一、關(guān)于ARP欺騙的說明
    近期來，很多網(wǎng)吧遭遇一類病毒，導(dǎo)致網(wǎng)吧頻繁斷線，具體的原因，是因?yàn)槟承┖蛻?yīng)用程序攜帶了一種能進(jìn)行ARP欺騙的病毒。ARP欺騙其實(shí)并不是新鮮的事情，很多老的網(wǎng)吧工具工具，譬如網(wǎng)絡(luò)執(zhí)法官等，就是使用ARP攻擊來導(dǎo)致網(wǎng)吧整體或者部分機(jī)器掉線的。
    ARP是工作在IP層與數(shù)據(jù)鏈路層之間的一個(gè)橋梁，起的作用是查詢給定的IP地址所對(duì)應(yīng)的網(wǎng)卡物理地址(MAC地址)。雖然我們?cè)谄綍r(shí)和網(wǎng)絡(luò)上的機(jī)器通信的時(shí)候，我們一般是給定了對(duì)方的IP地址，看起來，我們是通過IP地址和對(duì)方進(jìn)行通信的，好像只要知道對(duì)方的IP地址，我們就可以和對(duì)方通信了。實(shí)際上并不是這樣，IP是一個(gè)高層的協(xié)議，實(shí)際上，計(jì)算機(jī)之間的連接建立還是要依賴于低層的電信號(hào)或者光信號(hào)，還是需要在媒介這個(gè)層次進(jìn)行連接和通信。而用來標(biāo)示數(shù)據(jù)鏈路的地址就是MAC地址。MAC地址是網(wǎng)卡在出廠的時(shí)候就燒制在網(wǎng)卡的芯片上的，理論上來講，這一地址是全球唯一的。當(dāng)然，也可以通過程序來更改這一地址。
    當(dāng)我們需要跟某一IP地址進(jìn)行通信的時(shí)候，本機(jī)的操作系統(tǒng)會(huì)根據(jù)所設(shè)置的IP地址和子網(wǎng)掩碼來判斷目標(biāo)地址和自己是否處于同IP網(wǎng)絡(luò)中，如果在同一IP網(wǎng)絡(luò)，則操作系統(tǒng)會(huì)通過目標(biāo)地址的IP地址來查詢對(duì)端的MAC地址，然后和對(duì)端在數(shù)據(jù)鏈路層建立連接；如果目標(biāo)地址和自身不在同一IP網(wǎng)絡(luò)，則本機(jī)會(huì)查詢網(wǎng)關(guān)的MAC地址，和網(wǎng)關(guān)在數(shù)據(jù)鏈路層建立連接。而完成通過IP地址解析MAC地址的內(nèi)核模塊，就是ARP(Address Resolution Protocol)。
    而目前引起網(wǎng)吧頻繁掉線的病毒，其原理就是對(duì)正常的ARP解吸工作進(jìn)行了干擾和欺騙。一方面，它欺騙網(wǎng)關(guān)，將網(wǎng)關(guān)上的MAC地址與IP地址對(duì)應(yīng)關(guān)系搞混亂，這樣，網(wǎng)關(guān)就無法和工作站建立正確的數(shù)據(jù)鏈路層的連接，依賴與數(shù)據(jù)鏈路層的TCP/UDP連接就更無常進(jìn)行了。另一方面，它欺騙客戶端，將客戶端上網(wǎng)關(guān)的MAC地址篡改，這樣就會(huì)導(dǎo)致工作站無確的在數(shù)據(jù)鏈路層上和網(wǎng)關(guān)建立聯(lián)系，也就失去了和外網(wǎng)的連接。
    由于ARP協(xié)議在工作的時(shí)候，并不進(jìn)行驗(yàn)證和確認(rèn)，Windows類操作系統(tǒng)，只要接受到ARP REPLY的信息，馬上就會(huì)更新自己的ARP緩存表。而數(shù)據(jù)鏈路層的協(xié)議，本身就缺乏安全機(jī)制，因此，ARP欺騙是很難防御的，尤其是在網(wǎng)吧環(huán)境中，缺乏比較好的網(wǎng)絡(luò)設(shè)備的情況下。勝天網(wǎng)絡(luò)緊急開發(fā)出的防ARP欺騙程序只是一個(gè)應(yīng)急版本，可以有效的防御針對(duì)網(wǎng)關(guān)和客戶端的ARP欺騙，不僅可以應(yīng)對(duì)目前的病毒ARP攻擊，也可以有效的防御認(rèn)為的使用工具進(jìn)行的ARP攻擊。

二、勝天網(wǎng)絡(luò)ARP欺騙防護(hù)程序客戶端程序BMacclient.exe的使用方法
1、在網(wǎng)吧其中一臺(tái)工作站上，下載BMacclient.exe程序，雙擊運(yùn)行；
2、BMacclient.exe運(yùn)行后，會(huì)直接隱藏到系統(tǒng)托盤，請(qǐng)?jiān)谕斜P圖標(biāo)上點(diǎn)右鍵->設(shè)置；
   此時(shí)會(huì)彈出設(shè)置窗口，在備注一欄里填上說明，譬如 網(wǎng)關(guān)，此選項(xiàng)未必填項(xiàng)；
   在IP地址欄里填上網(wǎng)關(guān)IP，一般我們只需要綁定網(wǎng)關(guān)就可以了；
   填好網(wǎng)關(guān)IP后，點(diǎn)解析MAC地址。程序會(huì)自動(dòng)解析出網(wǎng)關(guān)的MAC地址；
   填好后，直接點(diǎn)添加，然后保存，退出。
3、將BMacclient.exe文件，放到電影服務(wù)器上一個(gè)可以被下面所有客戶機(jī)正常訪問的目錄，然后在網(wǎng)娛平     臺(tái)的系統(tǒng)維護(hù)模塊中增加一個(gè)開機(jī)更新項(xiàng)，設(shè)置每臺(tái)工作站將BMacclient.exe工具復(fù)制到本地。
4、在系統(tǒng)維護(hù)模塊中，同時(shí)增加一個(gè)開機(jī)啟動(dòng)項(xiàng)，設(shè)置每臺(tái)工作站啟動(dòng)BMacclient.exe程序。
5、進(jìn)入網(wǎng)娛平臺(tái)的系統(tǒng)維護(hù)模塊，進(jìn)行一次參數(shù)上傳操作，這樣可以把剛才所設(shè)置的參數(shù)更新到每臺(tái)工作     站上。其他的工作站上的BMacclient.exe程序就不需重復(fù)設(shè)置。
6、其他工作站，只需要重新啟動(dòng)一次，就可以自動(dòng)下載BMacclient.exe程序，并自動(dòng)按照你所設(shè)置的參數(shù)   來運(yùn)行防護(hù)程序了。 三、勝天網(wǎng)絡(luò)ARP欺騙防護(hù)程序網(wǎng)關(guān)(服務(wù)器)端程序BmacForGetway.exe的使用方法
    由于病毒不僅僅攻擊客戶端，同時(shí)也攻擊網(wǎng)關(guān)，因此，僅僅對(duì)客戶端進(jìn)行防護(hù)是不夠的。網(wǎng)關(guān)上也必須針對(duì)ARP欺騙進(jìn)行防護(hù)。網(wǎng)吧的網(wǎng)關(guān)如果是使用Windows類操作系統(tǒng)，則可以運(yùn)行BmacForGetway.exe程序，如果是Linux類操作系統(tǒng)，則可以使用linux自身的MAC地址靜態(tài)綁定的功能，并可以通過BmacForGetway.exe程序方便的收集全網(wǎng)絡(luò)的MAC地址信息。     Windows類網(wǎng)關(guān)上BmacForGetway.exe程序的使用方法
    1、在網(wǎng)關(guān)上下載BmacForGetway.exe程序。雙擊運(yùn)行；
    2、BmacForGetway.exe運(yùn)行后，會(huì)直接隱藏到系統(tǒng)托盤，請(qǐng)?jiān)谕斜P圖標(biāo)上點(diǎn)右鍵->設(shè)置；
       此時(shí)會(huì)彈出設(shè)置窗口，窗口從整體上分為左右兩個(gè)部分，左邊是綁定設(shè)置窗口，右邊是MAC地址掃描工具窗口。我們首先，要進(jìn)行全網(wǎng)         的MAC地址掃描。請(qǐng)先輸入你的IP地址的范圍，譬如你使用192.168.1.0/255.255.255.0這一地址段，則在第一個(gè)窗口里填192.168.1，         然后設(shè)置從1 到254。點(diǎn)開始，很快就會(huì)掃描出全網(wǎng)的MAC地址。如果有多個(gè)網(wǎng)段，請(qǐng)重復(fù)這個(gè)步驟，目前只能一次掃描一個(gè)C類網(wǎng)段地       址。
    3、在掃描出全網(wǎng)MAC地址后，點(diǎn)中間的“<<-”按鈕，將會(huì)把掃描出的MAC全部添加到左邊的綁定欄目中。在綁定到IP欄目中，填上內(nèi)部網(wǎng)       卡的IP地址，然后點(diǎn)保存，再點(diǎn)開始就可以了。     Linux類網(wǎng)關(guān)上靜態(tài)綁定的使用方法
    1、首先利用BmacForGetway.exe程序，掃描出全網(wǎng)的MAC地址；具體操作請(qǐng)參考Windows類網(wǎng)關(guān)上BmacForGetway.exe使用方法的第1、2兩個(gè)     步驟。
    2、將掃描出的MAC地址與IP地址對(duì)應(yīng)數(shù)據(jù)點(diǎn)“<<-”導(dǎo)出到左邊綁定窗口，然后點(diǎn)“另存為L(zhǎng)inux格式”。則會(huì)生成一個(gè)ethers的文件。
    3、將ethers文件，通過sftp或者其他方式拷貝到linux網(wǎng)關(guān)的/etc/目錄下。
    4、輸入命令arp -f,系統(tǒng)將會(huì)找到/etc/ethers文件，并對(duì)IP地址和MAC地址的對(duì)應(yīng)關(guān)系靜態(tài)綁定。
    5、如果希望網(wǎng)關(guān)每次重新啟動(dòng)都綁定一次，則請(qǐng)?jiān)?etc/rc.local文件或者/etc/rc.d/rc.local文件中增加一行 ， arp -f 即可。

最新評(píng)論