基于地址解析協(xié)議(A.RP)的局域網(wǎng)訪問控制方案

摘要：隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展.網(wǎng)絡(luò)安全措施越來越受到關(guān)注，當(dāng)前來看，防火墻、VPN、信息加密等安全產(chǎn)品漸漸占據(jù)了市場，并且在學(xué)術(shù)界和商業(yè)界都得到了廣泛的運(yùn)用。而作為網(wǎng)絡(luò)中的ARP協(xié)議機(jī)制，在網(wǎng)絡(luò)運(yùn)用中，運(yùn)用ARP協(xié)議機(jī)制杜絕非法訪問。保護(hù)局域網(wǎng)的信息安全成為了十分重要的環(huán)節(jié)。本文針對當(dāng)前網(wǎng)絡(luò)ARP的具體情況，探討了在局域網(wǎng)中如何基于ARP協(xié)議及時發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)訪問中所出現(xiàn)的非法主機(jī)并對其網(wǎng)絡(luò)訪，控制信息安全的措施。

關(guān)鍵詞：地址解析協(xié)議 信息安全 訪問控制

中圖分類號：TP09 0.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X(2012)02(b)-0045-01

計(jì)算機(jī)網(wǎng)絡(luò)安壘是國家和單位信息安全的重要組成部分，也是國家和單位進(jìn)行信息化建設(shè)與發(fā)展的關(guān)鍵，如今，隨著內(nèi)部網(wǎng)絡(luò)的應(yīng)用對于工作效率的提高，網(wǎng)絡(luò)主機(jī)的訪問控制也日益成為人們關(guān)注的焦點(diǎn)。網(wǎng)絡(luò)技術(shù)的發(fā)展與應(yīng)用的普及，搭建內(nèi)部網(wǎng)絡(luò)以高效地完成日常工作成為大多數(shù)單位的主要網(wǎng)絡(luò)運(yùn)用手段。

1基于地址解析協(xié)議(ABP)的高速緩存表

1.1 ARP協(xié)議

Address Resolution Protocol協(xié)議又稱地址解析協(xié)議，它負(fù)責(zé)通知電腦要連接目標(biāo)的MAc地址，以保證通信的順利進(jìn)行。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖莭幀”，幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中的數(shù)據(jù)幀從一個主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺主機(jī)是根據(jù)48位的以太網(wǎng)地址，從而根據(jù)這些來確定其接口。在以太網(wǎng)絡(luò)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要通過ARP協(xié)議來獲取目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAc地址。所以，ARP在局域網(wǎng)絡(luò)中起著保證網(wǎng)絡(luò)通信的順利進(jìn)行的功能。

1.2 ARP工作原理

ARP的工作原理就是電腦上安裝的ARP緩存表。每一臺安裝TCP/IP協(xié)議電腦里面都會有ARP緩存表，當(dāng)以太電腦發(fā)送數(shù)據(jù)的時候，另一臺主機(jī)就會根據(jù)這個緩存表，尋找這臺電腦的IP地址，一旦找到以后，就會將這臺電腦的地址入幀里面發(fā)送。這就有效的對各個信息的來往有了有據(jù)可查，如果在傳輸?shù)倪^程中被ARP病毒攻擊，服務(wù)器也會做出反應(yīng)，從而快速做出防患措施。

2解決和防患局域網(wǎng)ARP的安全

ARP協(xié)議是網(wǎng)絡(luò)中正常運(yùn)行的關(guān)鍵，一般來說，當(dāng)我們進(jìn)行一個網(wǎng)址的輸入的時候，DNS服務(wù)器會自動把它解析為IP地址，瀏覽器實(shí)際上查找的是IP地址而不是網(wǎng)址。而IP地址轉(zhuǎn)換為第二層物理地址(即MAC地址)，在局域網(wǎng)中，這是通過ARP協(xié)議來完成的。一旦這個環(huán)節(jié)出錯，局域網(wǎng)的其他電腦就不能夠正常和目標(biāo)主機(jī)進(jìn)行通信，甚至使整個網(wǎng)絡(luò)癱瘓。因此，解決和防患局域網(wǎng)ARP的安全，是保障局域網(wǎng)正常運(yùn)行，信息安全的重要保證。

2.1 ARP木馬防治

一般來說，局域網(wǎng)被破壞或者信息被竊取，主要運(yùn)用的手段就有ARP木馬，表現(xiàn)為局域網(wǎng)突然掉線，或者客服端出錯，頻繁斷網(wǎng)等。針對這樣的情況，一般的手段就是進(jìn)行IP和MAC的靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。通過將ARP全部設(shè)置為靜態(tài)，就可以很好的解決對內(nèi)網(wǎng)PC的欺騙。

2.2手動修改lP

網(wǎng)絡(luò)在運(yùn)行的過程中，需要有外網(wǎng)與據(jù)以往進(jìn)行連接，以保證網(wǎng)絡(luò)的暢通。一般來說，木馬的侵入主要是通過實(shí)現(xiàn)外網(wǎng)和內(nèi)網(wǎng)相互連接的本地網(wǎng)卡的網(wǎng)關(guān)來實(shí)現(xiàn)的，通過外網(wǎng)直接入侵到局域內(nèi)網(wǎng)，這也是很多網(wǎng)絡(luò)管理防不慎防的一方面，針對這樣的情況，可以通過添加路由表格中的記錄，設(shè)置優(yōu)先級高于網(wǎng)關(guān)的默認(rèn)路由來防止木馬的侵入。一般是開始手動對客戶主機(jī)進(jìn)行網(wǎng)關(guān)地址的修改，將其修改為任意的IP，從而通過手動添加、腳本添加來實(shí)現(xiàn)永久對出口路由。

2.3改變wlnpcap驅(qū)動

winpcap驅(qū)動可以捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報；在數(shù)據(jù)報發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉，在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報；收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。在針對局域網(wǎng)的交換器有網(wǎng)卡和MAC地址綁定功能的時候，如何運(yùn)用很好的方法讓ARP欺騙和ARP木馬在本機(jī)安裝中無法運(yùn)行，那么就是停止winpcap驅(qū)動在本集中無法運(yùn)行。因?yàn)橐话愕哪抉R和欺騙軟件都是要通過winpcap驅(qū)動來實(shí)現(xiàn)運(yùn)行的，所以，如果控制了wm‘pcap驅(qū)動的運(yùn)行，那么木馬和欺騙軟件自然也無法入侵。

但是這個方法的實(shí)施需要有一定的條件才可以運(yùn)行，一般來說，首先需要電腦主機(jī)所在的系統(tǒng)盤為NTFS分區(qū)格式，只有這種格式下，才能支持方法的實(shí)施-其次就是需要在使用注冊表和文件安裝監(jiān)視軟件這兩個軟件來對安裝所生成的文件進(jìn)行監(jiān)視。最后就是安裝人員需要知道所要安裝的文件所在的系統(tǒng)中生成的哪些文件。只有這三個條件都滿足，才能夠適應(yīng)這種方法。

2.4使用ARP防護(hù)軟件

主要來說就是利用防護(hù)軟件來控制木馬等人侵，一般來說，主要的軟件有Antiarp。其主要的功能就是可以攔截外部ARP攻擊。在系統(tǒng)內(nèi)核層攔截接收到的虛假ARP數(shù)據(jù)包，保障本機(jī)ARP緩存表的正確性；攔截IP沖突。在系統(tǒng)內(nèi)核層攔截接收到的IP沖突數(shù)據(jù)包，避免本機(jī)因IP沖突造成掉線，同時，還有智能防御，在網(wǎng)關(guān)受到ARP欺騙的情況下進(jìn)行智能的防御等。另一種就是欣向ARP工具。欣向ARP工具一般具有五大優(yōu)點(diǎn)，即IP/MAC清單、ARP欺騙檢測、欣向路由器、主動維護(hù)、抓包。我們以主動維護(hù)為例，主動維護(hù)主要是可以解決ARP掉線的問題，然后，按照常說的，這個并不是最理想的方法，典原理就在于，其通過網(wǎng)絡(luò)內(nèi)不停的廣播指定的IP的正確的MAC地址，通過這個地址，不停的警醒廣播網(wǎng)關(guān)的正確IP、MAc來實(shí)現(xiàn)。目前市場上常用的就是免疫墻路由器。其獨(dú)有的免疫網(wǎng)絡(luò)解決方案能夠徹底解決arp攻擊問題。通過對協(xié)議的改動將nat表和arp表融合，當(dāng)有arp請求時將直接查詢nat表，使針對網(wǎng)關(guān)arp表的欺騙完全失去作用。

3結(jié)語

網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，如何控制網(wǎng)絡(luò)中的系統(tǒng)安全顯得十分重要。當(dāng)前網(wǎng)絡(luò)的運(yùn)用越來越普遍，網(wǎng)絡(luò)安全也隨之成為了各個單位企業(yè)關(guān)注的焦點(diǎn)，如何做好局域網(wǎng)的安全。成為了國家機(jī)關(guān)、企事業(yè)單位的重點(diǎn)關(guān)注所在，面對網(wǎng)絡(luò)安全的薄弱方面，除了網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)安全管理規(guī)范的建立，統(tǒng)籌管理。在網(wǎng)絡(luò)運(yùn)用上面，做好網(wǎng)絡(luò)安全保障。通過各方面的防治措施，提高局域網(wǎng)的安全。

參考文獻(xiàn)

[1]劉貴松，晏華，章毅.基于ARP協(xié)議的局域網(wǎng)訪問控制[J].電子科技大學(xué)學(xué)報，2005，08(19).

[2]馬躍龍.基于ARP協(xié)議的網(wǎng)絡(luò)訪問控制方法淺議[J].科技創(chuàng)新導(dǎo)報，2009，09(22).

[3]陳浩.ARP地址解析協(xié)議應(yīng)用[J].科技資訊，2009，03(1).