ARP病毒防制方法函待加强 ARP病毒问题已经讲了很长一段时间了,大家对于ARP病毒的防制也总结了不少的经验,不断在网上发更新防制方法。但是新的ARP病毒的变种更加猖獗,更加充斥我们网络的不同角落给我们的管理工作带来不大不小的问题,同时也影响到网络的正常运行,所以对ARP病毒的防护仍然是一个热点问题。
近日,又听到有许多网管抱怨传统的绑定方法有时候不能做到防制或者不能根本解决问题,例举一些在日常处理中经常会出现的问题:
1、仅在PC上绑定安全网关的IP和MAC地址或者做一个批处理文件来进行绑定,当病毒机器伪造IP/MAC,使错误的数据包充斥与网络中会造成大面积的掉线等情况。
2、仅在路由器做MAC绑定,没有从根本上解决ARP防护,当中ARP病毒的机器伪造网关使其他电脑将数据发到伪造的网关同样会造成掉线等相关问题。
3、利用一些辅助工具软件,比如一些防ARP病毒攻击软件,或者在PC机安装系统是安装IP/MAC绑定软件等,但现在还没有一款很实用的防ARP攻击软件可以做到有效的防制功能,再就是有些软件占用系统资源比较大,如果有攻击的话会大量占用CPU使用率以及内存等同样造成网络的不可用等问题。
4、使用监控软件,但是ARP病毒的发作不是说有规律可寻找的,网络管不可能时时都去注意这样的问题。
5、某些软件通过做几个假的DLL文件欺骗探测软件,但是某些ARP新的变种病毒不需要探测就可以进行ARP攻击。
6、在客户绑定过程中出现输入的错误等操作上的不足。
以上几个常用的方法其起到的作用是有限的,但是都会存在这样或者那样的弊端,我们必须寻求更好的解决办法,下面我们来介绍几招新的升级版的防治办法,这些都是我们长期服务在一线工作中所积累宝贵经验。
解决客户实例 对于合肥有一家网吧有做了ARP绑定,亦无法抵挡ARP攻击, Qno侠诺工程师联系到客户并查看他的电脑,看到的批处理如下,并且PC 端通过Arp –a命令来确认并没有绑定。原因在与其echo后面的中文的叙述没有用“ ”来做标示,造成其批处理文件无法执行,其用户本机上根本没做相应的绑定工作,如图1。
@echo OFF
ping XXX.XXX.XXX.XXX(保证客户网络安全,其IP地址数字用X代替)
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=
%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set
MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在获取网关信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set
GateIP=%%i && GOTO GateMac
:GateMac
echo IP:%GateIP%
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set
GateMAC=%%i && GOTO Start
:Start
echo MAC:%GateMAC%
arp -d
arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit
通过对批处理文件做相应的修改,再检查路由器上的绑定,之后这个网吧就没有发现掉线问题了,至今网络运行正常,所以可看出通过双向绑定是完全可以解决ARP病毒防制的,确实是一个行之有效的办法,完全可以解决ARP病毒造成网络吊线、IP冲突的现象,使ARP病毒无能为力。同时建议用户在做双向绑定后,通过Arp –a的命令检查绑定是否有效,和路由器上的绑定是否有错误,这样来进一步确保防制ARP病毒的攻击,下面强调防制几个注意的问题。
1、执行完之后要用 arp -a 看 type 是 static 还是 dynamic。
2、不要用复杂的脚本,最简单的即可防止别人中了,自己不受影响,一般网吧都有还原卡,网管可以用软件监察,发现有中了ARP,提醒一下客人以防盗取帐号密码。
3、目前防毒软件也没有对此有很好的防范。
4、ARP称之为病毒,但实质上对于ARP协议来说,只是完善和加强(就好象信用卡在中国需要加密码,在外国只需要签名一样,但不是信用机制出了问题)。
5、不要指望能过广播发包,最终受影响的是自己的网络。
[1] [2] 下一页
[注意]综合方法解决防止ARP欺骗问题
您现在的位置: