局域網(wǎng)中防止ARP攻擊的安全整體解決方案設(shè)計(共18頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上課程設(shè)計成績評價表指導(dǎo)老師評閱成績表學(xué)習(xí)與工作態(tài)度（30%）選題的價值與意義（10%）文獻綜述（10%）研究水平與設(shè)計能力（20%）課程設(shè)計說明說（論文）撰寫質(zhì)量（20%）學(xué)術(shù)水平與創(chuàng)新（10%）總分指導(dǎo)老師簽名： 年 月 日課程設(shè)計答辯記錄及評價表學(xué)生講述情況教師主要提問記錄學(xué)生回答問題情況答辯評分評分項目分值評價參考標準評分總分優(yōu)良中及格差選題的價值與意義1098764文獻綜述1098764研究水平與設(shè)計能力201917151310課程設(shè)計說明書（論文）撰寫質(zhì)量201917151310學(xué)術(shù)水平與創(chuàng)新1098764答辯效果302825221915是否同意論文（設(shè)計）

2、通過答辯同意 不同意答辯小組成員簽名答辯小組組長簽名： 年 月 日課程設(shè)計成績評定表成績匯總評分項目評分比例分數(shù)課程設(shè)計總分指導(dǎo)老師評分50%答辯小組評分50%封面成都信息工程學(xué)院課程設(shè)計題目：局域網(wǎng)中防止ARP攻擊的安全整體解決方案設(shè)計作者姓名：朱云驕班 級：信安一班學(xué) 號：指導(dǎo)教師：林宏剛?cè)?期：2012年 12月 20日 作者簽名：專心-專注-專業(yè)局域網(wǎng)中防止ARP攻擊的安全整體解決方案設(shè)計摘 要隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全越來越受到人們的重視，特別是局域網(wǎng)內(nèi)面臨ARP攻擊的安全問題迫切需要得到解決。ARP攻擊，是針對以太網(wǎng)地址解析協(xié)議（ARP）的一種攻擊技術(shù)。它的攻擊原理就是

3、像目標主機或網(wǎng)關(guān)發(fā)送修改后的ARP封包，從而更改目標主機的或網(wǎng)關(guān)的ARP表，以至于讓攻擊者截取數(shù)據(jù)包或篡改數(shù)據(jù)包，會造成特定主機網(wǎng)絡(luò)連接斷開，嚴重是會使整個局域網(wǎng)癱瘓。針對以上問題，本方案設(shè)計首先討論ARP地址解析協(xié)議的含義和工作原理，分析了ARP協(xié)議所存在的安全漏洞，分析網(wǎng)段內(nèi)ARP欺騙的實現(xiàn)過程，ARP攻擊的分類。然后，結(jié)合網(wǎng)絡(luò)管理的實際工作，提出了基于用戶端和網(wǎng)絡(luò)管理中心的安全整體解決方案。關(guān)鍵詞：ARP協(xié)議 IP地址 局域網(wǎng) MAC地址 網(wǎng)絡(luò)安全目 錄1. 引言網(wǎng)絡(luò)的飛速發(fā)展改變了人們的工作和生活，在帶來便利的同時也帶來了很多麻煩。由于網(wǎng)絡(luò)安全問題的日益突出，使得計算機病毒、網(wǎng)絡(luò)攻擊和

4、犯罪頻繁發(fā)生。根據(jù)國家計算機病毒應(yīng)急處理中心發(fā)布的中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告（2009年上半年）中的數(shù)據(jù)顯示，2009年上半年，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）通過技術(shù)平臺共捕獲約90萬個惡意代碼，比去年同期增長62.5%。每年都有相當(dāng)數(shù)量具有一定影響力的新計算機病毒出現(xiàn)，它們造成的破壞和損失也更大，人們花費在病毒防治方面的精力和技術(shù)也越多。如2008年ARP（Address Resolution Protocol）病毒就表現(xiàn)很突出，江民公司發(fā)布的07年上半年病毒報告及十大病毒中病毒排名第四，瑞星公司發(fā)布的2007年上半年電腦病毒疫情和互聯(lián)網(wǎng)安全報告中ARP病毒排名第六。造成信息和網(wǎng)絡(luò)安全問題的

5、因素很多，主要可歸納為兩方面。一方面是技術(shù)方面的問題，目前的計算機操作系統(tǒng)和應(yīng)用軟件或多或少存在一定的安全漏洞，而攻擊者恰恰利用了這些漏洞，由于計算機病毒防治技術(shù)相對要落后于病毒攻擊，因此會造成病毒在一定范圍內(nèi)蔓延；另一方面是管理方面的問題，由于管理人員的技術(shù)水平不足和管理不善造成的安全問題也層出不窮，系統(tǒng)漏洞修復(fù)的滯后和安全防護措施的不夠給攻擊者提供了機會。再加之，互聯(lián)網(wǎng)是一個開放的系統(tǒng)，任何微小的漏洞和病毒都會快速蔓延，甚至殃及全球，因此網(wǎng)絡(luò)安全問題不容忽視。ARP病毒很大程度上是因為技術(shù)方面的問題而導(dǎo)致的，因此，可以通過技術(shù)改進加以防范。2. 對于ARP協(xié)議各種問題的討論2.1. ARP

6、協(xié)議的含義與工作原理2.1.1. ARP協(xié)議簡介ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目標主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。2.1.2. ARP協(xié)議的數(shù)據(jù)結(jié)構(gòu)typedefstructarph

7、drunsignedshortarp_hrd;/*硬件類型*/ unsignedshortarp_pro;/*協(xié)議類型*/ unsignedchararp_hln;/*硬件地址長度*/ unsignedchararp_pln;/*協(xié)議地址長度*/ unsignedshortarp_op;/*ARP操作類型*/ unsignedchararp_sha6;/*發(fā)送者的硬件地址*/ unsignedlongarp_spa;/*發(fā)送者的協(xié)議地址*/ unsignedchararp_tpa 6;/*目標的硬件地址*/ unsignedlongarp_tpa;/*目標的協(xié)議地址*/ ARPHDR,*PAR

8、PHDR2.1.3. 如何利用ARP協(xié)議進行欺騙2.1.3.1. 通過ARP應(yīng)答包改變ARP緩存當(dāng)計算機收到ARP應(yīng)答數(shù)據(jù)包時，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。那么就可以利用以上方式進行欺騙。比如在局域網(wǎng)中有兩臺主機A和B。A向B發(fā)送一個偽造的ARP應(yīng)當(dāng)數(shù)據(jù)包ip1-mac2(B的ARP緩存表ip1對應(yīng)的是mac1),當(dāng)B接收的這個ARP應(yīng)答包時，就會自動更新ARP緩存，將ip1-mac1改為ip1-mac2，這都是B的系統(tǒng)自動完成，B本身不知道被欺騙。APR緩存表2.1.3.2. 通過ARP應(yīng)答包造成ip地址沖突局域網(wǎng)中有兩臺主機A和B，如果這兩

9、臺主機的ip地址相同，那么就會造成ip地址的沖突。ARP協(xié)議規(guī)定，當(dāng)局域網(wǎng)中的主機A連接網(wǎng)絡(luò)（或更改IP地址）的時候就會向網(wǎng)絡(luò)發(fā)送ARP包廣播自己的IP地址，如果主機B的ip地址與A相同，B出現(xiàn)ip地址沖突警告，同時B發(fā)送ARP來reply該地址，A收到后會發(fā)出警告。所以可以偽造ARPreply，從而讓目標主機遭受ip地址沖突攻擊。2.1.3.3. 讓目標主機無法連接網(wǎng)絡(luò)這其實利用了到了前面講到的通過偽造ARP應(yīng)答包來改變目標主機的ARP緩存。如果局域網(wǎng)內(nèi)的目標主機要聯(lián)網(wǎng)需要達到兩個條件。一個是目標主機能把數(shù)據(jù)發(fā)送到正確的網(wǎng)關(guān)，第二是網(wǎng)關(guān)能把數(shù)據(jù)發(fā)送到目標主機。那么我們也可以通過兩種方法來進行

10、欺騙。一，向目標主機發(fā)送偽造的ARP應(yīng)答包，其實發(fā)送方地址為網(wǎng)關(guān)ip，而發(fā)送方mac地址偽造。二向網(wǎng)關(guān)發(fā)送偽造的ARP應(yīng)答包，其實發(fā)送方地址為目標主機ip，而發(fā)送方mac地址偽造。通過以上兩種方式就能讓目標主機無法連接網(wǎng)絡(luò)。2.1.4. ARP協(xié)議的工作原理以主機A（192.168.1.5）向主機B（192.168.1.1）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到目標IP地址，主機A就會在網(wǎng)絡(luò)上發(fā)送一個廣播，A主機MAC地址是“主機A的MAC地

11、址”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“我是192.168.1.5，我的硬件地址是"主機A的MAC地址".請問IP地址為192.168.1.1的MAC地址是什么？”網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應(yīng)：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時A和B還同時都更新了自己的ARP緩存表（因為A在詢問的時候把自己的IP和MAC地址一起告訴了B），下次A再向主機B或者B向A發(fā)送信息時，直接從各自的ARP緩存表里查找就可

12、以了。ARP緩存表采用了老化機制（即設(shè)置了生存時間TTL），在一段時間內(nèi)（一般15到20分鐘）如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度2.2. ARP協(xié)議的先天缺陷APR協(xié)議高效，但不安全，它主要有三點缺陷。一， 主機可以隨時隨地的接收ARP應(yīng)答報文，然后更新本地的ARP高速緩存，這就為ARP欺騙提供了可能性，惡意的節(jié)點可以發(fā)送虛假的ARP應(yīng)答報文，從而影響局域網(wǎng)通信甚至截取數(shù)據(jù)。二， 任何的ARP應(yīng)答報文都是合法的，無需認證，只要是ARP應(yīng)答報文主機都會接收，以至于偽造的ARP應(yīng)答報文被接收。三， 主機的ARP高速緩存表是動態(tài)更新的，只要接收到新

13、的ARP報文系統(tǒng)就會自動更新ARP緩存表，這樣就可以被欺騙。2.3. ARP欺騙攻擊的實現(xiàn)過程ARP欺騙攻擊主要是向目標主機發(fā)送偽造的ARP應(yīng)答報文。舉例：局域網(wǎng)內(nèi)有三臺主機A，B，C。其中C是攻擊方，A和B相互通信。所以在A和B的ARP緩存表中就保存了一條對應(yīng)的ip 到mac的映射。AA：ipB-macB （發(fā)送數(shù)據(jù)給B時，就找到相對應(yīng)的macB）B：ipA-macA （發(fā)送數(shù)據(jù)給A時，就找到相對應(yīng)的macA）現(xiàn)在C不停的向A發(fā)送偽造的ARP應(yīng)答報文。其中發(fā)送者ip地址為ipB 而發(fā)送者的mac地址則改為macC，A接收到這個報文后，自動更新緩存表：ipB-macB被改為ipB-macC，這

14、樣A發(fā)送給B的數(shù)據(jù)全部發(fā)送給了C，從實現(xiàn)對A和B的監(jiān)聽。2.4. ARP攻擊的分類2.4.1. 欺騙主機攻擊者通過發(fā)送錯誤的網(wǎng)關(guān)mac地址給受攻擊者或發(fā)送錯誤的終端mac地址給受攻擊者，從而導(dǎo)致受攻擊主機無法與網(wǎng)關(guān)或者本網(wǎng)段內(nèi)的其它計算機終端進行通信。2.4.2. 欺騙網(wǎng)關(guān)攻擊者通過發(fā)送錯誤的終端mac地址給網(wǎng)關(guān)，從而導(dǎo)致網(wǎng)關(guān)無法和受攻擊計算機終端用戶進行通信。2.4.3. 雙向欺騙它的基本原理是講攻擊方插入到兩個目標主機主機之間，截取兩個目標之間的通信數(shù)據(jù)。舉例：主機A和主機B是通信方，主機C是攻擊方，現(xiàn)在C先A發(fā)送偽造的ARP應(yīng)答報文，包括B的ip地址和C的mac地址，A收到后更新APR高

15、速緩存，把B的mac地址改為C的mac地址。然后，C再向B發(fā)送偽造的ARP應(yīng)答報文，包括A的ip地址和C的mac地址，B收到后更新APR高速緩存，把A的mac地址改為C的mac地址。最后主機B啟動IP轉(zhuǎn)發(fā)功能。主機A與C的所有直接的通訊將經(jīng)過B，再由B轉(zhuǎn)發(fā)給他們。這樣主機B就成功的對網(wǎng)內(nèi)的用戶進行了ARP欺騙。2.4.4. 廣泛拒絕服務(wù)攻擊DOS拒絕服務(wù)攻擊DOS就是使目標主機不能正常響應(yīng)外界請求，不能對外提供服務(wù)。拒絕服務(wù)攻擊主要有以下方式:1. 進攻主機響應(yīng)本網(wǎng)段內(nèi)所以的ARP應(yīng)答包，然后向目標主機應(yīng)答一個虛構(gòu)的MAC地址，那么目的主機向外發(fā)送的所有數(shù)據(jù)幀都會丟失，使得上層應(yīng)用忙于處理這種

16、異常而無法響應(yīng)外來請求，也就導(dǎo)致目標主機產(chǎn)生拒絕服務(wù)。2. 進攻主機響應(yīng)本網(wǎng)段內(nèi)所以的ARP，然后進行應(yīng)答，應(yīng)答包的mac地址為本網(wǎng)段網(wǎng)關(guān)的mac地址，那么本網(wǎng)段所有主機的數(shù)據(jù)都需要傳送給網(wǎng)關(guān)進行轉(zhuǎn)發(fā)，這樣就造成了網(wǎng)關(guān)超負荷工作，從而導(dǎo)致網(wǎng)關(guān)崩潰。3. 對于采用交換機的網(wǎng)絡(luò)，交換機自身維持著一個ARP緩存，記錄mac地址對應(yīng)的端口號，但是這個緩存是有限的。如果攻擊方，發(fā)送大量的包含無效MAC地址的ARP包，就有可能造成交換機DOS，不能正常轉(zhuǎn)發(fā)數(shù)據(jù)包，使得交換機所連接的所有網(wǎng)絡(luò)中斷。2.4.5. ip地址沖突 進攻主機發(fā)送更改后的ARP報文，其包括目的主機的IP地址和偽裝的MAC地址，當(dāng)系統(tǒng)檢

17、測到兩個不同的MAC地址對應(yīng)同一個IP地址則會提示IP地址沖突，使目的主機發(fā)生網(wǎng)絡(luò)中斷。2.4.6. 偽裝成目標主機進攻主機可以修改自己網(wǎng)絡(luò)接口的mac地址，這就使得進攻主機可以偽裝成目標主機。攻擊者首先對目標主機進行拒絕訪問攻擊，讓其不能對外界做出任何反應(yīng)，然后將自己的ip地址和mac地址修改成目標主機的ip地址和mac地址，這樣進攻主機就偽裝成了目標主機，然后實施各種非法操作。3. 基于用戶端和網(wǎng)絡(luò)管理中心端的整體防范策略通過以上的對ARP協(xié)議和攻擊原理的詳細討論，我們發(fā)現(xiàn)防范ARP欺騙的最大困難在于攻擊不是針對服務(wù)器或交換機系統(tǒng)本身，并且攻擊源可以是局域網(wǎng)上的任一臺主機，隱蔽性高，發(fā)現(xiàn)困

18、難。所以我們發(fā)現(xiàn)了網(wǎng)絡(luò)遭受了攻擊，但想要在短時間內(nèi)定位攻擊源也是比較困難的事，這就意味著像防治普通攻擊或病毒那樣單一的從服務(wù)器系統(tǒng)或者從網(wǎng)絡(luò)網(wǎng)關(guān)上進行防范效果不是很好。所以我們的整體防范策略應(yīng)該從兩方面入手：用戶端的防范和網(wǎng)絡(luò)管理中心端的防范。兩者相結(jié)合，對于局域網(wǎng)內(nèi)的ARP攻擊能夠起到很好的防御作用。3.1. 需求分析針對ARP協(xié)議的工作原理和攻擊方式，我們對ARP的防護提出一些基本需求。用戶端1. 能夠即時發(fā)現(xiàn)ARP攻擊，并即使清理ARP緩存表。2. 能夠阻止ARP欺騙改變ARP緩存表。3. 能夠阻止主機被ARP病毒感染，若感染能即時清理。管理中心1. 能夠防止非法用戶進入局域網(wǎng)。2. 能

19、夠即時發(fā)現(xiàn)ARP攻擊，并定位攻擊源。3. 能夠提前防止ARP病毒對整個局域網(wǎng)或局域網(wǎng)內(nèi)特定主機進行攻擊。4. 若發(fā)生了ARP攻擊，能夠采取相應(yīng)的措施并阻止，并讓局域網(wǎng)恢復(fù)正常。3.2. 用戶端的防范策略3.2.1. 清空ARP緩存表如果用戶端發(fā)現(xiàn)自己的主機遭受到了ARP攻擊，那么可以通過dos命令清空本機的ARP緩存表，這樣錯誤的ARP映射將會被刪除，根據(jù)ARP協(xié)議，新的正確的ARP緩存表將重新被建立起來，但此方法不針對定時攻擊的病毒，病毒每隔一段時間自動發(fā)送ARP欺騙數(shù)據(jù)包，這時使用清空ARP緩存的方法將無能為力。方法：在dos窗口下使用 arp d 命令 3.2.2. 設(shè)置靜態(tài)的ARP緩存

20、表設(shè)置靜態(tài)的ARP緩存表主要在網(wǎng)關(guān)和本地計算機上設(shè)置，是雙向的。因為ARP欺騙有欺騙路由器ARP表和欺騙計算機ARP表兩種，如過只對其中一種實現(xiàn)靜態(tài)綁定，那么攻擊者這可以通過另一種方式進行ARP攻擊，所以綁定是雙向的，但是在經(jīng)常要更換IP地址且有較多主機的的局域網(wǎng)里，這種方法就顯得十分繁瑣，工作量大。舉例：在用戶端主機上設(shè)置靜態(tài)ARP映射的方法。由于網(wǎng)關(guān)ip一般是固定的，所有我們綁定網(wǎng)關(guān)ip 和網(wǎng)關(guān) mac地址，首先要找到網(wǎng)關(guān)ip和網(wǎng)關(guān)mac地址。網(wǎng)關(guān)ip：172.16.1.1 MAC: b8-a3-86-39 -10-16 動態(tài)Xp下現(xiàn)在我們輸入如下命令：arp s 172.16.1.1 b

21、8-a3-86-39-10-16Win7 下 我們輸入如下命令：netsh -c "i i" add neighbors 29 172.16.1.1 b8-a3-86-39-10-16 （29是網(wǎng)絡(luò)接口的idx號）改為靜態(tài)了。如果我們需要用戶端每次開機自動綁定，那么就需要建立一個x.bat文件。文件內(nèi)容就是 都是寫下綁定命令。echo off arp -d arp s 172.16.1.1 b8-a3-86-39-10-16 或netsh -c "i i" add neighbors 29 172.16.1.1 b8-a3-86-39-10-16同時需要

22、將這個批處理文件拖到“windows-開始-程序-啟動”中，以便用戶每次開機后計算機自動加載并執(zhí)行該批處理文件，對用戶起到一個很好的保護作用。3.2.3. 設(shè)置假網(wǎng)關(guān)我們知道ARP病毒一般都是讀取本機tcp/ip的網(wǎng)關(guān)然后進行欺騙，我們?nèi)藶榈脑O(shè)置一條假網(wǎng)關(guān)口路由，優(yōu)先級別設(shè)置很低，然后添加一條靜態(tài)路由，設(shè)置真網(wǎng)關(guān)，并且設(shè)置執(zhí)行級別比那條用來欺騙ARP病毒的那條路由的權(quán)限要高，這樣一般就能反欺騙ARP病毒網(wǎng)關(guān)ip是 172.16.1.1設(shè)置方法：在dos命令窗口下，輸入netsh interface ip set address name =“本地連接” gateway=172.16.1.222

23、 gwmetric=20 （20代表最低優(yōu)先級）進行以上操作后，由于網(wǎng)關(guān)地址錯誤，所以不能上網(wǎng)是正常的，還要添加一條靜態(tài)路由。在dos命令窗口下輸入：route add p 0.0.0.0 mask 0.0.0.0 172.16.1.1 metric 1 其中172.16.1.1 是正確的網(wǎng)關(guān)地址，優(yōu)先級為1最大。通過以上設(shè)置就可以對ARP進行欺騙，如果需要開機自動執(zhí)行，那么需要建立批處理文件*.bat文件，echo offnetsh interface ip set address name =“本地連接” gateway=172.16.1.222 gwmetric=20route add

24、p 0.0.0.0 mask 0.0.0.0 172.16.1.1 metric 1exit同時需要將這個批處理軟件拖到“windows-開始-程序-啟動”中，以便用戶每次開機后計算機自動加載并執(zhí)行該批處理文件，對用戶起到一個很好的保護作用.3.2.4. 安裝ARP防火墻我們可以利用市面上出現(xiàn)的很多安全軟件，他們都有防范ARP欺騙攻擊的能力，并且這些軟件很多都是免費的。 比如360ARP防火墻，金山ARP防火墻，瑞星ARP防火墻。這些防火墻操作簡單，并且有較好的防御效果，對于用戶端的防御是一個不錯的選擇。3.2.5. 其他辦法1.安裝殺毒軟件定期對計算機進行殺毒，降低計算機被ARP感染的幾率。

25、2.給操作系統(tǒng)打補丁，防止操作系統(tǒng)被各種漏洞攻擊。3.關(guān)閉計算機上不需要的服務(wù)及斷開計算機上。4.關(guān)閉一些不必要的端口，打開太多的端口可能為黑客攻擊提供平臺，在實際應(yīng)用過程中，可以盡可能多的關(guān)閉不必要的端口，保障計算機本身的安全。5.不要隨便點擊打開聊天工具上發(fā)來的不明超鏈接信息，不要隨便打開或運行陌生、可疑文件和程序等，尤其是各種可執(zhí)行文件。3.3. 網(wǎng)路管理中心端的防范策略3.3.1. 劃分vlanVlan的劃分需要在網(wǎng)絡(luò)管理中心進行，對交換機進行操作。Vlan即虛擬局域網(wǎng)，它是建立在物理局域網(wǎng)基礎(chǔ)之上，通過支持VLAN功能的網(wǎng)絡(luò)設(shè)備，及其管理軟件構(gòu)成的，可以跨越不同網(wǎng)段，不同網(wǎng)絡(luò)的邏輯網(wǎng)

26、絡(luò)。一般情況下，ARP廣播包是不能跨子網(wǎng)或者網(wǎng)段傳播的。一個VLAN就是一個邏輯廣播域，通過vlan在局域網(wǎng)上創(chuàng)建很多子網(wǎng)，這樣廣播包傳播的范圍大大縮小，減小了廣播風(fēng)暴產(chǎn)生的幾率，同時又可以簡化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)性能。如果其中一個vlan受到ARP攻擊后，并不影響其他vlan上主機的工作，同時VLAN的劃分對于ARP病毒定位非常有幫助，能快速的定位受進攻的主機。3.3.2. 添加靜態(tài)ARP1.在局域網(wǎng)的管理設(shè)備上（交換機或路由器）手動添加靜態(tài)ARP映射，這樣可以防止ARP欺騙攻擊，但這種方式不適于網(wǎng)絡(luò)經(jīng)常改變的局域網(wǎng)。2.在局域網(wǎng)上設(shè)置一臺ARP服務(wù)器集中進行管理，服務(wù)器保存保存和維護局域網(wǎng)內(nèi)

27、相對可靠主機的IP-MAC地址映射記錄。當(dāng)局域網(wǎng)內(nèi)有ARP請求時，服務(wù)器就通過查詢自己的ARP緩存的靜態(tài)記錄并以被查詢主機的名義響應(yīng)ARP請求，并且服務(wù)器按照一定的時間間隔在局域網(wǎng)內(nèi)廣播正確的IP-MAC地址表。同時，設(shè)置局域網(wǎng)內(nèi)部的其他主機只使用來自ARP服務(wù)器的ARP響應(yīng)。3.3.3. 對ARP報文進行限速ARP報文限速就是限制端口接受ARP報文的單位時間的數(shù)量。當(dāng)通過交換機啟動某個端口的ARP報文限速功能后，交換機會統(tǒng)計該端口每秒內(nèi)接收的ARP報文數(shù)量，如果每秒內(nèi)統(tǒng)計到的的ARP報文數(shù)量超過設(shè)定值，則認為該端受到ARP報文攻擊。此時，交換機將關(guān)閉該端口，使其不再接收任何報文，經(jīng)過一段時間

28、自動恢復(fù)被關(guān)閉的端口的開啟狀態(tài)。ARP欺騙有一個特征就是不斷的發(fā)送ARP欺騙包，以達到欺騙的目的。對于該類的廣泛DOS，我們可以通過設(shè)置三層交換機的ARP報文限速避免其進攻。3.3.4. 檢測混雜模式節(jié)點什么是混雜模式？網(wǎng)卡接收包時，一般有兩種模式，一種是普通模式，處于普通模式的網(wǎng)卡只將本地地址和廣播地址的數(shù)據(jù)包提交給系統(tǒng)。另一種是混雜模式，網(wǎng)卡將所有接收的數(shù)據(jù)包都提交給系統(tǒng)，這時就容易被一些軟件利用，如sniffer。那么如何檢測局域網(wǎng)內(nèi)處于混雜模式的主機？我們只要向局域網(wǎng)內(nèi)的每個主機發(fā)送mac地址為FF-FF-FF-FF-FF-FE的ARP請求，處于普通模式的節(jié)點會拋棄此數(shù)據(jù)包，而處于混雜

29、模式的節(jié)點會接收此數(shù)據(jù)包并提交給系統(tǒng)核心，同時系統(tǒng)會作出應(yīng)答，這樣就可以檢查局域網(wǎng)中是否存在嗅探器了。3.3.5. 查找ARP攻擊源1.局域網(wǎng)中有很多主機，當(dāng)發(fā)生ARP攻擊時，一個一個的檢測顯然很麻煩。我們知道ARP病毒發(fā)送的是偽造的ARP報文，那么我們需要在管理中心保存可信任的IP-MAC映射表，并不斷監(jiān)控局域網(wǎng)內(nèi)的ARP包，如果檢測到ip-mac與可信任IP-MAC不相同時，那么就可以斷定網(wǎng)內(nèi)發(fā)生了ARP欺騙攻擊，然后再通過這個ARP包的中錯誤的MAC地址與可信任的IP-MAC映射表對照查詢，找到相應(yīng)的ip地址，這樣就定位其攻擊者，并發(fā)出警告。2.通過配置主機定期向管理中心主機報告其ARP

30、緩存的內(nèi)容。這樣中心管理主機上的程序就會查找出兩臺或者多臺主機報告信息的不一致，以及同一臺主機前后報告內(nèi)容的變化。根據(jù)這些情況可以初步確定誰是進攻者，誰被進攻者。管理員知道后，找到該MAC地址對應(yīng)的IP地址和計算機名從而找到該用戶，找到連接此用戶的計算機，切斷其與局域網(wǎng)的連接，等該用戶經(jīng)過徹底殺毒修復(fù)系統(tǒng)或是重新安裝操作系統(tǒng)后，再恢復(fù)其與局域網(wǎng)的連接。3.3.6. 用戶認證對于接入局域網(wǎng)的新用戶，需要在管理中心注冊。管理中心再對新用戶的mac地址進行綁定。用戶連接進入局域網(wǎng)時，管理中心會對用戶的mac地址進行認證，如果用戶的mac地址已經(jīng)過注冊，則允許用戶連接，反之則不允許用戶連接。采用mac

31、認證可以防止非法的計算機進入局域網(wǎng)，從而防止局域網(wǎng)被非法用戶攻擊。3.3.7. 更換網(wǎng)絡(luò)管理中心的設(shè)備在局域網(wǎng)中使用能用防止ARP攻擊的交換機，動態(tài)ARP監(jiān)測交換機上建立了地址和物理地址的對應(yīng)綁定關(guān)系。動態(tài)ARP監(jiān)測交換機以動態(tài)主機分配協(xié)議監(jiān)聽，綁定表為基礎(chǔ)，通過動態(tài)ARP監(jiān)測交換機還可以控制某個端口的ARP請求報文數(shù)量，通過這些技術(shù)可以防止ARP欺騙在局域網(wǎng)中使用防止ARP病毒攻擊的路由器，能很好的防范局域網(wǎng)中出現(xiàn)的各種攻擊，但是路由器價格高，資本投入較大。3.4. 基于用戶端和管理中心的整體防范策略以上分別從用戶端角度和管理中心角度討論了對ARP攻擊的防范措施，但是局域網(wǎng)有大有小，局域網(wǎng)中的用戶的網(wǎng)絡(luò)安全意識參差不齊，所以僅僅靠網(wǎng)