wusenkui 发表于 2007-12-18 14:17:28

网吧终极专用路由器---欣向多WAN口路由器解决方案

欣向 ARP 解决方案
免疫路由+免疫墙,ARP欺骗终极解决方案
近年来,国内网吧大都出现过由于ARP病毒引起的短时间内断线(全断或部分断)的现象,由于变种太多,传播速度快,国内外的反病毒厂商都拿ARP病毒没招。
什么是ARP (Address Resolution Protocol)
·        ARP是“Address Resolution Protocol”(地址解析协议)的缩写,基本功能是通过目标设备的IP位址,查询目标设备的MAC位址,以保证通信的顺利进行。


·        当192.168.1.3要送网络包给192.168.1.8,但不知MAC地址?
·        于是192.168.1.3在局域网发出广播包询问“192.168.1.8的MAC地址是多少?”
·        其他主机不回应,只有192.168.1.8回应“192.168.1.8的MAC地址是00-aa-01-12-c3-19”
什么是ARP病毒
·        ARP协议本身并不是病毒,只是很多木马程序、病毒都采用了该协议,这些木马病毒也经常出现在游戏的外挂中。
·        在一般的网络中,路由器和PC均带有ARP缓存,因此这两类设备最容易受到ARP攻击。如同路由器受到ARP攻击时数据包不能到达电脑一样,上网电脑受到ARP攻击时,数据包也不会发送到路由器上,而是发送到一个错误的地方,当然也就无法通过路由器上网了。
·        ARP病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP病毒停止发作时,用户会恢复从路由器上网,切换过程中用户会再断一次线。此时网吧管理员对每台机器使用“arp - a”命令来检查ARP表发现路由器的IP和MAC被修改,这就是ARP病毒攻击的典型症状。
ARP病毒变种历程
·        ARP病毒变种主要经历了以下变种历程:


·        目前的ARP病毒已经与DDOS攻击相容合,采用了flood方式攻击其他IP地址,并可以在局域网内互相感染,严重时可造成整个网络瘫痪。
ARP变种病毒的特性
·        破坏本机上的ARP表;中毒机器改变成代理路由;改变路由的网关MAC地址和internat网关的MAC地址一样。
·        在网吧,利用ARP病毒可以轻松盗取QQ号码、游戏帐户以及各种虚拟财富,造成了全网吧的瞬断、死机。
·        在企业,ARP病毒能盗取机密的商业信息,破坏企业内部的正常网络秩序,危害网络安全。
·        由此可以看出ARP病毒在短期内一定无法消失,甚至会在很长时间内存在。
ARP病毒防御方式
·        目前针对ARP病毒防御,主流的防御方式有两种:
·        通过路由器网关发送一定频率的广播包,告知每台客户正确的网关地址。
一旦ARP病毒发包的频率高于网关的发送频率,该防御失效。
·        采用双向绑定的方法解决并且防止ARP欺骗。
       在PC上绑定路由器的IP和MAC地址。编写一个批处理文件varp.bat内容如下:
       @echo off
       Arp –d
       Arp –s 内网网关IP地址 内网网关MAC地址
       将这个批处理软件拖到“windows开始―程序―启动”中,每次PC机启动自动加载该批处理文件。
       一旦ARP变种病毒采用foold攻击,到达一定强度后,该防御失效。
       在路由器上绑定用户主机的IP和MAC地址。
欣向ARP解决方案:
概述 “巡路”是欣全向科技开发的专业网络应用软件,是欣向“免疫网络”的关键组成部分, “巡路”的主要功能为:在终端进行流量监控,恶意攻击识别,攻击阻塞,网络行为规范等等,尤其针对ARP工具,IP欺骗,洪水攻击等常见的网络故障原因进行设计,力求及时发现问题并处理,保证网络安全稳定运行。 欣全向科技开辟了“巡路”社区,便于用户提出意见与需求,…共同打造免疫的网络环境二.系统架构 此主题相关图片如下: 驱动程序:直接读取网卡,对数据进行统计和操作。免疫墙:安装在内网的每台开机后自动运行,负责和监控端通信,如接收控制指令。监控软件:安装在内网的一台主机上(每个局域网只能运行一个),作为整个网络的视窗,可以监测网络中的每个客户端的某些网络行为,如连接速率,建立的连接数目,arp欺骗,ip欺骗,分片攻击等等。如图 此主题相关图片如下: 四.软件使用说明 本软件系统由“免疫墙”和“巡路”组成,“免疫墙”没有操作界面,完全服从于“巡路”控制。 目前的“巡路”,只是欣向巡路软件系统中的一小部分,是欣向公司为广大用户提供的攻击查找工具,包括ARP部分和网络视窗部分,便于在网络出现异常时进行故障定位,专业版提供各种行为的攻击阻塞行为,以实现将攻击限制在发起者自身,保障网络的顺畅运行。(一) “欣向动态”:提供欣向最新的技术和市场信息,如软件升级,地址库升级,巡路软件等等。(二) “IP/MAC”清单:提供内网主机的IP/MAC地址列表(多子网的网络,应在网卡设每个子网地址),并可以存入文件(三) “ARP欺骗监测”:通过定制监测监测列表,当内网有针对这些主机的ARP欺骗时,系统将进行记录报警(四)“主动维护”: 通过定制维护列表,系统每秒以一定频次广播正确的ARP信息(五)“欣向日志”: 本界面用于接收路由器发出的系统日志,需要在路由器的日志管理界面中进行设置,路由器要同意将日志发送到本主机(六)“抓包”: 本界面用于进行故障分析时进行抓包之用,10个包循环存储,总量大小为50MB,查看工具为Ethereal。(七)“网络视窗”:了解网络中每台主机的运行状况,该版本仅具备查看功能,不能进行控制。后续开发内容包含免疫网络攻击,网络病毒,上网行为管理,带宽管理,认证计费。
页: [1]
查看完整版本: 网吧终极专用路由器---欣向多WAN口路由器解决方案