[摘 要] 介绍了酒店网络系统防止ARP欺骗必要性。通过分析ARP协议的工作原理,探讨了ARP欺骗的危害性。最后,从酒店网络系统安全的维护工作出发,介绍了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、静态配置路由ARP条目等技术能够有效防御ARP欺骗攻击的安全防范策略。
[关键词] 网络系统 ARP欺骗
近几年来,国内经济的高速发展,带来了蓬勃发展的旅游业和频繁的商务旅行活动。这些又为酒店行业带来了无限商机。如何提升酒店品牌新象,提高服务档次,能更好的满足顾客的要求从而扩大市场,成了各个酒店亟待解决的问题。
现在,顾客选择酒店时既看重基础设施的建设状况,也更加酒店信息化建设状况。顾客入住酒店不再只是解决住宿,还有娱乐、商务等需求。从市场调查来看,酒店的客流很大比例在于商务需要。而商务顾客都把客房当作临时的办公室。在里面办公,撰写WORD资料,准备PPT文稿,收发电子邮件等等。这些很大程度上取决于酒店对于互联网的接入服务是否完善。
酒店的网络应用情况非常复杂,使用的人员流动性大,对酒店网络建设提出了比较高的需求,需要解决因病毒攻击而引发的客户投诉的问题。这其中经常碰到的会引起所有用户不能正常上网的是ARP欺骗。近段时间,国内网吧、企业、酒店等行业大都出现过由于ARP欺骗引起的断线(全断或部分断线)的现象,由于该欺骗变种太多,传播速度太快,国内外的反病毒厂商都没有很好的办法来解决ARP欺骗问题。
一、什么是ARP欺骗
从影响网络连接通畅的方式来看,ARP欺骗分为二种:一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗:
第一种ARP欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是――伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
二、ARP欺骗的危害
ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等,可以随时发送ARP欺骗数据包和ARP恢复数据包,这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。这点在以前是不可能的,因为普通计算机没有管理权限来控制网关,而现在却成为可能,所以说ARP欺骗的危害是巨大的,而且非常难对付,非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包,这样就增加了网络管理员查找真凶的难度。