扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
本文主要讨论的是一种ARP欺骗蠕虫病毒的防治思路,是一种防患于未燃的措施,如果ARP欺骗病毒已经爆发,那么各位网络管理员需要做的就是通过sniffer来检测病毒定位目标计算机了,具体的方法我在之前的“零距离接触Downloader病毒”文章中已经介绍过,这里就不详细说明了。
下面说下防治思路——我们将防治的关键点放在处理ARP欺骗数据包上,由于我们知道了欺骗数据包内容是“IP地址是网关而MAC地址是感染病毒的计算机”,只要针对此数据包进行过滤即可。在网络没有病毒时我们是可以知道真正的网关对应的正确MAC地址的,只需要通过arp -a或者直接在交换机上查询即可。这里假设真正网关对应MAC地址是2222-2222-2222。
那么我们需要在交换机上设置一种访问控制列表过滤策略,将所有从交换机各个端口out方向上发送的源地址是192.168.1.254但是源MAC地址不是2222-2222-2222,或者目的地址是192.168.1.254而目的MAC地址不是2222-2222-2222的数据包丢弃(放入黑洞loopback环路),同时自动关闭相应的交换机端口。
四、防治ARP欺骗病毒模拟流程:
由于ARP欺骗病毒的传播是需要通过交换机发送虚假广播信息的,而虚假数据信息内容中源或目的地址IP信息一定包括192.168.1.254,而对应的MAC地址一定不是正确的2222-2222-2222,因此这类虚假数据会被之前我们在交换机上设置的访问控制列表或过滤策略所屏蔽,再结合自动关闭对应端口彻底避免ARP欺骗蠕虫病毒的传播。之后感染了病毒的计算机将无法上网,他一定会联系网络管理员,从而帮助我们快速定位问题计算机,在第一时间解决问题。
小提示:
不过如果企业网络中采取的拓扑是在一个交换机端口下还连接有诸如HUB的设备的话,那么如果连接HUB设备的下属计算机中有感染ARP欺骗病毒的话,交换机端口依然会自动关闭,整个HUB设备下连计算机都将无法上网,所以建议大家还是尽量采用交换机来连接企业计算机。
五、总结:
这种防范措施是需要结合ACL访问控制列表以及路由策略等多个路由交换设备功能的,首先要保证路由交换设备支持这些功能,另外还要进行合理的设置,不能够过滤掉正确的数据包。当然本文内容只是笔者在多次对抗ARP欺骗病毒后产生的一个防范思路,希望可以和更多的朋友一起探讨,了解更多的建议,大家共同进步将ARP欺骗病毒彻底查杀。
濠电姷鏁告慨鐑姐€傛禒瀣劦妞ゆ巻鍋撻柛鐔锋健閸┾偓妞ゆ巻鍋撶紓宥咃躬楠炲啫螣鐠囪尙绐為梺褰掑亰閸撴盯鎮惧ú顏呪拺闂傚牊鍗曢崼銉ョ柧婵犲﹤瀚崣蹇旂節婵犲倻澧涢柛瀣ㄥ妽閵囧嫰寮介妸褋鈧帡鏌熼挊澶婃殻闁哄瞼鍠栭幃婊堝煛閸屾稓褰嬮柣搴ゎ潐濞叉ê鐣濈粙璺ㄦ殾闁割偅娲栭悡娑㈡煕鐏炲墽鐭嬫繛鍫熸倐濮婄粯鎷呯粵瀣異闂佹悶鍔嬮崡鍐茬暦閵忋倕鍐€妞ゆ劑鍎卞皬闂備焦瀵х粙鎴犫偓姘煎弮瀹曚即宕卞Ο闀愮盎闂侀潧鐗嗛幊搴㈡叏椤掆偓閳规垿鍩ラ崱妞剧凹濠电姰鍨洪敋閾荤偞淇婇妶鍛櫤闁稿鍊圭换娑㈠幢濡纰嶉柣搴㈣壘椤︾敻寮诲鍫闂佸憡鎸鹃崰搴敋閿濆鏁嗗〒姘功閻绻涢幘鏉戠劰闁稿鎹囬弻锝呪槈濞嗘劕纾抽梺鍝勬湰缁嬫垿鍩為幋锕€宸濇い鏇炴噺閳诲﹦绱撻崒娆戝妽妞ゃ劌鎳橀幆宀勫磼閻愰潧绁﹂柟鍏肩暘閸斿矂鎮為崹顐犱簻闁圭儤鍨甸鈺呮倵濮橆剦妲归柕鍥у瀵粙濡歌閸c儳绱撴担绛嬪殭婵☆偅绻堝濠氭偄绾拌鲸鏅i悷婊冪Ч閹﹢鎳犻鍌滐紲闁哄鐗勯崝搴g不閻愮儤鐓涢悘鐐跺Г閸犳﹢鏌℃担鐟板鐎规洜鍠栭、姗€鎮╅搹顐ら拻闂傚倷娴囧畷鍨叏閹惰姤鈷旂€广儱顦崹鍌炴煢濡尨绱氶柨婵嗩槸缁€瀣亜閺嶃劎鈽夋繛鍫熺矒濮婅櫣娑甸崨顔俱€愬銈庡亝濞茬喖宕洪埀顒併亜閹哄棗浜鹃梺鎸庢穿婵″洤危閹版澘绫嶉柛顐g箘椤撴椽姊虹紒妯哄鐎殿噮鍓欒灃闁告侗鍠氶崢鎼佹⒑閸撴彃浜介柛瀣閹﹢鏁冮崒娑氬幈闁诲函缍嗛崑鍡樻櫠椤掑倻纾奸柛灞剧☉缁椦囨煙閻熸澘顏柟鐓庢贡閹叉挳宕熼棃娑欐珡闂傚倸鍊风粈渚€骞栭銈傚亾濮樺崬鍘寸€规洖缍婇弻鍡楊吋閸涱垽绱遍柣搴$畭閸庨亶藝娴兼潙纾跨€广儱顦伴悡鏇㈡煛閸ャ儱濡煎褜鍨伴湁闁绘ǹ绉鍫熺畳闂備焦瀵х换鍌毼涘Δ鍛厺闁哄洢鍨洪悡鍐喐濠婂牆绀堟慨妯挎硾閽冪喖鏌曟繛褍瀚烽崑銊╂⒑缂佹ê濮囨い鏇ㄥ弮閸┿垽寮撮姀鈥斥偓鐢告煥濠靛棗鈧懓鈻嶉崶銊d簻闊洦绋愰幉楣冩煛鐏炵偓绀嬬€规洟浜堕、姗€鎮㈡總澶夌处