国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

近期ARP病毒肆虐，幾乎騷擾了所有的局域網(wǎng)，所到之處，網(wǎng)絡(luò)故障頻繁，網(wǎng)速突然變慢，而且網(wǎng)絡(luò)連接時斷時續(xù)，輕則影響正常的工作秩序，重則可導(dǎo)致整個局域網(wǎng)絡(luò)癱瘓，甚至造成無法彌補的損失。因而，如何采取行之有效的措施防范ARP病毒，已成為近期網(wǎng)絡(luò)安全工作的重中之重。

這里筆者以某公務(wù)大廈的局域網(wǎng)改造情況為例進行分析，介紹如何采用VLAN技術(shù)對局域網(wǎng)進行優(yōu)化改造，從而有效防范ARP病毒的攻擊。

該公務(wù)大廈局域網(wǎng)絡(luò)具體現(xiàn)狀為：公務(wù)大廈共分9層，大廈寬帶網(wǎng)絡(luò)通過100M光纖上聯(lián)到網(wǎng)通公司招商局模塊為S6502交換機。在公務(wù)大廈一樓中心機房通過光電收發(fā)器將光信號轉(zhuǎn)換成電信號后，通過百光網(wǎng)線上聯(lián)至H3C的防火墻外網(wǎng)口。防火墻內(nèi)網(wǎng)口經(jīng)過一臺樓宇交換機轉(zhuǎn)接至各樓層交換機，每樓層各有一臺清華比威的樓宇交換機作為相應(yīng)樓層辦公室的寬帶接入使用。防火墻外網(wǎng)口配置網(wǎng)通公司分配的專線IP地址，內(nèi)網(wǎng)口配置私網(wǎng)IP地址，防火墻作為NAT 設(shè)備使用，配置兩個外網(wǎng)口和四個內(nèi)網(wǎng)口。實際網(wǎng)絡(luò)環(huán)境中使用了一個外網(wǎng)口(WAN0)和一個內(nèi)網(wǎng)口(LAN0)，所有的樓宇交換機均在一個VLAN內(nèi)，公務(wù)大廈各辦公室的終端計算機配置防火墻內(nèi)網(wǎng)口的私網(wǎng)IP地址進行互聯(lián)網(wǎng)的訪問。

目前接入的終端機數(shù)量接近300臺，由于各樓層的樓宇交換機與防火墻的內(nèi)網(wǎng)口均在同一VLAN內(nèi)，內(nèi)網(wǎng)IP只有一個網(wǎng)段，造成同一VLAN內(nèi)的節(jié)點數(shù)量較多，存在大量的廣播報文，一方面導(dǎo)致用戶網(wǎng)速減慢，另一方面由于部分終端機感染ARP病毒，迅速導(dǎo)致整個網(wǎng)絡(luò)大面積爆發(fā)ARP病毒，造成整個局域網(wǎng)的不穩(wěn)定。改造前的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

近期，該公務(wù)大廈寬帶網(wǎng)絡(luò)連續(xù)出現(xiàn)網(wǎng)絡(luò)頻繁中斷，裝有360安全衛(wèi)士并開啟局域網(wǎng)攻擊攔截功能的終端計算機會突然出現(xiàn)一個 “攔截提示”對話框——“360已攔截一次ARP攻擊”，然后就掉線。重新啟動操作系統(tǒng)可以暫時恢復(fù)，過一小會兒又出現(xiàn)“360已攔截一次ARP攻擊”，然后又掉線，需要不斷重新啟動操作系統(tǒng)，而查殺令人討厭的電腦木馬和病毒均為0。沒有安裝360安全士或者沒有開啟局域網(wǎng)攻擊攔截功能的終端計算機則會突然網(wǎng)絡(luò)中斷。開始是幾臺電腦出現(xiàn)上述情況，后來出現(xiàn)這種癥狀的電腦越來越多，直至整個局域網(wǎng)幾乎完全癱瘓。盡管網(wǎng)絡(luò)管理員根據(jù)預(yù)先統(tǒng)計的終端IP和與其綁定的MAC地址能查到發(fā)病的終端計算機，并及時對發(fā)病終端進行處理，但是，由于終端太多，而且都在同一個VLAN內(nèi)，一旦有一臺終端感染ARP病毒，就會迅速波及到整個網(wǎng)絡(luò)，給徹底清除ARP帶來非常大的困難。

為徹底解決這一問題，網(wǎng)絡(luò)管理員決定對網(wǎng)絡(luò)進行升級改造。由于該公務(wù)大廈樓層多且終端多，網(wǎng)絡(luò)布線復(fù)雜，網(wǎng)管認為應(yīng)該在保證安全性、保密性的基礎(chǔ)上，盡量減少網(wǎng)絡(luò)物理上的改動。經(jīng)過分析研究，確定啟用H3C防火墻的LAN0~LAN3內(nèi)網(wǎng)口，在防火墻下聯(lián)處增加一臺園區(qū)匯聚交換機，做好VLAN 劃分，分別由不同的VLAN與防火墻的內(nèi)網(wǎng)口相連，各內(nèi)網(wǎng)口配置不同的IP地址段，保證每個樓層獨立分配一個單獨的IP地址段;園區(qū)匯聚交換機至各樓層的樓宇交換機的互聯(lián)端口啟用VLAN劃分(即采用VLAN技術(shù)將各樓層之間的終端機進行分離)，保證各樓層之間的VLAN相對獨立，減少ARP病毒帶來的連鎖反應(yīng)，避免網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

根據(jù)現(xiàn)有網(wǎng)絡(luò)的布局和各樓層之間終端分布數(shù)量情況，網(wǎng)絡(luò)管理員制定出一個基于樓層進行IP地址劃分的具體方案，把IP地址段配置在H3C防火墻的內(nèi)網(wǎng)口上(一個端口可以配置多個IP地址段)，同時在H3C防火墻上定義NAT轉(zhuǎn)換策略，保證內(nèi)網(wǎng)IP的及時轉(zhuǎn)換，保證各樓層之間的終端對應(yīng)的IP地址段相對獨立，不會出現(xiàn)相互影響的情況。改造后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖2所示。

經(jīng)改造后，有效地制止了ARP病毒的大規(guī)模爆發(fā)，偶爾有某些電腦感染了ARP病毒，也能很快找到中毒電腦，及時阻斷。本文主要以該公務(wù)大廈的優(yōu)化改造方案為例進行剖析，介紹如何采用VLAN技術(shù)實現(xiàn)各樓層之間的相對隔離，從而減少ARP廣播風(fēng)暴的發(fā)生，輕松應(yīng)對ARP病毒的攻擊，增強網(wǎng)絡(luò)的穩(wěn)定性，提高網(wǎng)絡(luò)運行效率。

黑金ARP病毒欺騙攻擊目的和以往的單純ARP欺騙病毒完全不同，明顯表露出其木馬化的本質(zhì)。以黑金ARP病毒 Backdoor.Win32.ARP.g為例，該病毒的特別之處就是在原有ARP欺騙基礎(chǔ)上，捆綁正常的網(wǎng)絡(luò)分析軟件WinPcap，試圖欺騙傳統(tǒng)殺毒軟件，利用WinPcap提供的網(wǎng)絡(luò)分析功能，劫持網(wǎng)絡(luò)內(nèi)所有HTTP通信，并且強行在HTTP數(shù)據(jù)包中插入帶有病毒程序的網(wǎng)頁鏈接，使得局域網(wǎng)內(nèi)任意一個用戶在訪問正常網(wǎng)頁時，都會自動下載木馬病毒。也就是說，只要局域網(wǎng)內(nèi)有一臺計算機感染了該木馬，局域網(wǎng)內(nèi)所有的計算機就都有可能感染上木馬病毒?？梢?，黑金ARP對局域網(wǎng)危害極大，正可謂是一機中毒，全網(wǎng)“遇難”。理論上如果網(wǎng)內(nèi)只有一臺計算機中了黑金ARP，那么局域網(wǎng)雖受ARP欺騙影響，但仍尚可維持通信。但是實際上前述的假設(shè)在現(xiàn)實中是不成立的，因為只要有一臺計算機中毒，局域網(wǎng)內(nèi)很快就會發(fā)展為多臺計算機中毒，而多臺計算機同時發(fā)起ARP欺騙的直接后果就是網(wǎng)絡(luò)內(nèi)計算機互相欺騙，局域網(wǎng)全網(wǎng)通信癱瘓。

清除黑金ARP病毒，首先要做的就是要徹底清除其毒源。換句話說，如果將病毒源連根拔起清除徹底，局域網(wǎng)自然而然就會恢復(fù)正常。如果機器中了黑金ARP病毒，利用一般的殺毒軟件解決此問題，基本上收效甚微，掃描整個系統(tǒng)估計也沒有一個病毒報告出來。那到底該如何對付黑金ARP病毒呢?

其實事情是很簡單的，所有的黑金ARP病毒都必然具備的一個行為特點就是亂發(fā)ARP欺騙數(shù)據(jù)包，因此采用行為分析技術(shù)的主動防御軟件對其會有很好的清除能力。主動防御軟件根據(jù)行為分析一旦發(fā)現(xiàn)有程序試圖亂發(fā)ARP欺騙數(shù)據(jù)包，立即將其查殺。