1.
随着网络应用的日益广泛,网络安全问题日益突出。网络病毒和攻击的形式也日趋多样。危害也逐渐增大。其中泛滥于企业网络中的ARP病毒攻击就是典型的代表。也是让众多网络管理员头痛的问题之一。这类病毒针对ARP协议固有的缺陷 ;
典型症状2:全网同样配置下,唯独某台或者部分电脑无法上网 ;
典型症状4:电脑挨个掉线,或时通时断 ,因此ARP病毒攻击的防御不同于常见的病毒,单靠传统的杀毒软件和防火墙往往是头疼医头,脚疼医脚难以根除。
而且ARP病毒不仅攻击PC,还可以其他一些运作ARP协议的网络设备,这意味着,你网络中的路由器,防火墙,三层交换机等等,都可能感染上ARP病毒!造成网络的整体不稳定甚至瘫痪!因为它的传播和危害范围很广。所以仅靠单一设备,单一的解决方案防御ARP病毒是远远不够的。
4.ARP病毒攻击可能带来的危害
表征1 所有PC无法和网关通信–仿冒网关进行攻击
全网同样配置下,唯独某台电脑无法上网,重启PC后恢复正常,但是过了一段时间后又瞬间瘫痪。查看每台PC的ARP表,发现网关的MAC地址错误。像下图的,标红的PC的网关地址已经被修改为另外一台PC的地址,显然这个PC无法再同网关进行有效通讯了,因此导致无法上网。
原因 攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,就被REDIRECT到一个错误的MAC地址,导致该用户无法正常访问外网。这样,如果某台PC的ARP表被攻击者修改,它就没法上网了!
而且,攻击者还可能使用第三方PC的MAC地址作为伪造的MAC,这样即使在被攻击者PC上查到了伪造的MAC地址,也很难定位哪台PC是真正的攻击者。
为了加深大家的理解,我用还是用上面提到的电话薄来做个例子:老总和三个员工ABC,每个人的电话薄都记录了其他人的号码。A没有升经理,心理不平衡,修改了所有人电话薄中老总的电话号码,并且通过口头通知大家,老总的号码已经修改成我提供的这个号码了! ,这样他们之间的通话就先中转到B这里来了。
表征4 常有人掉线,网络还很慢—-ARP报文泛洪攻击
经常有人反馈上不了网,或者网速很慢,查看ARP表项也都正常,但是在网络中抓报文分析,发现大量的ARP请求报文 。
原因:恶意用户利用工具构造了大量ARP报文发往交换机,路由器或者某台PC的的某个端口,导致CPU忙于处理ARP协议,负担过重,造成设备其他功能不正常使用甚至瘫痪。
再来个例子吧:A为了保障公司电话薄中的通讯方式精准,会定时的检查和刷新电话薄,B就高频率的发送信息修改A的电话薄,导致A只能不断的更新电话薄中相关的记录,那他整天都干这个事了,哪里还有工夫处理别的事务?
5.如何快速确定ARP病毒攻击源
通过以上对ARP病毒机理和表征做了分析以后,我们就能看到ARP病毒不同于普通计算机病毒或者普通的网络病毒。它具有传播速度快,影响面积大,根除难度高等特点,一旦网络中出现了ARP病毒攻击,那想要及时快速的清除它,各位网管员们可是要下一番牛功夫幺!
下面是我总结的一些常见的防护ARP病毒攻击的手段:
1.根据网络病毒的特征,通过检查PC和设备状态 或者网管工具分析 ,可以提高网络对各种病毒的防御能力;
6.如何切断ARP病毒攻击的传播路径?
根据上面的排查思路,再附图一张,给一个大概的快速排查ARP病毒攻击的排障流程,如下。
遇到过ARP病毒攻击的信息主管都知道,如果明确了是哪台PC中了ARP病毒,后续操作就相对简单了。立刻拔掉这个PC的网线,并且使用专门的ARP专杀软件来进行杀毒吧!从之前的ARP病毒机理分析上可以看出,其实ARP病毒攻击的解决方案关键在于如何快速有效的找到这个ARP病毒攻击源。
当前,不少网管员都是接到了员工的反馈后,才得知了网络不能正常使用了,延误了ARP病毒的诊断时间,在定位ARP攻击源时候,小的公司还能要求每个员工都用查毒软件自查一遍,问题是稍大的公司呢?比如有几千号人的X3X?这个时候就只能通过对每个网络设备端口插拔网线来一一的排查了,即使有网管高手,没有几个小时也很难具体定位到哪个PC在做ARP攻击。
要想第一时间得知网络异常,用最短的时间定位ARP攻击源,最佳的手段就是利用网络设备和网管平台的即时告警和网管分析功能。但是传统网管软件的高价和防ARP病毒功能缺失,限制了中小型企业部署网管系统。因此一套小而精的免费网管系统,也许是各位网管员所渴望的。虽然SOLARWIND能实现这个需求,但是出于大家伙对英文不太感冒,极大限制了SOLARWIND的功能发挥。那有没有国产的网管软件能做到这些呢?其实H3C 的MINI IMC网管系统应该是一个不错的选择
以上就是朝夕生活(www.30zx.com)关于“中小企业ARP病毒攻击防范解决方案系列(一)”的详细内容,希望对大家有所帮助!
