局域网络环境下ARP欺骗攻击及安全防范策略(2)

    在用户端计算机上绑定交换机网关的IP和MAC地址。

    1）首先，要求用户获得交换机网关的IP地址和MAC地址，用户在DOS提示符下执行 arp –a命令，具体如下：

C:\Documents and Settings\user>arp -a

Interface: 10.10.100.1 --- 0x2

    Internet Address  Physical Address   Type

    10.10.100.254   00-40-66-77-88-d7  dynamic

    其中10.10.100.254和00-30-6d-bc-9c-d7分别为网关的IP 地址和MAC地址，因用户所在的区域、楼体和交换机不同，其对应网关的IP地址和MAC地址也不相同。

    2）编写一个批处理文件arp.bat，实现将交换机网关的MAC地址和网关的IP地址的绑定，内容如下：
    @echo off
    arp -d
    arp -s  10.10.100.254  00-40-66-77-88-d7

    用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址，填入arp –s后面即可，同时需要将这个批处理软件拖到“windows--开始--程序--启动”中，以便用户每次开机后计算机自动加载并执行该批处理文件，对用户起到一个很好的保护作用。

    在核心交换机上绑定用户主机的IP地址和网卡的MAC地址，同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

    1）IP和MAC地址的绑定。在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。具体实现方法如下（以AVAYA三层交换机为例）：

P580(Configure)# arp 10.10.100.1  00:E0:4C:11:11:11

P580(Configure)# arp 10.10.100.2  00:E0:4C:22:22:22

P580(Configure)# arp 10.10.200.3  00:E0:4C:33:33:33

    2）MAC地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号，将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。具体操作如下（以AVAYA二层边缘交换机为例）：

console> (enable) lock port 1/1

console> (enable) add mac 00:E0:4C:11:11:11 1

Address 00:E0:4C:11:11:11 was added to the secure list !

console> (enable) lock port 1/2

console> (enable) add mac 00:E0:4C:22:22:22 2

Address 00:E0:4C:22:22:22 was added to the secure list !

console> (enable) lock port 1/3

console> (enable) add mac 00:E0:4C:33:33:33 3

Address 00:E0:4C:33:33:33 was added to the secure list !

console> (enable) show cam

VLAN  DestMAC/Route Des  Destination Port

1    00:E0:4C:11:11:11    1/1

1    00:E0:4C:22:22:22    1/2

1    00:E0:4C:33:33:33    1/3

    局域网的网络管理员可根据本单位网络的拓卜结构，具体规划出若干个VLAN，当管理员发现有非法用户在恶意利用ARP欺骗攻击网络，或因合法用户受病毒ARP病毒感染而影响网络时，网络管理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离，以避免对其它用户的影响。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响，从而达到安全防范的目的。

    网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者带来了严峻的考验。ARP欺骗是一种典型的欺骗攻击类型，它利用了ARP协议存在的安全隐患，并使用一些专门的攻击工具，使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理，探讨了ARP协议从IP地址到MAC地址解析过程中的安全性，给出了网段内和跨网段ARP欺骗的实现过程，提出了几种常规可行的解决方案，如在用户计算机上绑定交换机网关的IP地址和MAC地址、在交换机上绑定用户主机的IP地址和网卡的MAC地址或绑定用户计算机网卡的MAC地址和交换机端口、VLAN隔离等技术。如果多种方案配合使用，就可以最大限度的杜绝ARP欺骗攻击的出现。总之，对于ARP欺骗的网络攻击，不仅需要用户自身做好防范工作之外，更需要网络管理员应该时刻保持高度警惕，并不断跟踪防范欺骗类攻击的最新技术，做到防范于未然。

    [1] 邓清华,陈松乔.ARP欺骗攻击及其防范[J].微机发展,2004,14(8):126-128.

    [2] 孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术,2005,(5):41-44.

    [3] 徐功文,陈曙,时研会.ARP协议攻击原理及其防范措施[J]. 网络与信息安全,2005,(1):4-6.

    [4] 张海燕.ARP漏洞及其防范技术[J].网络安全,2005,(4):40-42.

    [5] 王佳,李志蜀.基于ARP协议的攻击原理分析[J]. 微电子学与计算机,2004,21(4):10-12.