基于大型校园网的ARP病毒防范

2、代表。它包括伪造和应答包请求和假冒中间人两种方式。进行主机攻击从而更新H标主机的ARP缓存，赢得目标主机的信任，然后再实施有效攻击或非法监听网络数据包,造成目标主机被破坏或机密信息泄漏等一系列灾难性后果。vBR>—、校园基木状况vBR>我校现有两人校区，一为坐落在国际旅游城市的三亚市主校区和原坐落在“翡翠山城”五指山市老校区。两校区间相距上百公里，有学生公寓、教师住宅区、办公、公共计算机实验机房、图书馆等用八群，计算机数量庞大,使得校园网内极易产牛广播风暴;物理分布的不均匀，终端机群有的数量大，有的终端只有几台甚至只

3、有台微机，有的终端机群距离中心机房数T•米甚至上百千米，这使校园网布线复朵性和施工维护难度大大增加。基于我校现有的大型校园网的特殊性，木文结合实际提出了优化解决方案。vBR>二、ARP工作机制原理
地址解析协议是在仅知道主机的IP地址时确定其物理地址的一种协议。ARP具体说来就是将网络层（IP层,也就是相当于OSI的第三层）地址解析为数据连接层（MAC层,也就是相当于OSI的第二层）的MAC地址。假设计算机A的IP为192.168.0.1,MAC地址为0a-1b-2c-3d-4e-00;计算机B的IP为192.

4、16&0.2,MAC地址为0a-lb-2c-3d-4e-0U在TCP/IP协议中,A给B发送IP包，在包头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候，还需要进行次以太包的封装，在这个以太包屮,目标地址就是B的MAC地址。计算机A是如何得知B的MAC地址的呢?解决问题的关键就在于ARP协议。在A不知道B的MAC地址的悄况.卜:A就在局域网中广播一个ARP请求包，请求包中填有B的IP（192.168.0.2）,以太网中的所有计算机都会接收这个请求，而正常的情况下只有B会给出ARP应答包，包中就填充上了

5、B的MAC地址，并回复给A,A得到ARP应答后，将B的MAC地址放入本机缓存,便于下次使用。本机MAC缓存是有生存期的,生存期结束示，将再次重复上而的过程。这是一种非常高效通信机制,但存在安全隐患。它是无状态的协议，不会检杏自己是否发过请求包，也不管是否是合法的应答,只要收到目标MAC是自己的ARPreply包或ARP广播包，都会接受并缓存。这就为ARP欺骗提供了方便，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。对整个校园网进行攻击，给网络管理工作者带来麻烦。vBR>三、防范策略与解

6、决方法vBR>（—）建立MAC数据库vBR>把校园网内所有IP地址所对应的网卡MAC地址、地理位置统统记录,并装入数据库以便及时查询备案。vBR>（二）建立APR静态路山表vBR>网关机器关闭ARP动态刷新的过程,使用静态路山，这样的话，即使犯罪嫌疑人使用ARP欺骊攻击网关的话.这样对网关也是没有用的，确保主机安全。
网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件，其屮包含正确的IP/MAC对应关系,格式如F:192.168.1.209:01:4B:B1:23:45然后用/etc/rc.d

7、/rc.local最后添加:arp-f生效即可。
(三)对三层交换机“下手”vBR>APR病毒攻击是以整个校园网为目标，而三层交换机作为我校整个校园网的核心，是整个校园网的出口,利用三层交换机来构建物理网络,在交换机端并且过滤掉所有非法的ARP包。并在此基础上构建虚拟局域网，这样可以让ARP攻击足不能出户,在局域网内就消除了目前的ARP病毒及其变种的攻击。三层交换技术就是:二层交换技术+三层转发技术。一•个具有三层交换功能的设备，是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器

8、设备的硕件和软件简单的叠加在局域网交换机上。VLAN乂称虚拟局域网,是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑了网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑了网屮。根据人型校园网的特殊性，对安全等级高流动性小终端微机结合传统的