欢迎来到天天文库
浏览记录
ID:10164229
大小:28.50 KB
页数:6页
时间:2018-06-12
《晋煤集团防止arp病毒攻击解决方案》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、晋煤集团防止arp病毒攻击解决方案【摘要】arp病毒经常造成企业网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等现象。【关键词】arp病毒仿冒网关ACL访问控制列表一、ARP病毒及其攻击介绍ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。它经常造成我们企业网络掉线,但网络连接正常,内网
2、的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等现象。按照TCP/IP协议的原理,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。晋煤集团网络中,常见的ARP攻击有如下几种形式:(一)仿冒网关6攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这
3、样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。(二)欺骗网关攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。(三)欺骗终端用户攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身A
4、RP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访。(四)“中间人”攻击ARP“中间人”攻击,又称为ARP双向欺骗。例如,HostA和Host6C通过Switch进行通信。此时,如果有恶意攻击者(HostB)想探听HostA和HostC之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,HostA和HostC之间看似“直接”的通信,实际上都是通过黑客所在
5、的主机间接进行的,即HostB担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。(五)ARP报文泛洪攻击恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。二.解决方案:(一)阻止仿冒网关IP的arp攻击1.二层交换机3652是三层设备,其中ip:100.1.1.1是所有pc的网关,3652上的网关mac地址为000f-e200-3999。PC-B上装有arp攻击软件。现在需要对3126_A进行一些特殊配置,目的是过滤
6、掉仿冒网关IP的arp报文。对于二层交换机如3126c等支持ACLnumber为5000到5999的交换机,可以配置acl来进行报文过滤。(1)全局配置deny所有源IP是网关的arp报文(自定义规则)6ACLnum5000rule0deny0806ffff2464010101ffffffff40rule1permit0806ffff24000fe2003999ffffffffffff34rule0目的:把整个3126C_A端口冒充网关的ARP报文禁掉,其中蓝色部分64010101是网关ip地址的16进制表示形式:100.1.1.1=64010101。
7、rule1目的:把上行口的网关ARP报文允许通过,蓝色部分为网关3652的mac地址000f-e200-3999。注意配置Rule时的配置顺序,上述配置为先下发后生效的情况。在S3126C-A系统视图下发acl规则:[S3126C-A]packet-filteruser-group5000这样只有3126C_A上连设备能够下发网关的ARP报文,其它pc就不能发送假冒网关的arp响应报文。(二)三层交换机对于三层设备,需要配置过滤源IP是网关的arp报文的acl规则,配置如下acl规则:ACLnum5000rule0deny0806ffff2464010
8、105ffffffff406rule0目的:把所有3652E端口冒充网关的ARP报文禁掉,其中
此文档下载收益归作者所有