“网管,怎么又掉线了?!”每每听到客户的责问,网管员头都大了。其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
最近一段时间内,持续发生的网吧断线事件,这起看似疯狂的事件是由ARP攻击引起的,由于变种太多,传播速度快,国内外的反病毒厂商都拿这个没招。
ARP病毒攻击的典型症状
ARP的主要用途是将局域网中的IP地址转换为MAC地址,ARP协议同时对网络安全具有重要的意义,ARP病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,进行ARP重定向和嗅探攻击,使内网PC机的ARP表混乱。
用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。这些情况主要出现在网吧用户,造成网吧部分机器或全部机器暂时掉线或者不可以上网,对路由器进行重新启动后可以解决,但保持不了多久有会出现这样的问题,网吧管理员对每台机器使用arp-命令来检查ARP表的时候发现路由器的IP和MAC被修改,这就是ARP病毒攻击的典型症状。 网管网www.bitscn.com
这种病毒的程序如PWSteal.lemir或其变种,属于木马程序/蠕虫类病毒,Windows 系列操作系统都将受到影响,病毒攻击的方式对影响网络连接畅通来看有两种,对路由器的ARP表的欺骗和对内网PC网关的欺骗。
前者是先截获网关数据,再将一系列的错误的内网MAC信息不停地发送给路由器,造成路由器发出错误的MAC地址,造成正常PC无法收到信息。后者ARP攻击是伪造网关。它先建立一个假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。 网管联盟bitsCN_com
作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。
方法是有效的,但工作很繁琐,管理很麻烦。每台PC绑定本来就费力,在路由器中添加、维护、管理那么长长的一串列表,更是苦不堪言。一旦将来扩容调整,或更换网卡,又很容易由于疏忽造成混乱。如果您有所担心,那么不妨选用欣向网吧路由IXP机种,它可以使您宽心一些。因为欣向路由器根本不需要IP-MAC绑定,没有那长长的一串地址表。对付ARP,您只要做PC的单向绑定就可以了。该路由能够有效拒绝ARP对网关的欺骗,它是先天免疫的!
网管网www.bitscn.com
为了防范ARP攻击,使用以下七种手段来进行控制:
1、病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。此操作比较重要,解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。
2、网吧管理员检查局域网病毒,安装杀毒软件(江民/瑞星,必须要更新病毒代码),对机器进行病毒扫描。
3、给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)。
4、给系统管理员账户设置足够复杂的强密码,最好能是12位以上,字母 数字 符号的组合;也可以禁用/删除一些不使用的账户。
5、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防护。
网管u家u.bitscn@com
6、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。
7、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
路由器设备对NAT的处理不同于通用协议栈的方式,它在原有的
网络协议基础上,进行了强化、保护和扩容。虽然NAT是标准的
网络协议,但实现方法可以各显其能,保证殊途同归就行。ARP欺骗只对公开的、通用的系统起作用,它利用了通用系统工作方式上的漏洞,而对NAT实现机制却无能为力,因为NAT设计了强有力的保护字段。
另外,为对抗假冒网关的ARP欺骗,产品设计了网关的ARP广播机制,它以一个可选定的频次,向内网宣布正确的网关地址,维护网关的正当权益。在暂时无法及时清除ARP病毒,网管员还没有做PC上的IP-MAC绑定时,它能在一定程度上维持
网络的运行,避免灾难性后果,赢取系统修复的时间。这就是ARP主动防范机制。
中国网管联盟bitsCN.com 不过,如果不在PC上绑定IP-MAC,虽然有主动防范机制,但
网络依然在带病运行。因为这种ARP是内网的事情,是不通过
路由器的。让
路由器插手只能做到对抗,不能根绝。ARP太猖獗时,就会发生时断时续的故障,那是主动防范机制在与ARP欺骗进行拉锯式的斗争。为此,产品还专门提供了一个ARP欺骗侦测、定位、防范的工具软件,免费发放给所有的
网吧,帮助网管员们发现ARP欺骗的存在,为清除ARP欺骗源提供工作辅佐,并加入了欣向主动防范机制,有效对付ARP欺骗。
尽管如此,仍然提醒广大的
网吧网管员,为了一劳永逸,还是费点力为每台PC做IP-MAC绑定吧,这样可以彻底根除ARP欺骗带来的烦恼。况且,路由只需要单向绑定,已经为您省去了另一半更繁琐的工作,并且设置时不需要重启
路由器断网。
路由器本身不怕ARP,您再做好PC上的绑定,让PC也不怕ARP,双管齐下,您的
网吧就可以高枕无忧了。
网管u家u.bitscn@com 网管下载dl.bitscn.com
网管下载dl.bitscn.com
评论加载中…
