網(wǎng)絡(luò)優(yōu)化應(yīng)對(duì)ARP病毒

【摘要】提到ARP病毒，相信很多計(jì)算機(jī)網(wǎng)絡(luò)用戶對(duì)它深惡痛絕。ARP病毒攻擊手段主要是實(shí)施ARP欺騙，通過在網(wǎng)絡(luò)中發(fā)送虛假的ARP數(shù)據(jù)包，干擾網(wǎng)絡(luò)中主機(jī)的正常通信，造成網(wǎng)絡(luò)阻塞與癱瘓。

【關(guān)鍵詞】arp病毒病毒防護(hù)網(wǎng)絡(luò)優(yōu)化super vlan

所有的局域網(wǎng)都曾受過ARP病毒的影響，所到之處，網(wǎng)絡(luò)故障頻繁，網(wǎng)速突然變慢，而且網(wǎng)絡(luò)連接時(shí)斷時(shí)續(xù)，輕則影響正常的工作秩序，重則可導(dǎo)致整個(gè)局域網(wǎng)絡(luò)癱瘓，甚至造成無法彌補(bǔ)的損失。因而，如何采取行之有效的措施防范ARP病毒，可以說是中小型企業(yè)及辦公環(huán)境局域網(wǎng)安全工作的重中之重。

1常見局域網(wǎng)共享上網(wǎng)環(huán)境現(xiàn)狀

中小型企業(yè)及辦公環(huán)境局域網(wǎng)絡(luò)常見具體現(xiàn)狀為：在中心機(jī)房通過路由器外網(wǎng)口（WAN）配置網(wǎng)通公司或電信公司分配的專線IP地址，內(nèi)網(wǎng)口（lan）配置私網(wǎng)IP地址，路由器內(nèi)網(wǎng)口經(jīng)過一臺(tái)樓宇交換機(jī)轉(zhuǎn)接至各樓層交換機(jī)，每樓層各有一臺(tái)交換機(jī)作為相應(yīng)樓層辦公室的上網(wǎng)接入使用。所有的交換機(jī)均在一個(gè)VLAN內(nèi)，各辦公室的終端計(jì)算機(jī)配置路由器內(nèi)網(wǎng)口的私網(wǎng)IP地址進(jìn)行互聯(lián)網(wǎng)的訪問。一般接入的終端機(jī)數(shù)量100-300臺(tái)左右，由于各樓層的交換機(jī)與路由器的內(nèi)網(wǎng)口均在同一VLAN內(nèi)，內(nèi)網(wǎng)IP一般都為C類私有地址網(wǎng)段，造成同一VLAN內(nèi)的節(jié)點(diǎn)數(shù)量較多，存在大量的廣播報(bào)文，一方面導(dǎo)致用戶網(wǎng)速減慢，另一方面由于部分終端機(jī)感染ARP病毒，迅速導(dǎo)致整個(gè)網(wǎng)絡(luò)大面積爆發(fā)ARP病毒，造成整個(gè)局域網(wǎng)的不穩(wěn)定。改造前的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

ARP（Address Resolution Protocol，地址解析協(xié)議）處于OSI模型中的第三層，即網(wǎng)絡(luò)層。負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。

ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷，一般情況ARP欺騙會(huì)將某臺(tái)計(jì)算機(jī)的MAC地址映射到網(wǎng)關(guān)的IP地址上，使得同一網(wǎng)段地址內(nèi)的其他計(jì)算機(jī)誤將其作為網(wǎng)關(guān)，因此局域網(wǎng)內(nèi)的計(jì)算機(jī)不能訪問因特網(wǎng)，但是內(nèi)網(wǎng)互相是可以PING通的。

ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，嚴(yán)重的甚至可能帶來整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。

2簡單的ARP病毒防護(hù)措施

2.1用戶端防范措施

安裝arp防火墻或者開啟局域網(wǎng)ARP防護(hù)，比如360安全衛(wèi)士等arp病毒專殺工具，并且實(shí)時(shí)下載安裝系統(tǒng)漏洞補(bǔ)丁，關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。

2.2在路由器上做IP與MAC綁定

在路由器上通過對(duì)IP地址和PC機(jī)的MAC地址進(jìn)行綁定，而ARP欺騙是通過ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)計(jì)算機(jī)，所以把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)計(jì)算機(jī)的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣的地址綁定可以在一定程度上解決問題。

以上兩種方法雖然能在一定程度上抑制病毒的發(fā)作和攻擊，但如果一旦PC機(jī)終端等隨意改變IP地址，網(wǎng)絡(luò)中的微機(jī)數(shù)量增加，廣播數(shù)量不斷增加，則網(wǎng)絡(luò)還是會(huì)出現(xiàn)問題。

3通過網(wǎng)絡(luò)優(yōu)化解決問題

為徹底解決這一問題，決定對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化改造。經(jīng)過分析研究，確定采用s三層交換機(jī)的super VLAN技術(shù)進(jìn)行不同部門之間的廣播域隔離保證各樓層之間的VLAN相對(duì)獨(dú)立，減少ARP病毒帶來的連鎖反應(yīng)，避免網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

super VLAN又稱為VLAN聚合（VLAN Aggregation），其原理是一個(gè)Super VLAN包含多個(gè)Sub VLAN，每個(gè)Sub VLAN是一個(gè)廣播域，不同SubVLAN之間二層相互隔離。Super VLAN可以配置三層接口，Sub VLAN不能配置三層接口。當(dāng)不同SubVLAN中的主機(jī)需要相互之間通訊時(shí)，則只要在SuperVLAN開啟ARP代理就可以了。

網(wǎng)絡(luò)優(yōu)化規(guī)劃配置如下，如圖2所示。

Super vlan基本配置如下（以銳捷系列的交換機(jī)為例配置兩個(gè)子VLAN，更多的子VLAN以相同方法配置）：

創(chuàng)建VLAN

Switch#configure terminal

Switch(config)#vlan 50

Switch(config-vlan)#exit

Switch(config)#vlan51

Switch(config-vlan)#exit

Switch(config)#vlan52

Switch(config-vlan)#exit

配置super vlan和sub vlan

Switch(config)#vlan 50

Switch(config-vlan)#supervlan!將VLAN50配置為super vlan

Switch(config-vlan)#subvlan51，52 !將VLAN51、52配置為sub vlan并關(guān)聯(lián)到supervlan

配置sub vlan的IP地址范圍

Switch(config)#vlan 51

Switch(config-vlan)#subvlan-address-range 192.168.1.2 192.168.1.20

Switch(config-vlan)#exit

Switch(config)#vlan 52

Switch(config-vlan)#subvlan-address-range 192.168.1.21 192.168.1.31

Switch(config-vlan)#exit

配置super vlan的SVI接口，并將相應(yīng)的物理端口劃分到相應(yīng)的sub vlan

Switch(config)#interface vlan 50

Switch(config-if)#ip address 192.168.1.254 255.255.255.0

Switch(config-if)#exit

Switch(config)interface fa0/2

Switch(config-if)switchport access vlan51 !將三層2端口劃分到sub vlan51中；

相同的方法將端口劃分到不同的sub vlan中。

配置ARP代理

Switch(config)#vlan 50

Switch(config-vlan)#no proxy-arp !關(guān)閉ARP代理，讓各sub vlan不能互通銳捷交換機(jī)默認(rèn)ARP代理是打開的經(jīng)改造后，有效地制止了ARP病毒的大規(guī)模爆發(fā)，偶爾有某些電腦感染了ARP病毒，也能很快找到中毒電腦，及時(shí)阻斷。從而減少ARP廣播風(fēng)暴的發(fā)生，輕松應(yīng)對(duì)ARP病毒的攻擊，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性，提高網(wǎng)絡(luò)運(yùn)行效率。

4結(jié)束語

通過網(wǎng)絡(luò)優(yōu)化可在很大程度上解決ARP病毒的問題。但是計(jì)算機(jī)病毒的發(fā)展趨勢也是非常迅猛的，沒有任何一種反病毒技術(shù)手段可以使我們高枕無憂，任何技術(shù)手段也僅僅只是一種方法。在對(duì)付計(jì)算機(jī)病毒最根本的方法仍然是預(yù)防為主，不要使用、傳播非法的、來歷不明的軟件。