送ARP响应包,对ARP高速缓存机制进行攻击。ARP协议,是一种将IP地址转换成MAC地址的协议,主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

在以太网中,一个主机要和另一台主机进行直接通讯,必须要知道目标主机的MAC地址。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如表1所示。

以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例:当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址封装到帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是″FF.FF.FF.FF.FF.FF″。这表示向同一网段内的所有主机发出这样的询问:″192.168.16.2的MAC地址是什么?″网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:″192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb″。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。

当计算机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP的对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机C之间的数据通信成为可能。

攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,就能造成网络中断或中间人攻击。因此,可以简单地说ARP欺骗的目的就是为了实现全交换环境下的数据监听,大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。

3 如何发现和防范

VLAN内一旦有ARP的攻击存在,就会欺骗同网段内所有主机和网关,让所有跨网段访问的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关访问关键服务器,现在却转由通过被控主机转发上网。由于被控主机的性能和程序性能的影响,这种转发并不会非常流畅,因此就会导致用户上网的速度变慢甚至频繁断线,另外,ARP欺骗需要不停地发送ARP应答包,容易造成网络拥塞。一旦怀疑有ARP攻击,我们就可以使用抓包工具来抓包,如果发现网内存在大量ARP应答包,并且将所有的MAC地址都指向同一个IP地址,那么就说明存在ARP欺骗攻击,并且这个MAC地址就是用来进行ARP欺骗攻击的主机的MAC地址,就可以采取相应的控制措施。此外,利用三层交换机设备可检查其三层交换机设备上的ARP表。如果发现有多个IP地址对应同一MAC地址,则说明此地址对应的计算机很可能中了此病毒。然后可通过下连的二层交换机的转发表查到此对应的交换机端口,从而定位出有问题的计算机端口。关闭此端,通知用户查杀病毒结束后再开放端口。还有,扫描本网段内的全部IP地址,然后查看ARP表。如果有一个IP地址对应的MAC地址与网关的MAC地址相同,那么这个IP地址和MAC地址就是中毒计算机IP地址和MAC地址。

对于校园网管理者来说,我们可以采取以下具体措施来有效防范ARP欺骗:

首先,解决问题的根本办法是在交换机上做MAC——端口的绑定,一旦发现某端口对应的计算机MAC地址发生更改,交换机会自动将该端口关闭,避免病毒引起的ARP缓存表更新。这种方法是好,但维护量相当的大。不过,可以考虑利用802.1x客户端在认证时,将主机的IP地址和MAC地址信息传递到认证服务器的数据库中,可利用这些信息通过SNMP协议在网关上实现自动绑定。我校目前使用的是城市热点的认证系统,使用很方便,用户在第一次登录网络时,系统就会自动完成绑定工作。

其次,一定要合理划分VLAN,VLAN可以划分的细一些,将ARP广播范围缩小,减少受攻击的可能性。受到攻击也可以很快找到病毒源。这个方法工作量较大,但效果较好,适用于网络规模不太大的校园网。同时,由于VLAN根据部门划分的很多,还会造成IP地址浪费。

对于客户端计算机,可以安装AntiARP防火墙、360ARP防火墙等程序或使用直接使用ARP命令绑定网关的真实MAC地址。具体做法是在“运行”里或者命令提示符下输入:

把IP和网卡物理地址绑到一起,这样就破坏了ARP欺骗木马的正常工作。网关不被替换掉自然不会掉线。或编写一个批处理文件ARP.bat内容如下:

放到“启动”菜单中,系统启动时自动执行此命令。当然,很多用户的计算机水平是有限的,每个VALN的网关地址也不一样的。因此,网管最好能够编写一个几k的vb应用程序,它能够自动检测用户所在子网中的网关的IP地址和MAC地址,并通过ARP命令将它们绑定。这样可以极大的方便用户使用。

还可以指定VLAN内一台机器作为ARP服务器,专门保存并且维护可信范围内的所有主机的IP地址与MAC地址映射记录。该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP子网内部的请求。

注意,有时还需要在路由器或核心交换机上做IP地址与计算机MAC地址的静态绑定。尤其应该对校园网主要的服务器的地址进行绑定。很多网管往往觉得ARP病毒主要是下面用户的计算机容易感染或者觉得服务器在单独的VLAN里安全,而忽视服务器对ARP病毒的防范。

4 结束语

通过以上方法的综合运用,一定能够有效地防范地址欺骗病毒的攻击,保障了网络的正常运行。但随着病毒变种不断出现,原有的方法不一定再有效,还要求网络管理者要在实践中不断的摸索、学习。

摘要：ARP(Address Resolution Protocol地址解析协议)欺骗病毒的攻击给整个校园网的安全带来隐患,极大地影响了校园网用户的正常使用。该文中,作者根据日常工作实践提出了解决方案及防御策略。

关键词：VLAN,ARP病毒,MAC地址,校园网,防范

参考文献

[1]邓岳.ARP病毒防范初探[A].网络通讯与安全,2008:955.

[2]吴伟民.浅谈局域网中ARP地址欺骗病毒的防范[A].国土资源信息化,2008,1(1):38-39.

[3]胡荣群.ARP病毒攻击技术分析与防御探讨[J].科技信息,2007.

[4]唐旭东.ARP协议及其欺骗与防范[J].华南金融电脑,2007,10(3):80-83.

[5]黄成山.ARP欺骗的防治方法[J].信息科学科学论坛,2008(1):35.

[6]王奇.以太网中ARP欺骗原理与解决办法[J].网络安全技术于应用,2007(2):44.

[7]赵伟.局域网ARP欺骗的检查和处理[J].科技广场,2007(1):112-113.

[8]计算机安全.局域网中ARP欺骗攻击解决方案[S].

ARP病毒入侵防范 篇8

1. 局域网中的ARP欺骗病毒

1.1 ARP欺骗病毒的症状

近几年, 高校中的局域网时常会断线, 一段时间过后又能恢复正常通讯。具体表现为:客户端计算机瞬间与服务器通讯中断, 无法正常运行;IE浏览器频繁报错或访问网页的速度变得极其缓慢;一些常用软件出现运行故障自动关闭等;若通过802.1X身份认证接入局域网, 会突然遇到用户认证成功但无法访问网络的情况。当重启计算机后又能恢复正常的网络通讯。

1.2 ARP欺骗病毒的危害

这类病毒可能会使局域网内的用户无法正常上网, 最严重的情况下将导致整个局域网瘫痪。这类木马病毒除了让用户不能正常访问网络, 还会窃取用户的个人资料与隐私, 如上网账号、密码等。这将给用户带来经济上的损失。

1.3 ARP欺骗病毒的欺骗方式

当下, 这类病毒可以分为两种:仿冒网关攻击病毒和欺骗网关攻击病毒。

1.4 ARP欺骗病毒的工作原理

1.4.1 仿冒网关攻击病毒

这类病毒利用局域网内中毒计算机的MAC地址 (网卡物理地址) 来取代网关的MAC地址, 让被它欺骗的计算机向假网关发送数据, 而不是通过正常的网络设备 (如交换机、路由器等) 来上网, 从而造成网络内部互通, 但用户上不了网。如图1所示。

当这类病毒运行时, 网关的MAC地址就彻底发生了改变, 真实的网关MAC地址就被中毒计算机的MAC地址所取代。如图2所示。

现在来看一下该病毒的工作原理和机制。当局域网中的计算机PC-A打开一个网页时, 正常情况下, 计算机PC-A发出的通信数据包直接流向网关。但当局域网内感染了该病毒后, 计算机PC-A发出的数据包在流经网关之前必须经过计算机PC-B。

根据图3, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B发出ARP欺骗病毒广播包, 对外称自己就是网关。第二步:局域网内每一台计算机都能接收到计算机PC-B发出的ARP欺骗病毒广播包并更新ARP表, 所以ARP缓存就会中毒。第三步:局域网内任意一台计算机通过中毒的计算机PC-B访问因特网, 可能导致整个局域网通讯中断。

1.4.2 欺骗网关攻击病毒

这类病毒首先会截获网关的通讯数据, 然后通知网络设备 (如交换机、路由器等) 一系列错误的内部MAC地址并不断重复上述过程, 使真实的MAC地址信息无法通过更新保存在网络设备中, 最终导致网络设备发送传出的数据包只能传送到错误的MAC地址上。

仍以图三为例, 用语言来描述整个过程将更直观, 也便于读者理解。

第一步:计算机PC-B (见表1) 仿冒计算机PC-A (见表2) 向网关发送伪造的ARP报文 (其MAC地址为CC-CC-CC-CC-CC-CC) 。

第二步:网关的ARP表 (见表3) 中记录了错误的计算机PC-A的地址映射关系, 从而导致正常的数据报文无法正确地被PC-A接收。

2. ARP欺骗病毒的防范方法

2.1 提高电脑用户安全防范意识水平

接入局域网中的用户应不断提升网络安全防范意识。建议如下:⑴给管理员账户设置相对复杂的权限密码;⑵禁用操作系统的自动播放功能;⑶经常更新杀毒软件的病毒库, ⑷安装网络防火墙;⑸定期更新操作系统和相关应用软件补丁;⑹关闭一些不必要的服务, 例如一些共享服务, 如单机用户可彻底关闭server服务。

2.2 使用专业软件防护

使用ARP防护软件, 例如AntiARP Sniffer。该软件有2个功能。第一, 防止用户通讯时数据包被第三方截取;第二, 防止ARP病毒发送地址冲突数据包。该软件操作起来也很方便, 如果该软件频繁地提示用户IP地址冲突, 则说明局域网中存在ARP欺骗病毒。用户只要将计算机中的[事件查看器]打开就可以获取到冲突的MAC地址, 将它们复制到该软件的[本地MAC地址栏], 完成后点击[防止地址冲突]。再禁用本地网卡, 然后启用。用CMD命令打开MS-DOS窗口输入Ipconfig/all指令查看当前MAC地址是否与本地MAC地址匹配, 如果符合将不再显示地址冲突。

2.3 上网客户端静态地址绑定

编写一个批处理文件, 将其命名为antiarp.bat。该文件的功能是将交换机的网关IP地址和网关MAC地址进行绑定。用户可使用[arp–a]命令查看交换机网关IP地址和网关MAC地址。将这个批处理文件拖到[windows—开始—程序—启动]中, 之后用户每次开机都会自动加载该文件。代码:@echo off;arp-d;arp-s网关IP地址网关MAC地址;

2.4 局域网划分VLAN (虚拟局域网) 隔离ARP欺骗病毒

局域网中的网管员应根据单位网络拓扑结构划出若干个VLAN。当网管员发现有用户的计算机向局域网发送大量地址冲突数据包时, 应该利用技术手段对该用户的交换机端口定位, 然后将该端口划分到一个单独的VLAN隔离该用户, 以避免对其他用户造成影响或者直接屏蔽该用户的上网端口。

3. 结束语

局域网内部防御ARP病毒攻击的方法是在客户端、网络接入设备和服务器端建立立体防御机制。但这些办法无法从根本上根治ARP病毒, 因为ARP病毒是基于ARP协议的安全缺陷产生的。今后随着Ipv6的应用与普及, ARP病毒将被根治。

摘要：近几年, APR欺骗病毒在局域网内大量出现导致用户上网非常不稳定。该文章将详细介绍这类病毒的攻击原理及预防措施。

关键词：ARP病毒,工作原理,预防方法,局域网

参考文献

[1]谢希仁.计算机网络 (第四版) [M].大连:大连理工大学出版社, 2004.

[2]黄剑飞.构建网络安全的几点设想[J].教育与职业, 2004 (20) :66～67

ARP病毒入侵防范 篇9

(一) ARP欺骗病毒原理分析

在局域网中, 一个主机要和另一个主机进行直接通信, 除知道目标主机的IP地址外还必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。即ARP协议是用来来完成IP地址转换为MAC地址 (即第二层物理地址) 的。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。ARP协议对网络安全具有重要的意义。ARP欺骗病毒是通过伪造IP地址和MAC地址实现ARP欺骗, 从而在网络中产生大量的ARP通信量使网络阻塞。用伪造源MAC地址发送ARP响应包, 是对ARP高速缓存机制的攻击。

ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线, 过一段时间后又会恢复正常。比如客户端状态频频变红, 用户频繁断网, IE浏览器频繁出错, 以及一些常用软件出现故障等。如果校园网是通过身份认证上网的, 会突然出现可认证, 但不能上网的现象 (无法ping通网关) , 重启机器或在MS-DOS窗口下运行命令arp-d后, 又可恢复上网。ARP欺骗木马十分猖狂, 危害也特别大, 各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情, 带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑, 就可能导致整个局域网都无法上网, 严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外, 还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易, 盗窃网上银行账号来做非法交易活动等, 这是木马的惯用伎俩, 给用户造成了很大的不便和巨大的经济损失。

(二) VLAN技术

1. 什么是VLAN

VLAN (Virtual Local Area Network) 即虚拟局域网, 是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现, 主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN, 每个VLAN是一个广播域, VLAN内的主机间通信就和在一个LAN内一样, 而VLAN间则不能直接互通, 这样, 广播报文被限制在一个VLAN内。

2. VLAN的优点

(1) 限制广播域。广播域被限制在一个VLAN内, 节省了带宽, 提高了网络处理能力。

(2) 增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的, 即一个VLAN内的用户不能和其它VLAN内的用户直接通信, 如果不同VLAN要进行通信, 则需要通过路由器或三层交换机等三层设备。

(3) 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组, 同一工作组的用户也不必局限于某一固定的物理范围, 网络构建和维护更方便灵活。

VLAN是在数据链路层的, 划分子网是在网络层的, 所以不同子网之间的VLAN即使是同名也不可以相互通信。

3. 组建VLAN的条件

VLAN是建立在物理网络基础上的一种逻辑子网, 因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时, 需要路由的支持, 这时就需要增加路由设备——要实现路由功能, 既可采用路由器, 也可采用支持VLAN的三层交换机来完成。我们可以根据端口、MAC地址、IP地址以及路由器等多种方式来进行VLAN的划分。

(三) 校园网利用VLAN技术防范ARP病毒攻击的设计与分析

根据ARP欺骗病毒的原理和VLAN的特点, 我们不难发现, 只要把校园网划分成不同的子网, 这样, ARP病毒即使感染了校园网中的某台计算机, 那他只能局限在某个子网内传播, 不能够扩散到其他的子网, 不会导致整个网络瘫痪。同时, 我们一旦发现哪个子网连接的交换机异常, 就可以缩小范围, 对该子网的计算机进行病毒查杀, 提高工作效率。这样就能有效的防范和减小ARP欺骗病毒对校园网的影响, 保证学校的正常办公和教学的开展。

首先, 我们根据校园内部门的设置, 以及人数或者计算机数先统计好相关的子网, 然后根据子网内所可能包含的计算机数, 分配相应的IP地址和网关。这些是我们在交换机上划分VLAN的依据。例如:

学院办公室子网:192.168.1.0——192.168.1.22网关:192.168.1.1;

财务处子网:192.168.3.0——192.168.3.22网关:192.168.3.1;

1号实训楼101机房子网:192.168.6.0——192.168.6.80网关:192.168.6.1;

信息中心办公室子网:192.168.7.0/24网关:192.168.7.1;

服务器子网:192.168.100.0/24网关:192.168.100.1…………

根据交换机类型和品牌的不同, 我们根据分配好的IP地址配置相关的交换机就可以了。但是在实际的配置过程中, 我们还发现, 同一交换机上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型:一种是“广播共享”, 即VLAN划定的广播域贯穿共享设备和链路 (如图1所示) , 换句话说广播共享是二层的共享。另一种我们称之为“路由共享”, 也可以说是三层共享, 在这种类型的共享中, 不同VLAN的数据包是以路由 (三层交换) 方式穿过交换机的 (如图2中虚线所示) , 通过的包基本上不含有一般的广播包 (DHCP和特殊协议的广播除外) 。VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。

从图1可清楚地看出所共享的网络资源 (交换机和链路) 。在正常情况下, VLAN间的这种影响不被我们所注意, 原因是共享的交换机有足够的交换能力, 链路不是很拥挤, 但在某一VLAN出现异常时 (如感染ARP病毒或出现环路) 情况就不同了。这时被感染VLAN (如VLAN1) 中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽, 并长时间占用物理链路, 其他VLAN (如VLAN2) 中的设备尽管“看”不到出现异常VLAN中的数据帧, 但其所依赖的网络资源已被用尽, 因此, VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交换机附近, 那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。

要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生, 很容易想到在核心交换机和划有VLAN的交换机之间加上一层, 以隔离核心交换机和各个VLAN。这时就形成了目前较为流行的三层拓扑结构的网络, 如图2所示。

在三层网络结构中, 汇聚层与核心层之间的区域不再有VLAN, 汇聚层交换机的VLAN也仅限于部分端口, 这时汇聚层交换机成为被“路由共享”的交换机, 而且这种“路由共享”比图1的情况更弱。如果使汇聚层交换机的性能远高于接入层的交换机, 那么由VLAN的广播 (多由病毒引起) 所引起的整网瘫痪问题就基本解决了。

(四) 结束语

本文提出了高校利用VLAN技术防范ARP病毒攻击的设计与分析, 当然, 这只是防范VLAN的一种方法, 对于VLAN的划分, 不同品牌、不同型号的的设备效果也自然有所不同。在此不能一概而论, 但是, 经过VLAN划分的校园网不仅能够有效的防范ARP病毒的攻击, 缩小范围, 同时也能提高整个网络的效率。利于管理整个校园网络。

参考文献

[1]孔祥翠, 郭爱章, 耿玉水.校园局域网防ARP病毒的研究和解决[J].计算机安全, 2008 (4) :95-96.

[2]王玉宝.ARP病毒原理分析[J].电脑知识与技术, 2007 (17) :1268-1269.