ARP病毒的传播原理就是让内网其他计算机将本来发到网关的数据发送到出问题的计算机上。那么我们是否可以从网络设备下手通过种种策略来禁止这种虚假数据包通过和传输呢,答案是肯定的,我们可以从网络设备下手来防范ARP病毒的入侵。
我们都知道ARP虚假数据包的内容是告诉其他计算机网关的MAC地址是中毒机器的MAC地址,比如中毒机器的MAC 地址是1111-1111-1111,它的IP地址是192.168.1.5,而网络中真正的网关地址是192.168.1.254,那么虚假数据包就是告诉其他计算机192.168.1.254对应MAC地址是:1111-1111-1111。
由于TCP/IP协议传输是从数据链路层开始到网络层的,所以辩认计算机必须依靠MAC地址,由于网络中其他计算机已经接收到了192.168.1.254对应的MAC地址是1111-1111-1111的信息,那么它们将首先通过MAC地址和ARP缓存信息来定位网关计算机。
因此通过上面的分析我们可以明确一点,防范ARP病毒的关键就是处理这种非法数据包,只要针对此数据包进行过滤即可。
在网络没有病毒时,我们可以知道真正的网关对应的MAC地址,只需要通过“arp -a”命令或直接在交换机上查询即可。假设真正的网关对应的MAC地址是:22222-22222-2222,那么我们需要在交换机上设置访问控制列表过滤策略,将所有从交换机各个端口OUT方向发送的原IP地址是192.168.1.254,但是源MAC地址不是22222-22222-2222(或者目的地址是192.168.1.254而目的MAC地址不是22222-22222-2222)的数据包丢弃(放入黑洞loopback环路),同时自动关闭相应的交换机端口。
进行上述设置后,就完了预防ARP病毒入侵的任务,即使日后网络中有机器感染了ARP病毒,也会在危害出现前被交换机拦截而关闭危险端口。(摘自:电脑报)
浙公网安备 33010602011771号