在企业局域网中,恐怕网管员经常遇到的一个问题是:局域网ARP攻击。ARP攻击具有宏大的危害,将会使得局域网电脑大面积掉线,严重影响员工上网,也招致企业信息化系统无法正常运转,从而间接影响了单位的经常的消费和运营活动。为此,企业局域网必需严防ARP攻击行为、防备ARP诈骗,避免ARP攻击招致的断网现象。
那么,什么是ARP攻击、ARP诈骗呢?ARP攻击的原理其实就是攻击主时机向局域网电脑播送一个错误的ARP信息,一般而言发送的ARP攻击包不外乎攻击者的MAC地址加上网关的IP地址,这样局域网电脑在遭到这种ARP攻击报文时,会更新本人电脑的ARP表项,然后就以为攻击源主机的MAC地址就是网关的MAC地址,由于局域网通讯是通过MAC地址来进行传输的,因而遭到ARP攻击的电脑就会将报文发送到发起ARP攻击的电脑上了,然后攻击源主机就会获取被攻击电脑的一切上网报文,然后再通过一定的技术手腕解析出报文里面的具体信息,如密码、口令等;当然,大多数ARP攻击行为是为了控制电脑的数据包的发送进而控制电脑的上网速度,到达限制局域网电脑网速,然后独占上网流量的目的。此外,一些歹意的ARP攻击行为会伪造一个错误的MAC地址然后播送给局域网一切的电脑,然后让局域网遭到攻击的电脑将公网报文发送到一个不存在的MAC地址,从而到达使得整个局域网电脑无法上网的目的。如下图所示:
图:ARP病毒攻击原理表示图
那么,企业网管员如何应对ARP攻击、避免ARP病毒攻击呢?笔者汇总了当前国内企业局域网防ARP病毒攻击的几种最常见的做法,这些ARP攻击防护办法假如应用得当,可以很大水平上防止ARP攻击对局域网形成的各种危害,保证网络的安.全、稳定和畅通。具体计划汇总如下:
1、 部署ARP防火墙防御ARP攻击、抵御ARP诈骗。通过对ARP攻击原理的剖析得知,有效避免ARP断网攻击的办法就是采用ARP防火墙来绑定电脑的ARP表项,也就是网关的IP和MAC地址进行绑定。当然,也不一定非要通过ARP防火墙的方式来完成,通过操作系统的自带的ARP绑定命令同样可以完成网关的ARP镜头绑定,从而到达有效限制ARP攻击行为的目的。
2、 通过购置带有防ARP诈骗功能、查杀ARP病毒的路由器、防火墙来抵御ARP攻击行为。现在一些带有上网行为管理功能的路由器、防火墙常常集成了ARP攻击防护功能,可以有效避免局域网ARP攻击行为;同时,也可以通过路由器的IP和MAC地址绑定来到达防备ARP攻击的目的。
3、 通过部署专业的ARP攻击防护软件、ARP病毒检测软件来检测局域网ARP攻击行为,一旦发现ARP攻击行为,则可以通过ARP攻击防御软件来对其进行防御,甚至隔分开局域网,从而一方面可以让网管员及时发现并遏止局域网电脑的ARP攻击行为,甚至配合行政处分等来管控局域网员工随意使用ARP攻击软件、ARP限速软件来干扰和毁坏局域网的行为,不至于在局域网出.现ARP攻击行为时无法定位查找攻击源主机的窘况;另一方面,通过ARP攻击防御软件的隔离、免疫举措,可以即时避免ARP攻击行为给局域网形成的危害,避免员工电脑不当心遭遇ARP病毒侵袭时,对局域网形成的断网攻击危害。目前,国内一些伤上网行为管理厂家推出了一系列的ARP攻击防护软件或带有ARP攻击防护功能的网络管理产品。我们以国内较为知名的网管软件“聚生网管”为例,聚生网管系统集成了ARP攻击检测功能,也就是在局域网启动聚生网管系统后,一旦有局域网电脑主动或被动发起ARP攻击行为时,聚生网管系统会实时输动身动ARP攻击的电脑的IP和MAC地址等信息,同时自意向局域网发送ARP攻击免疫信息,从而极大地降低了ARP攻击对局域网形成的危害,使得局域网电脑不会由于ARP攻击而出.现掉线和断网现象。同时,通过聚生网管系统集成的“大势至局域网安.全卫士”,可以将发起ARP攻击的电脑进行强迫隔离,使得发起ARP攻击的电脑无法再向局域网发起ARP攻击,同时也无法和局域网其他电脑通讯,也无法访问互联网,使其完全隔分开局域网。如下图所示:
图:聚生网管ARP攻击防御功能
图:大势至内网安.全卫士防备ARP攻击功能截图
总之,局域网有效避免ARP攻击和避免ARP诈骗,必需综合采用各种手腕,才可以有效避免局域网ARP攻击对企业内部局域网形成的危害,有力地维护局域网网络安.全的稳定和畅通。
|