ARP欺骗防御在政企客户网络中的应用
引言
近年来,随着网络技术和网络规模的飞速发展,政企客户对于网络的依赖程度越来越高。然而,网络安全问题也给广大客户带来了很多困扰,频繁掉线,网络速度慢,内网服务器无法访问等等。客户常常抱怨:设备是最好的设备,服务器是最好的服务器,怎么网络就这么慢呢?其实问题关键不在设备的贵贱与否,也不在设备性能怎样,而是IP协议本身的漏洞造成,这个漏洞一旦被黑客利用,将局域网中的一台主机植入病毒程序,就有可能造成整个网 ☺络的瘫痪。究竟是什么漏洞会给局域网造成如此大的危害?这还得从IP网络协议中♋的ARP协议说起。
一、什么是ARP协议
ARP地址解析协议,在TCP/IP网络模型中属于一个2.5层的协议,用于将三层的网络地址解析成二层的物理地址。
二、ARP欺骗原理
从上面ARP协议的工作过程来看,ARP协议非常简单,没有任何安全保障措施,一旦被黑客主机利用,将会对网络造成巨大的威胁。
主机B希望与主机A进行通信,于是发送ARP请求广播包,当黑客主机C收到主机B发来的请求时,会向主机B发送一条回应:192.168.1.1对应的MAC地址为CCCC-CCCC-CCCC,主机B就认为主机A的MAC地址为CCCC-CCCC-CCCC,而不是真实的AAAA-AAAA-AAAA,这样就完成了ARP欺骗。在实际的网络环境中,一般黑客主机C不会等待主机B发ARP请求,而是直接利用免费ARP机制,主动向网络的其他主机发送ARP响应数据包,告诉网络中的所有主机192.168.1.1对应的MAC地址为CCCC-CCCC-CCCC,而192.168.1.1这个IP地址一般都是网络中的特殊地址,比如说网络中访问互联网的网关。我们将图2做一个小小的改动,让其变成☼目前一般政企客户网络中普遍存在的一种ARP欺骗方式。
三、ARP攻击在政企客户网络中的防御
1.政企客户的组成及分类
政企客户的的组成非常复杂,包括政府机构,各类型企事业单位,组网要求,组网方式各不相同,网络管理员的水平也是参差不齐,这就要求我们对这些政企客户进行分类,有针对性的对他们的网络进行优化,使得网络布局更加合理,网络维护更加方便,网络结构更加清晰。随着政企客户的网络规模越来越大,网络结构越来越复杂,我们将政企客户大致分为三类:大型政企客户,中型政企客户和小型政企客户。
2.政企客户网络的ARP防御
对于这三类客户,ARP防御的方式也不尽相同,这主要取决于网络的规模。我们将针对不同规模的网络制定出不同的ARP防御方案。
1)小型政企客户
小型政企客户的路由器性能比较弱,PC容量比较少,比较方便一对一管理,因此可以采取IP-MAC静态绑定的方法,这种方法直截了当,简单易操作。具体操作方法是通过每台PC里面自带的WINDOWS命令arp-s来绑定出口网关的IP-MAC对应关系以达到不被欺骗的目的。对于有些客户可能不会使用arp-s的命令,可以通过将命令添加到启动栏方法解决,只要在记事本中输入arp-s 192.168.1.1 AA-AA-AA-AA-AA-AA即可,然后将此文本保存为유bat文件,之后将此bat文件放入启动一栏就可以保证每次开机都运行一次arp地址的固化,从而保证主机不被ARP欺骗。
2)中型政企客户
中型政企客户相对小型政企客户在网络的规模上有了一定提升,主要体现在PC的数量有所增加,网络设备的性能有所提升,网络管理员的水平也相应要高一些。因此一般采取在网络设备上进行配置,来保证局域网内的PC被ARP欺骗。一般来说,网络设备的防御主要有两种方法:第一种是固化ARP表,即将网络中的所有主机的ARP表固化,使得只有在表中固化并且符合IP-MAC绑定关系的PC才能正常访问,对于新入网和绑定关系不正确的PC,就会被禁止访问网络。这种方式对于网络管理员的要求比较高,需要时刻关注网络内主机的变化情况并作出调整。第二种是网关发送免费ARP广播,来不断地告诉网络中的主机自己的IP-MAC绑定关系这种方式和PC发送ARP广播的方式累死,而且这种方式中只有一台设备发送广播,比每台PC都发送要好的多。
3)大型企业客户
对于大型企业的客户,他们的特点较中型企业的来说就是PC数量更大,网络设备的要求更高,网络结构也更复杂。显然在网络设备上做ARP的绑定就会略显吃力,我们可以通过架设专用的ARP验证服务器来解决ARP的欺骗问题。在网络中架设一台ARP验证服务器,通过这个中立的第三方来解决主机与网关之间的信任问题,由验证服务器对访问请求进行判断,并且查找出相应的真实网关,从而保证了通信的正常进行。
四、结语
ARP攻击使网络中产生了大量的广播包,拖慢了政企客户的网络速度,对他们的网络安全造成严重的威胁。因此,要从根本上杜绝ARP攻击的ศ存在,不仅仅需要在网络设备上做相应的部署,更重要的要普遍提高政企客户人员对网络安全的重视,只有从人的层面上解决了,才能更好地保证网络的健康运行。