IDC中心的ARP攻击与防御解决方案(3)
2025-04-30
4 防范措施
针对IDC机房内经常发生的ARP病毒攻击,在此介绍防范ARP攻击的几种方法。
4.1 常用解决方法
(1)捆绑MAC和IP地址
杜绝IP 地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行捆绑。如:ARP-s 192.16.10.400-EO-4C-6C-08-75.这样,就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了,即使别人盗用您的IP 地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。
(2)修改MAC地址,欺骗ARP欺骗技术
就是假冒MAC 地址,所以最稳妥的一个办法就是修改机器的MAC 地址,只要把MAC 地址改为别的,就可以欺骗过ARP 欺骗,从而达到突破封锁的目的。
(3)交换机端口设置
①端口保护(类似于端口隔离):ARP 欺骗技术需要交换机的两个端口直接通讯,端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯,需要通过转发才能相互通讯。
②数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL,每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤,扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤,异词检查伪装MAC 地址的帧。
(4)禁止网络接口做ARP解析
在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报文)如ARP——s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix , NT 等,都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。
(5)定期检查ARP缓存
管理员定期用响应的IP 包中获得一个rarp 请求,然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。
4.2 推荐使用方法
根据ARP欺骗攻击的常见方式及IDC机房自身特点,在IDC机房推荐采取网关及其网内主机的IP—MAC的静态双向绑定办法,这是一个较全面并相对持久的解决方式。
此种双向静态绑定的作法,是分别对网关的ARP缓存中的IP地址—MAC地址及其网内各主机的IP地址—MAC地址进行静态绑定,并把正确的IP地址及MAC地址记下来。
具体方法为,建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47,然后再在/etc/rc.d/rc.local最后添加:arp -f生效即可。
通过双向静态绑定可再也不受其它人的信息干扰,之后完全按照绑定的地址进行信息的传输,可排除其他错误指令的干扰,能有效地完成工作。在这种情况下,可大大降低用户服务器或主机在受到攻击时无法访问而掉线的情况发生。此种解决方案虽然对IDC中心会带来一定的工作量,但其效果要明显好于其他方法,有效抵制ARP欺骗攻击。
5 结束语
ARP 攻击问题一直是困扰着IDC中心的一个难题. 但其并不是无法解决的,通过建立完善的预防机制,能够最大程度上抵制ARP 欺骗攻击。随着网络产品及技术的不断更新,IDC中心网络建设的不断完善,我们已经可以更好的解决ARP欺骗攻击问题,确保IDC中心安全可靠运行。
参考文献
[1] 樊景博,刘爱军.ARP病毒的原理及防御办法[J].商洛学院学报,2007(2).
[2] 曹洪武.ARP欺骗入侵的检测与防范策略[J].塔里木大学学报2007(2).
[3] 孟晓明.给予ARP的网络欺骗的检测与防范[J].信息技术,2005(5):41-44.
IDC中心的ARP攻击与防御解决方案(3).doc
将本文的Word文档下载到电脑
下载失败或者文档不完整,请联系客服人员解决!