用VLAN优化网络 轻松应对ARP病毒

核心提示： 经改造后,有效地制止了ARP病毒的大规模爆发,偶尔有某些电脑感染了ARP病毒,也能很快找到中毒电脑,及时阻断.本文主要以该公务大厦的优化改造方案为例进行剖析,介绍如何采用VLAN技术实现各楼层之间的相对隔离,从而减少ARP广播风暴的发生,轻松应对ARP病毒的攻击,增强网络的稳定性,提高网络

经改造后,有效地制止了ARP病毒的大规模爆发,偶尔有某些电脑感染了ARP病毒,也能很快找到中毒电脑,及时阻断.本文主要以该公务大厦的优化改造方案为例进行剖析,介绍如何采用VLAN技术实现各楼层之间的相对隔离,从而减少ARP广播风暴的发生,轻松应对ARP病毒的攻击,增强网络的稳定性,提高网络运行效率.

图 １ 改造前的网络拓扑结构图

图 ２ 改造后的网络拓扑结构图

改造后的VLAN划分及IP地址分配表

揭开黑金ARP病毒面纱

黑金ARP病毒欺骗攻击目的和以往的单纯ARP欺骗病毒完全不同,明显表露出其木马化的本质.以黑金ARP病毒Backdoor.Win32.ARP.g为例,该病毒的特别之处就是在原有ARP欺骗基础上,捆绑正常的网络分析软件WinPcap,试图欺骗传统杀毒软件,利用WinPcap提供的网络分析功能,劫持网络内所有HTTP通信,并且强行在HTTP数据包中插入带有病毒程序的网页链接,使得局域网内任意一个用户在访问正常网页时,都会自动下载木马病毒.也就是说,只要局域网内有一台计算机感染了该木马,局域网内所有的计算机就都有可能感染上木马病毒.可见,黑金ARP对局域网危害极大,正可谓是一机中毒,全网“遇难”.理论上如果网内只有一台计算机中了黑金ARP,那么局域网虽受ARP欺骗影响,但仍尚可维持通信.但是实际上前述的假设在现实中是不成立的,因为只要有一台计算机中毒,局域网内很快就会发展为多台计算机中毒,而多台计算机同时发起ARP欺骗的直接后果就是网络内计算机互相欺骗,局域网全网通信瘫痪.

清除黑金ARP病毒,首先要做的就是要彻底清除其毒源.换句话说,如果将病毒源连根拔起清除彻底,局域网自然而然就会恢复正常.如果机器中了黑金ARP病毒,利用一般的杀毒软件解决此问题,基本上收效甚微,扫描整个系统估计也没有一个病毒报告出来.那到底该如何对付黑金ARP病毒呢?

其实事情是很简单的,所有的黑金ARP病毒都必然具备的一个行为特点就是乱发ARP欺骗数据包,因此采用行为分析技术的主动防御软件对其会有很好的清除能力.主动防御软件根据行为分析一旦发现有程序试图乱发ARP欺骗数据包,立即将其查杀.