由于篇幅關(guān)系我們不可能在這里大幅講解ARP欺騙病毒的工作原理和擴(kuò)散機(jī)理，筆者只是對(duì)ARP欺騙病毒進(jìn)行一個(gè)大概介紹。所謂ARP欺騙病毒實(shí)際上就是一臺(tái)感染了病毒的計(jì)算機(jī)不斷的冒充網(wǎng)關(guān)的IP地址，不停的告訴網(wǎng)絡(luò)中所有計(jì)算機(jī)網(wǎng)關(guān)地址對(duì)應(yīng)的MAC信息是感染病毒機(jī)器的MAC，這樣由于他的發(fā)包量大大大于網(wǎng)關(guān)實(shí)際發(fā)送的ARP信息數(shù)據(jù)。

　　所以正確的ARP數(shù)據(jù)包被虛假偽裝過(guò)的數(shù)據(jù)包所掩蓋，從而導(dǎo)致到其他計(jì)算機(jī)要上網(wǎng)時(shí)會(huì)把對(duì)應(yīng)的數(shù)據(jù)發(fā)送到網(wǎng)關(guān)（實(shí)際上這個(gè)網(wǎng)關(guān)對(duì)應(yīng)的MAC已經(jīng)是中毒機(jī)器的MAC地址了），接下來(lái)數(shù)據(jù)的發(fā)送與接收完全由中毒機(jī)器和正常機(jī)器進(jìn)行了，正確的網(wǎng)關(guān)地址被徹底跳過(guò)，從而造成網(wǎng)絡(luò)訪問(wèn)出現(xiàn)問(wèn)題，虛假欺騙信息赫然網(wǎng)頁(yè)之上，其他計(jì)算機(jī)上網(wǎng)緩慢或者根本無(wú)法上網(wǎng)，甚至訪問(wèn)到的地址變成了一個(gè)虛假頁(yè)面等。

　　二，ARP欺騙病毒防治關(guān)鍵：

　　ARP欺騙病毒的誕生和傳播與爆發(fā)關(guān)鍵在于他向網(wǎng)絡(luò)中發(fā)送了大量的虛假數(shù)據(jù)包，虛假數(shù)據(jù)包的內(nèi)容是告訴其他計(jì)算機(jī)網(wǎng)關(guān)地址的MAC是感染病毒的MAC，比如這臺(tái)機(jī)器的MAC地址是1111-1111-1111，自己的IP地址是192.168.1.5，網(wǎng)絡(luò)中真正網(wǎng)關(guān)地址是192.168.1.254，那么虛假數(shù)據(jù)包就是告訴其他計(jì)算機(jī)192.168.1.254對(duì)應(yīng)的MAC地址是1111-1111-1111。

　　由于TCP/IP協(xié)議傳輸是從低層數(shù)據(jù)鏈路層開始到高層網(wǎng)絡(luò)層的，所以辨認(rèn)計(jì)算機(jī)先要通過(guò)MAC地址，由于網(wǎng)絡(luò)中其他計(jì)算機(jī)已經(jīng)接收到了192.168.1.254地址對(duì)應(yīng)的MAC是1111-1111-1111，那么他們將首先通過(guò)MAC和ARP緩存信息來(lái)確定定位目標(biāo)網(wǎng)關(guān)計(jì)算機(jī)。

　　因此通過(guò)上面的分析我們可以明確一點(diǎn)，那就是防范ARP欺騙病毒的關(guān)鍵就是處理這種非法數(shù)據(jù)包——IP地址是網(wǎng)關(guān)而MAC地址是感染病毒的計(jì)算機(jī)。

　　三，ARP病毒的防治思路：

　　本文主要討論的是一種ARP欺騙蠕蟲病毒的防治思路，是一種防患于未燃的措施，如果ARP欺騙病毒已經(jīng)爆發(fā)，那么各位網(wǎng)絡(luò)管理員需要做的就是通過(guò)sniffer來(lái)檢測(cè)病毒定位目標(biāo)計(jì)算機(jī)了，具體的方法我在之前的“零距離接觸Downloader病毒”文章中已經(jīng)介紹過(guò)，這里就不詳細(xì)說(shuō)明了。

　　下面說(shuō)下防治思路——我們將防治的關(guān)鍵點(diǎn)放在處理ARP欺騙數(shù)據(jù)包上，由于我們知道了欺騙數(shù)據(jù)包內(nèi)容是“IP地址是網(wǎng)關(guān)而MAC地址是感染病毒的計(jì)算機(jī)”，只要針對(duì)此數(shù)據(jù)包進(jìn)行過(guò)濾即可。在網(wǎng)絡(luò)沒有病毒時(shí)我們是可以知道真正的網(wǎng)關(guān)對(duì)應(yīng)的正確MAC地址的，只需要通過(guò)arp -a或者直接在交換機(jī)上查詢即可。這里假設(shè)真正網(wǎng)關(guān)對(duì)應(yīng)MAC地址是2222-2222-2222。

　　那么我們需要在交換機(jī)上設(shè)置一種訪問(wèn)控制列表過(guò)濾策略，將所有從交換機(jī)各個(gè)端口out方向上發(fā)送的源地址是192.168.1.254但是源MAC地址不是2222-2222-2222，或者目的地址是192.168.1.254而目的MAC地址不是2222-2222-2222的數(shù)據(jù)包丟棄（放入黑洞loopback環(huán)路），同時(shí)自動(dòng)關(guān)閉相應(yīng)的交換機(jī)端口。

　　四，防治ARP欺騙病毒模擬流程：

　　由于ARP欺騙病毒的傳播是需要通過(guò)交換機(jī)發(fā)送虛假?gòu)V播信息的，而虛假數(shù)據(jù)信息內(nèi)容中源或目的地址IP信息一定包括192.168.1.254，而對(duì)應(yīng)的MAC地址一定不是正確的2222-2222-2222，因此這類虛假數(shù)據(jù)會(huì)被之前我們?cè)诮粨Q機(jī)上設(shè)置的訪問(wèn)控制列表或過(guò)濾策略所屏蔽，再結(jié)合自動(dòng)關(guān)閉對(duì)應(yīng)端口徹底避免ARP欺騙蠕蟲病毒的傳播。之后感染了病毒的計(jì)算機(jī)將無(wú)法上網(wǎng)，他一定會(huì)聯(lián)系網(wǎng)絡(luò)管理員，從而幫助我們快速定位問(wèn)題計(jì)算機(jī)，在第一時(shí)間解決問(wèn)題。

　　小提示：

　　不過(guò)如果企業(yè)網(wǎng)絡(luò)中采取的拓?fù)涫窃谝粋�(gè)交換機(jī)端口下還連接有諸如HUB的設(shè)備的話，那么如果連接HUB設(shè)備的下屬計(jì)算機(jī)中有感染ARP欺騙病毒的話，交換機(jī)端口依然會(huì)自動(dòng)關(guān)閉，整個(gè)HUB設(shè)備下連計(jì)算機(jī)都將無(wú)法上網(wǎng)，所以建議大家還是盡量采用交換機(jī)來(lái)連接企業(yè)計(jì)算機(jī)。

　　五，總結(jié)：

　　這種防范措施是需要結(jié)合ACL訪問(wèn)控制列表以及路由策略等多個(gè)路由交換設(shè)備功能的，首先要保證路由交換設(shè)備支持這些功能，另外還要進(jìn)行合理的設(shè)置，不能夠過(guò)濾掉正確的數(shù)據(jù)包。當(dāng)然本文內(nèi)容只是筆者在多次對(duì)抗ARP欺騙病毒后產(chǎn)生的一個(gè)防范思路，希望可以和更多的朋友一起探討，了解更多的建議，大家共同進(jìn)步將ARP欺騙病毒徹底查殺。
【看看這篇文章在百度的收錄情況】

相關(guān)文章

• 上一篇： 如何配置防火墻與路由器安全
• 下一篇： 如何應(yīng)用網(wǎng)絡(luò)防火墻全方位保護(hù)網(wǎng)絡(luò)安全