科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道软硬结合对抗ARP欺骗

软硬结合对抗ARP欺骗

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

网络上利用ARP欺骗传播病毒、盗取网银信息的木马程序越来越多,盗取金额竟上亿元,防范ARP欺骗已成燃眉之急。

作者:论坛整理 来源:zdnet网络安全 2008年1月22日

关键字: 攻击防范 安全管理 ARP欺骗

  • 评论
  • 分享微博
  • 分享邮件

网络上利用ARP欺骗传播病毒、盗取网银信息的木马程序越来越多,盗取金额竟上亿元,防范ARP欺骗已成燃眉之急。

从去年下半年开始,国内许多校园网、企业网、网吧都出现了网络时通时断的现象。安装有防病毒软件的计算机打开任何网站都会报网页中存在病毒,查看网页源代码就会发现有类似<script>http://xxxxx.xxx/xx.js</script>的含病毒脚本代码。粗看以为网站网页被黑,但实际并不是这样,用网管软件监测会发现,局域网的许多IP地址竟对应着同一MAC地址——这在正常情况下是绝不可能的,网络中肯定有ARP攻击。

在局域网中,同一子网中的两台计算机通信的建立实际上是通过MAC地址来完成的,所以两台计算机通信前必须将IP地址转换MAC地址,这个过程是由ARP协议完成的。ARP欺骗有两种攻击:一种是对路由器(网关)的欺骗,另一种是对内网计算机的欺骗。当然也可能两种攻击同时进行。不管怎么样,欺骗广播发送后,计算机和路由器之间发送的数据包就可能被送到错误的MAC地址上。从表面上来看,就是上不了网或打开的网站都有病毒。上网的计算机若没有及时更新系统补丁,就很容易感染病毒,网络用户的安全信息也很容易被盗。由此可看出ARP欺骗对局域网计算机安全影响巨大,已成为目前影响网络正常运行的主要因素。

由于ARP欺骗是利用了网络连接建立原理设计上的缺陷,所以从根本上解决的方案估计没有,但要恢复局域网中计算机的正常上网,阻断欺骗机对网络的影响还是有办法的。根据ARP欺骗的原理,要防止ARP欺骗必须阻止计算机和路由器的ARP缓存表被非法篡改。目前较为有效的方法是MAC地址双向绑定。即路由器上绑定客户机IP-MAC地址对照信息,客户机上绑定路由器IP-MAC地址对照信息。对于客户机上的MAC地址绑定相对较容易,使用下面的批处理并加入计算机的启动项中就可完成。

ARP-d
ARP-s 网关IP网关MAC

然而这种方法只能在计算机启动时实施一次MAC地址绑定,效果可能有限。互联网上也有专门用于防范ARP欺骗的软件,如Ani ARP Sniffer、360ARP防火墙等,这类软件的防范原理是自动检测实时防篡改的MAC地址绑定。

对于路由器上的MAC地址绑定相对较繁琐,需要事先知道客户机的IP及MAC地址信息,不同品牌的路由器绑定的操作方法也不相同。这种方法比较适用规模较小、变化不大的计算机网络。路由器MAC地址绑定后,当客户机网卡变动后就要更新对应的路由器绑定数据,否则就不能上网,所以维护也较繁琐。同样若用WIN2000/2003的路由功能,则可以用下面的批处理实现MAC地址绑定。

ARP-d
ARP-s 计算机AIP地址 计算机A网关MAC地址
ARP-s  计算机BIP地址 计算机B网关MAC地址
……

鉴于ARP欺骗的流行,不少网络设备厂商推出号称具有防范ARP欺骗的安全网关、路由器产品,其防范原理是定期向内部网络广播正确的网关IP-MAC地址对照信息。这种产品应该说具有一定的防护作用,但在欺骗攻击较多时,也会失去它的作用,且这类网络设备和MAC地址欺骗木马一起不断向网络发送广播数据包,占用了很大的网络带宽,会大大降低网络的连接速度,故不推荐采用。

笔者认为,ARP欺骗是由感染ARP欺骗病毒计算机发起的,运用上边介绍的方法只能从表面上解决客户机的故障,问题的关键并没有解决。要及时找到中毒计算机,,将其从网络隔离,清除ARP欺骗病毒并做好防病毒工作,这才是维护网络正常运作的关键。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章