綜合方法處理防制ARP欺騙問題_ARP原理

l        ARP病毒防制方法函待加強(qiáng)

ARP病毒問題已經(jīng)講了很長一段時(shí)間了， 大家對于ARP病毒的防制也總結(jié)了不少的經(jīng)驗(yàn)， 不斷在網(wǎng)上發(fā)更新防制方法。 但是新的ARP病毒的變種更加猖獗， 更加充斥我們網(wǎng)絡(luò)的不同角落給我們的管理工作帶來不大不小的問題， 同時(shí)也影響到網(wǎng)絡(luò)的正常運(yùn)行， 所以對ARP病毒的防護(hù)仍然是一個(gè)熱點(diǎn)問題。

近日， 又聽到有許多網(wǎng)管抱怨傳統(tǒng)的綁定方法有時(shí)候不能做到防制或者不能根本解決問題， 例舉一些在日常處理中經(jīng)常會(huì)出現(xiàn)的問題：

1、在PC上綁定安全網(wǎng)關(guān)的IP和MAC地址或者做一個(gè)批處理文件來進(jìn)行綁定， ARP病毒可以自己動(dòng)改寫錯(cuò)誤網(wǎng)關(guān)MAC地址造成網(wǎng)絡(luò)中網(wǎng)關(guān)錯(cuò)誤， 造成局部或者大面積掉線問題。

2、在路由器做MAC綁定， 沒有從根本上解決ARP防護(hù),當(dāng)中ARP病毒的機(jī)器將其數(shù)據(jù)發(fā)到偽造的網(wǎng)關(guān)同樣會(huì)造成掉線等相關(guān)問題。

3、使用監(jiān)視軟件， 但是ARP病毒的發(fā)作是沒有規(guī)律可言的， 網(wǎng)管不能可時(shí)時(shí)都去注意這樣的問題。

4、客戶機(jī)安裝時(shí)綁定IP-MAC軟件， 根據(jù)CPU利用率而定， 因?yàn)樾枰獣r(shí)時(shí)網(wǎng)絡(luò)連通， 當(dāng)病毒發(fā)作的時(shí)候會(huì)突然掉線。

5、某些軟件通過做幾個(gè)假的DLL文件欺騙探測軟件， 但是某些ARP病毒軟件不需要探測就可以進(jìn)行ARP攻擊。

以上幾個(gè)常用的方法其起到的作用是有限的， 但是都會(huì)存在這樣或者那樣的弊端， 我們必須尋求更好的解決辦法， 下面我們來介紹幾招新的升級(jí)版的防治辦法， 這些都是Qno俠諾工程師們長期服務(wù)在一線工作中所積累寶貴經(jīng)驗(yàn)。

l        解決客戶實(shí)例

對于合肥有一家網(wǎng)吧有做了ARP綁定， 亦無法抵擋ARP攻擊， 我們Qno的工程師有聯(lián)系到客戶看他的電腦， 我看到的批處理如下， 并且PC 端通過Arp –a命令來確認(rèn)并沒有綁定。 原因在與其echo后面的中文的敘述沒有用“ ”來做標(biāo)示， 造成其批處理文件無法執(zhí)行， 其用戶本機(jī)上根本沒做相應(yīng)的綁定工作， 如圖1。

@echo OFF

ping XXX.XXX.XXX.XXX(保證客戶網(wǎng)絡(luò)安全， 其IP地址數(shù)字用X代替)

if %~n0==arp exit

if %~n0==Arp exit

if %~n0==ARP exit

echo 正在獲取本機(jī)信息..... 

:IP

FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=

%%i && GOTO MAC

:MAC

echo IP:%IP%

FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set

MAC=%%i && GOTO GateIP

:GateIP

echo MAC:%MAC%

arp -s %IP% %MAC%

echo 正在獲取網(wǎng)關(guān)信息.....

FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set

GateIP=%%i && GOTO GateMac

:GateMac

echo IP:%GateIP%

FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set

GateMAC=%%i && GOTO Start

:Start

echo MAC:%GateMAC%

arp -d

arp -s %GateIP% %GateMAC%

echo 操作完成!!!

exit

圖1

Qno俠諾工程師通過對批處理文件做相應(yīng)的修改， 再檢查路由器上的綁定， 之后這個(gè)網(wǎng)吧就沒有發(fā)現(xiàn)掉線問題了， 至今網(wǎng)絡(luò)運(yùn)行正常， 所以可看出通過雙向綁定是完全可以解決ARP病毒防制的， 確實(shí)是一個(gè)行之有效的辦法， 完全可以解決ARP病毒造成網(wǎng)絡(luò)吊線、IP沖突的現(xiàn)象， 使ARP病毒無能為力。 同時(shí)建議用戶在做雙向綁定后， 通過Arp –a的命令檢查綁定是否有效， 和路由器上的綁定是否有錯(cuò)誤， 這樣來進(jìn)一步確保防制ARP病毒的攻擊， 下面強(qiáng)調(diào)防制幾個(gè)注意的問題。

1、執(zhí)行完之后要用 arp -a 看 type 是 static 還是 dynamic。

2、不要用復(fù)雜的腳本， 最簡單的即可防止別人中了， 自己不受影響， 一般網(wǎng)吧都有還原卡， 網(wǎng)管可以用軟件監(jiān)察， 發(fā)現(xiàn)有中了ARP， 提醒一下客人以防盜取帳號(hào)密碼。

3、目前防毒軟件也沒有對此有很好的防范。

4、ARP稱之為病毒， 但實(shí)質(zhì)上對于ARP協(xié)議來說， 只是完善和加強(qiáng)（就好象信用卡在中國需要加密碼， 在外國只需要簽名一樣， 但不是信用機(jī)制出了問題）。

5、不要指望能過廣播發(fā)包， 最終受影響的是自己的網(wǎng)絡(luò)。 具體的ARP的解決方法

Qno俠諾工程師一般會(huì)提前做好防制工作， 同時(shí)需要在客戶端和路由器上做雙向的綁定工作， 這樣的話無論ARP病毒是偽造本機(jī)的IP/MAC或者網(wǎng)關(guān)的地址都不會(huì)出現(xiàn)上網(wǎng)掉線或者大面積斷線等問題了

1、激活防止ARP病毒攻擊：

進(jìn)入路由器“防火墻配置”的“基本頁面”， 激活“防止ARP病毒攻擊”， 如圖2

圖2   中文路由器Web管理頁面

2、對每臺(tái)pc上綁定網(wǎng)關(guān)的IP和其MAC地址

通過arp –s令或者批處理來實(shí)現(xiàn)pc的綁定工作。

如圖3， arp –s做綁定。

圖3

針對網(wǎng)絡(luò)內(nèi)的其他主機(jī)用同樣的方法輸入相應(yīng)的主機(jī)IP以及MAC地址完成IP與MAC綁定。 但是此動(dòng)作， 如果重啟了電腦， 作用就會(huì)消失， 所以可以把此命令做成一個(gè)批處理文件， 放在操作系統(tǒng)的啟動(dòng)里面：

   @echo off

arp -d

arp -s路由器LAN IP  路由器LAN MAC

對于已經(jīng)中了ARP攻擊的內(nèi)網(wǎng)， 要找到攻擊源。 方法：在PC上不了網(wǎng)或者ping丟包的時(shí)候， 在DOS下打 arp –a命令， 看顯示的網(wǎng)關(guān)的MAC地址是否和路由器真實(shí)的MAC相同。 如果不是， 則查找這個(gè)MAC地址所對應(yīng)的PC， 這臺(tái)PC就是攻擊源。

3、在路由器端綁定用戶IP/MAC地址：

進(jìn)入路由器“DHCP功能”的“DHCP配置”， 輸入內(nèi)網(wǎng)電腦的IP/MAC,并激活， 如圖4

圖4

點(diǎn)擊顯示新加入的IP地址后彈出IP與MAC綁定列表， 輸入計(jì)算機(jī)“名稱”和“激活”上“√”選， 再在右上角點(diǎn)確定， 如圖5。

圖5

此時(shí)你所綁定的選項(xiàng)就會(huì)出現(xiàn)在IP與MAC綁定列表框里， 如圖5再點(diǎn)擊“確認(rèn)/Apply”綁完成。

圖6

Qno俠諾技術(shù)工程師建議通過一些手段來進(jìn)一步控制ARP的攻擊。

1、病毒源， 對病毒源頭的機(jī)器進(jìn)行處理， 殺毒或重新裝系統(tǒng)。

2、網(wǎng)吧管理員檢查局域網(wǎng)病毒， 安裝殺毒軟件。

3、給系統(tǒng)安裝補(bǔ)丁程序。

4、給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的強(qiáng)密碼。

5、經(jīng)常更新殺毒軟件， 安裝并使用網(wǎng)絡(luò)防火墻軟件。

6、關(guān)閉一些不需要的服務(wù)， 條件允許的可關(guān)閉一些沒有必要的共享， 也包括C$、D$等管理共享。 完全單機(jī)的用戶也可直接關(guān)閉Server服務(wù)

7、建議用戶不要隨便點(diǎn)擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息， 以免病毒的傳播。

l        總結(jié)

我們通過以上綜合的方法來解決ARP病毒攻擊是行之有效的。 雖然ARP病毒版本不斷更新、不斷升級(jí)， 給企業(yè)用戶及網(wǎng)吧不斷帶來新的沖擊與危害， 但是如果能夠提前能夠提前做好防制工作， 相信ARP的危害會(huì)減少到最小的程度。