彻底解决ARP病毒对局域网的影响

作者:网络医生 发布于:2012-5-6 18:18 Sunday 分类:黑客与网络安全技术

关于arp病毒我相信很多做网管的都遇到过,的确是一件很令人头痛的事情,规模小的网络很容易排查解决,但是网络规模大了就不容易管理了,有的是客户自己电脑感染了arp病毒导致局域网内其它用户频繁掉线,有的是某些用户电脑上安装了P2P终结者或嗅探器之类的黑客软件造成的,这种软件不仅可以限制别人的网速甚至可以窃取别人的帐号密码,威害极大。

我们首先来了解一下ARP病毒的工作原理,其实很简单,感染ARP病毒的电脑其实就相当于一个中间人,局域网内所有用户的数据包都要经过这个中间人进行转发,由于这个中间人处理数据包的能力有限,所以当上网用户多的时候就会出现频繁掉线的情况。由于所有的数据包都经过中间人进行中转,那么中间人就可以利用其它手段对数据包进行分析从而获取到局域网中其它人的上网隐私。看下图:

点击查看原图

                (没有感染ARP的情况下上网)

点击查看原图

              (感染ARP病毒后的上网情况)

本人在实际工作中总结出了以下几种预防ARP病毒的方法:

1、在汇聚交换机上划分超级VLAN,这样就可以把每个端口对应的接入层交换机限制在一个VLAN中,从而减小了广播域,也就限制了ARP的威害范围。

在接入层交换机上面做端口隔离,把每个用户限制在一个端口上面,这样就可以阻止ARP广播包扩散到其它端口。通过这样的设置后即使某个用户的电脑感染了ARP病毒也不会波及到局域网内的其它用户。

2、在用户电脑上进行MACIP的绑定,在ARP缓存表中把MACIP的映射关系改为静态。在汇聚交换机上也要做同样的绑定,把用户的MACIP对应关系写入ARP表中。

3ARP病毒的扩散使用的是TCP/IP协议,我们如果在局域网中不使用TCP/IP协议那么就消灭了ARP病毒懒以生存的环境,我们可以使用PPPOE拨号协议。

4、制订相应的上网规章制度,对于违反上网制度的用户进行处分。光靠技术是很难做到杜绝ARP病毒的泛滥,让每个用户的电脑上都安装杀毒软件和ARP防火墙,如果发现哪个用户的电脑向外发送ARP广播包影响局域网内其它用户正常上网的话,不管是故意还是无意的一律根据相关制度进行处分。

 

标签: arp 病毒 局域网

« 用短信报警来监控linux系统的非法登录用户 | 利用apache的mod_expires.so模块实现客户端的页面缓存»

发表评论:

  • 1
  • 9
  • 4
  • 7
  • 0

Powered by emlog