教你使用ARP防火墻查殺ARP病毒防備措施

現(xiàn)在很多學(xué)校的校園網(wǎng)經(jīng)常出現(xiàn)掉線、IP沖突、大面積斷網(wǎng)等狀況， 這些問題的根源都是ARP欺騙攻擊的結(jié)果。 在沒有ARP欺騙之前， 數(shù)據(jù)流向是：網(wǎng)關(guān)<—>本機；ARP欺騙之后， 數(shù)據(jù)流向是：網(wǎng)關(guān)<—>攻擊者（“網(wǎng)管”）<—>本機， 本機與網(wǎng)關(guān)之間的所有通訊數(shù)據(jù)都將流經(jīng)攻擊者（“網(wǎng)管”）， “任人宰割”就難免了。

　　ARP防火墻通過在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包以及主動通告網(wǎng)關(guān)本機正確的MAC地址， 可以保障數(shù)據(jù)流向正確， 不經(jīng)過第三者， 從而保證通訊數(shù)據(jù)安全、網(wǎng)絡(luò)暢通、通訊數(shù)據(jù)不受第三者控制， 從而完美地解決問題。

　　使用ARP防火墻查殺ARP病毒的使用方法為：ARP攔截到本機外對的ARP攻擊時， 點擊進(jìn)入顯示詳細(xì)數(shù)據(jù)的頁面， PID即發(fā)送攻擊數(shù)據(jù)的進(jìn)程ID號， 雙擊此數(shù)據(jù)即可查看進(jìn)程的詳細(xì)信息。 或者選中數(shù)據(jù)后右擊， 選擇“查看進(jìn)程詳細(xì)信息”選項。

　　防御措施

　　ARP協(xié)議的安全漏洞來源于協(xié)議自身設(shè)計上的不足， ARP協(xié)議被設(shè)計成一種可信任協(xié)議， 缺乏合法性驗證手段。 從網(wǎng)絡(luò)管理的角度上分析， 主要的防御方法有：

　　1．不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上， 理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。 主機的IP→MAC地址對應(yīng)表手工維護(hù)， 輸入之后不再動態(tài)更新， 顯然可以避免ARP攻擊， 大多數(shù)三層交換機都支持這種方法。

　　2．設(shè)置靜態(tài)ARP緩存。 采用靜態(tài)緩存， 主機在與其他計算機通信時， 只要在自己的靜態(tài)緩存中根據(jù)對方IP地址找到相應(yīng)的MAC地址， 然后直接發(fā)送給對方。 攻擊者若向主機發(fā)送ARP應(yīng)答， 目標(biāo)主機也不會刷新ARP緩存， 從而避免了ARP欺騙的發(fā)生。

　　3．關(guān)閉ARP動態(tài)更新功能。 除非很有必要， 否則停止使用ARP， 將ARP作為永久條目保存在對應(yīng)表中。

　　4．使用ARP服務(wù)器。 即指定局域網(wǎng)內(nèi)部的一臺機器作為ARP服務(wù)器， 專門保存并且維護(hù)可信范圍內(nèi)的所有主機的IP地址與MAC地址映射記錄。 該服務(wù)器通過查閱自己緩存的靜態(tài)記錄并以被查詢主機的名義響應(yīng)ARP局域網(wǎng)內(nèi)部的請求。 確保這臺ARP服務(wù)器不被黑。

　　5．使用“proxy”代理IP的傳輸。

　　6．使用硬件屏蔽主機。 設(shè)置好路由， 確保IP地址能到達(dá)合法的路徑（靜態(tài)配置路由ARP條目）。 注意， 使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。

　　7．管理員定期用響應(yīng)的IP包中獲得一個rarp請求， 然后檢查ARP響應(yīng)的真實性。

　　8．管理員定期輪詢， 檢查主機上的ARP緩存。

　　9．使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。 注意有使用SNMP的情況下， ARP的欺騙有可能導(dǎo)致陷阱包丟失。