作者:大势至 日期:2013/4/26
在企业局域网中,恐怕网管员经常遇到的一个问题是:局域网ARP攻击。ARP攻击具有巨大的危害,将会使得局域网电脑大面积掉线,严重影响员工上网,也导致企业信息化系统无法正常运转,从而间接影响了单位的经常的生产和经营活动。为此,企业局域网必须严防ARP攻击行为、防范ARP欺骗,防止ARP攻击导致的断网现象。
那么,什么是ARP攻击、ARP欺骗呢?ARP攻击的原理其实就是攻击主机会向局域网电脑广播一个错误的ARP信息,一般而言发送的ARP攻击包不外乎攻击者的MAC地址加上网关的IP地址,这样局域网电脑在受到这种ARP攻击报文时,会更新自己电脑的ARP表项,然后就认为攻击源主机的MAC地址就是网关的MAC地址,由于局域网通讯是通过MAC地址来进行传输的,因此受到ARP攻击的电脑就会将报文发送到发动ARP攻击的电脑上了,然后攻击源主机就会获取被攻击电脑的所有上网报文,然后再通过一定的技术手段解析出报文里面的具体信息,如密码、口令等;当然,大多数ARP攻击行为是为了控制电脑的数据包的发送进而控制电脑的上网速度,达到限制局域网电脑网速,然后独占上网流量的目的。此外,一些恶意的ARP攻击行为会伪造一个错误的MAC地址然后广播给局域网所有的电脑,然后让局域网受到攻击的电脑将公网报文发送到一个不存在的MAC地址,从而达到使得整个局域网电脑无法上网的目的。如下图所示:
图:ARP病毒攻击原理示意图
那么,企业网管员如何应对ARP攻击、防止ARP病毒攻击呢?笔者汇总了当前国内企业局域网防ARP病毒攻击的几种较常见的做法,这些ARP攻击防护方法如果应用得当,可以很大程度上避免ARP攻击对局域网造成的各种危害,保证网络的安全、稳定和畅通。
1、 部署ARP防火墙防御ARP攻击、抵御ARP欺骗。通过对ARP攻击原理的分析得知,有效防止ARP断网攻击的方法就是采用ARP防火墙来绑定电脑的ARP表项,也就是网关的IP和MAC地址进行绑定。当然,也不一定非要通过ARP防火墙的方式来实现,通过操作系统的自带的ARP绑定命令同样可以实现网关的ARP镜头绑定,从而达到有效限制ARP攻击行为的目的。
2、 通过购买带有防ARP欺骗功能、查杀ARP病毒的路由器、防火墙来抵抗ARP攻击行为。现在一些带有上网行为管理功能的路由器、防火墙常常集成了ARP攻击防护功能,可以有效防止局域网ARP攻击行为;同时,也可以通过路由器的IP和MAC地址绑定来达到防范ARP攻击的目的。
3、 通过部署专业的ARP攻击防护软件、ARP病毒检测软件来检测局域网ARP攻击行为,一旦发现ARP攻击行为,则可以通过ARP攻击防御软件来对其进行防御,甚至隔离开局域网,从而一方面可以让网管员及时发现并制止局域网电脑的ARP攻击行为,甚至配合行政处罚等来管控局域网员工随意使用ARP攻击软件、ARP限速软件来干扰和破坏局域网的行为,不至于在局域网出现ARP攻击行为时无法定位查找攻击源主机的窘况;另一方面,通过ARP攻击防御软件的隔离、免疫举措,可以即时防止ARP攻击行为给局域网造成的危害,防止员工电脑不小心遭遇ARP病毒侵袭时,对局域网造成的断网攻击危害。目前,国内一些伤上网行为管理厂家推出了一系列的ARP攻击防护软件或带有ARP攻击防护功能的网络管理产品。我们以国内较为知名的网管软件“聚生网管”为例,聚生网管系统集成了ARP攻击检测功能,也就是在局域网启动聚生网管系统后,一旦有局域网电脑主动或被动发动ARP攻击行为时,聚生网管系统会实时输出发动ARP攻击的电脑的IP和MAC地址等信息,同时自动向局域网发送ARP攻击免疫信息,从而极大地降低了ARP攻击对局域网造成的危害,使得局域网电脑不会因为ARP攻击而出现掉线和断网现象。同时,通过聚生网管系统集成的“大势至局域网安全卫士”,可以将发动ARP攻击的电脑进行强制隔离,使得发动ARP攻击的电脑无法再向局域网发动ARP攻击,同时也无法和局域网其他电脑通讯,也无法访问互联网,使其完全隔离开局域网。如下图所示:
图:聚生网管ARP攻击防御功能
图:大势至内网安全卫士防范ARP攻击功能截图
总之,局域网有效防止ARP攻击和防止ARP欺骗,必须综合采用各种手段,才可以有效防止局域网ARP攻击对企业内部局域网造成的危害,有力地保护局域网网络安全的稳定和畅通。
