基于地址解析协议(ARP)的局域网访问控制方案
来源:万方数据 更新时间:2012-08-23

 随着网络安全技术的发展,网络安全措施越来越受到关注,当前来看,防火墙、VPN、信息加霄等安全产品渐浙占据了市场,并且在学术界和商业界都得到了广泛的运用。而作为网络中的ARP协议机制,在网络运用中,运用ARP协议机制杜绝非法访问,保护局域网的信息安全成为了十分童要的环节。本文针对当前网络ARP的具体情况,探讨了在局域网中如何基于ARP协议及时发现内部网络访问中所出现的非法主机并对其网络访,控制信息安全的措施。
    计算机网络安全是国家和单位信息安全的重要组成部分,也是国家和单位进行信息化建设与发展的关键,如今,随着内部网络的应用对于工作效率的提高,网络主机的访问控制也日益成为人们关注的焦点。网络技术的发展与应用的普及,搭建内部网络以高效地完成日常工作成为大多数单位的主要网络运用手段。

1 基于地址解析协议(ARP)的高速缓存表

    1.1 ARP协议

    Address Resolution Protocol协议又称地址解析协议,它负责通知电脑要连接目标的MAC地址,以保证通信的顺利进行。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址,从而根据这些来确定其接口。在以太网络中,一个主机要和另一个主机进行直接通信,必须要通过ARP协议来获取目标设备的IP地址,查询目标设备的MAC地址。所以,ARP在局域网络中起着保证网络通信的顺利进行的功能。

    1.2ARP工作原理

    ARP的工作原理就是电脑上安装的ARP缓存表。每一台安装TCP/IP协议电脑里面都会有ARP缓存表,当以太电脑发送数据的时候,另一台主机就会根据这个缓存表,寻找这台电脑的IP地址,一旦找到以后,就会将这台电脑的地址入帧里面发送。这就有效的对各个信息的来往有了有据可查,如果在传输的过程中被ARP病毒攻击,服务器也会做出反应,从而快速做出防患措施。

2 解决和防患局域网ARP的安全

    ARP协议是网络中正常运行的关键,一般来说,当我们进行一个网址的输入的时候,DNS服务器会自动把它解析为IP地址,浏览器实际上查找的是IP地址而不是网址。而IP地址转换为第二层物理地址(即MAC地址),在局域网中,这是通过ARP协议来完成的。一旦这个环节出错,局域网的其他电脑就不能够正常和目标主机进行通信,甚至使整个网络瘫痪。因此,解决和防患局域网ARP的安全,是保障局域网正常运行,信息安全的重要保证。

    2.1 ARP木马防治

    一般来说,局域网被破坏或者信息被窃取,主要运用的手段就有ARP木马,表现为局域网突然掉线,或者客服端出错,频繁断网等。针对这样的情况,一般的手段就是进行IP和MAC的静态绑定,在网内把主机和网关都做IP和MAC绑定。通过将ARP全部设置为静态,就可以很好的解决对内网PC的欺骗。

    2.2手动修改lP

    网络在运行的过程中,需要有外网与据以往进行连接,以保证网络的畅通。一般来说,木马的侵入主要是通过实现外网和内网相互连接的本地网卡的网关来实现的,通过外网直接入侵到局域内网,这也是很多网络管理防不慎防的一方面,针对这样的情况,可以通过添加路由表格中的记录,设置优先级高于网关的默认路由来防止木马的侵入。一般是开始手动对客户主机进行网关地址的修改,将其修改为任意的IP,从而通过手动添加、脚本添加来实现永久对出口路由。

    2.3改变winpcap驱动

    winpcap驱动可以捕获原始数据报,包括在共享网络上各主机发送/接收的以及相互之间交换的数据报;在数据报发往应用程序之前,按照自定义的规则将某些特殊的数据报过滤掉;在网络上发送原始的数据报,收集网络通信过程中的统计信息。在针对局域网的交换器有网卡和MAC地址绑定功能的时候,如何运用很好的方法让ARP欺骗和ARP木马在本机安装中无法运行,那么就是停止winpcap驱动在本集中无法运行。因为一般的木马和欺骗软件都是要通过winpcap驱动来实现运行的,所以,如果控制了winpcap驱动的运行,那么木马和欺骗软件自然也无法入侵。 一但是这个方法的实施需要有一定的条件才可以运行,一般来说,首先需要电脑主机所在的系统盘为NTFS分区格式,只有这种格式下,才能支持方法的实施;其次就是需要在使用注册表和文件安装监视软件这两个软件来对安装所生成的文件进行监视。最后就是安装人员需要知道所要安装的文件所在的系统中生成的哪些文件。只有这三个条件都满足,才能够适应这种方法。

    2.4使用ARP防护软件

    主要来说就是利用防护软件来控制木马等入侵,一般来说,主要的软件有Antiarp。其主要的功能就是可以拦截外部ARP攻击。在系统内核层拦截接收到的虚假ARP数据包,保障本机ARP缓存表的正确性;拦截IP冲突。在系统内核层拦截接收到的IP冲突数据包,避免本机因IP冲突造成掉线;同时,还有智能防御,在网关受到ARP欺骗的情况下进行智能的防御等。另一种就是欣向ARP工具。欣向ARP工具一般具有五大优点,即IP/MAc清单、ARP欺骗检测、欣向路由器、主动维护、抓包。我们以主动维护为例,主动维护主要是可以解决ARP掉线的问题,然后,按照常说的,这个并不是最理想的方法,其原理就在于,其通过网络内不停的广播指定的IP的正确的MAC地址,通过这个地址,不停的警醒广播网关的正确IP、MAC来实现。目前市场上常用的就是免疫墙路由器。其独有的免疫网络解决方案能够彻底解决arp攻击问题。通过对协议的改动将nat表和arp表融合,当有arB请求时将直接查询nat表,使针对网关arp表的欺骗完全失去作用。

3 结语

    网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节,如何控制网络中的系统安全显得十分重要。当前网络的运用越来越普遍,网络安全也随之成为了各个单位企业关注的焦点,如何做好局域网的安全,成为了国家机关、企事业单位的重点关注所在,面对网络安全的薄弱方面,除了网络设计上增加安全服务功能,完善系统的安全保密措施外,还应当加强网络安全管理规范的建立,统筹管理。在网络运用上面,做好网络安全保障。通过各方面的防治措施,提高局域网的安全。