资深网管浅谈ARP病毒的防治思路pc软件 文章资讯 手机软件

您当前的位置→图文中心ARP文章ARP经验资深网管浅谈ARP病毒的防治思路

资深网管浅谈ARP病毒的防治思路


2008/9/12 20:59:24 编辑:佚名 来源:admin 

浏览我们我自己网站的读者中大部分都是企业的网管以及网络net安全爱好者, 相信最近一段时间最让我们我自己头疼的莫过于ARP欺骗类蠕虫病毒了, 这种病毒处理起来很麻烦, 一台机器感染会造成网段中所有机器的上网中断或混乱。 笔者也曾经为ARP欺骗类蠕虫病毒所困饶, 下面笔者根据记录我自己的经验和经历和大家一起探讨下ARP欺骗类病毒的防治思路。

  一, ARP欺骗病毒概述:

  由于篇幅关系我们我自己不有可能就在这里大幅讲解ARP欺骗病毒的工作原理和扩散机理, 笔者只是对ARP欺骗病毒来进行一个大概介绍说明。 所谓ARP欺骗病毒实际上就是一台感染了病毒的电脑计算机会一直不断的冒充网关的IP地址, 不停的告诉网络net中所有电脑计算机网关地址对应的MAC信息是感染病毒机器的MAC, 这样由于他的发包量很大很大大于网关实际发送send的ARP信息数据信息。

  所以对的的ARP数据信息包被虚假伪装过的数据信息包所掩盖, 从而导致到其他电脑计算机要上网时会把对应的数据信息发送send到网关(实际上这个网关对应的MAC已经是中毒机器的MAC地址了), 接下来数据信息的发送send与接收完全由中毒机器和正常机器来进行了, 对的的网关地址被彻底跳过, 从而造成网络net访问出现问题, 虚假欺骗信息赫然网页之上, 其他电脑计算机上网缓慢或者根本再也不能够上网, 甚至访问到的地址变成了一个虚假页面等。

  二, ARP欺骗病毒防治关键:

  ARP欺骗病毒的诞生和传播与爆发关键就在于他向网络net中发送send了大量的虚假数据信息包, 虚假数据信息包的内容是告诉其他电脑计算机网关地址的MAC是感染病毒的MAC, 比如这台机器的MAC地址是1111-1111-1111, 我自己的IP地址是192.168.1.5, 网络net中真正网关地址是192.168.1.254, 那么虚假数据信息包就是告诉其他电脑计算机192.168.1.254对应的MAC地址是1111-1111-1111。

  由于TCP/IP协议传输是从低层数据信息链路层现在开始到高层网络net层的, 所以辨认电脑计算机先要可以通过MAC地址, 由于网络net中其他电脑计算机已经接收到了192.168.1.254地址对应的MAC是1111-1111-1111, 那么他们将最先是可以通过MAC和ARP缓存信息来确定定位目标网关电脑计算机。

  因此可以通过上面的分析我们我自己可以能够明确一点, 那就是防范ARP欺骗病毒的关键就是处理这种非法数据信息包——IP地址是网关而MAC地址是感染病毒的电脑计算机。

  三, ARP病毒的防治思路:

  本文主要讨论的是一种ARP欺骗蠕虫病毒的防治思路, 是一种防患于未燃的措施, 如果ARP欺骗病毒已经爆发, 那么各位网络net管理员有请求需要做的就是可以通过sniffer来检测病毒定位目标电脑计算机了, 具体的方法我就在之前的“零距离接触Downloader病毒”文章中已经介绍说明过, 这里就不详细说明了。

  下面说下防治思路——我们我自己将防治的关键点放就在处理ARP欺骗数据信息包上, 由于我们我自己知道了欺骗数据信息包内容是“IP地址是网关而MAC地址是感染病毒的电脑计算机”, 只要针对此数据信息包来进行过滤即可。 就在网络net没有病毒时我们我自己是可以能够知道真正的网关对应的对的MAC地址的, 只有请求需要可以通过arp -a或者直接就在交换机上查询即可。 这里假设真正网关对应MAC地址是2222-2222-2222。

  那么我们我自己有请求需要就在交换机上布置设置一种访问控制列表过滤策略, 将所有从交换机各个端口out方向上发送send的源地址是192.168.1.254但是源MAC地址不是2222-2222-2222, 或者目的地址是192.168.1.254而目的MAC地址不是2222-2222-2222的数据信息包丢弃(放入黑洞loopback环路), 同一个时间全自动关闭相应的交换机端口。

  四, 防治ARP欺骗病毒模拟流程:

  由于ARP欺骗病毒的传播是有请求需要可以通过交换机发送send虚假广播信息的, 而虚假数据信息信息内容中源或目的地址IP信息一定包括192.168.1.254, 而对应的MAC地址一定不是对的的2222-2222-2222, 因此这类虚假数据信息会被之前我们我自己就在交换机上布置设置的访问控制列表或过滤策略所屏蔽, 再结合全自动关闭对应端口彻底避免ARP欺骗蠕虫病毒的传播。 之后感染了病毒的电脑计算机将再也不能够上网, 他一定会联系网络net管理员, 从而协助我们我自己快速定位问题电脑计算机, 就在第一时间解决处理问题。

  小提示:

  不过如果企业网络net中采取的拓扑是就在一个交换机端口下还连载有诸如HUB的设备的话, 那么如果连载HUB设备的下属电脑计算机中有感染ARP欺骗病毒的话, 交换机端口依然会全自动关闭, 整个HUB设备下连电脑计算机都将再也不能够上网, 所以主张大家还是尽量采用交换机来连载企业电脑计算机。

  五, 总结:

  这种防范措施是有请求需要结合ACL访问控制列表以及路由策略等多个路由交换设备功能的, 最先是要保证路由交换设备支持这些功能, 另外还要来进行合理的布置设置, 不能够够过滤掉对的的数据信息包。 当然本文内容只是笔者就在多次对抗ARP欺骗病毒后产生的一个防范思路, 真的希望可以能够和更多的网友朋友一起探讨, 了解更多的主张, 大家共同进步将ARP欺骗病毒彻底查杀。

相关文章
  • 王者荣耀:排位资深老司机给大家的实用技巧,你不得不知
  • SETI资深天文学家说外星人为什么要来地球?
  • 资深Linux系统管理员网络安全经验谈
  • 资深网管浅谈ARP病毒的防治思路
  • 发表评论
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图