网络通信 频道

让ARP病毒消声觅迹(下)

  在上文中我们主要了解了欣全向免疫墙路由器NUR8115M的初始化方法以及各个相关功能,不过要提起NUR8115M路由器他最大的特点恐怕还要属应对ARP、DDos等各种网络攻击了,要知道在中小企业或者学校中最典型的也是危害最大的网络攻击之一是ARP攻击。下面我们就来看看欣全向免疫墙路由器到底是如何让ARP病毒消声觅迹的。

  一,(普通方式)用双向绑定防范ARP欺骗病毒:

  有过处理ARP欺骗病毒经验的网络管理员都知道ARP欺骗病毒的本质就是伪装自己成为网关,然后混淆网络内其他客户端的IP地址与MAC地址映射关系。

  仅仅在客户电脑上进行MAC与IP地址的绑定是不够的,要解决ARP欺骗病毒市面上很多其他路由器采用的是双向绑定的方法,所谓双向即在路由器上完成客户端IP地址与MAC地址的静态绑定,另外还要在客户端上完成网关地址(路由器地址)的IP地址与MAC地址的静态绑定。但是这样仅是做了简单的绑定处理,做的绑定可以被病毒取消,ARP攻击数据还会在网络传播,内网数据攻击还存在!

  二,让ARP病毒消声觅迹——欣全向免疫墙路由器零接触:

  下面我们就来看看欣全向免疫墙路由器是如何工作的,在之前的文章中我们已经为各位IT168读者介绍了欣向免疫墙路由器如何对ARP攻击先天免疫,现在我们看看免疫墙路由器如何安装并实现对ARP等内网攻击如何拦截控制的。

  (1)免疫墙路由器配置监控中心的安装:

  欣全向免疫墙路由器NUR8115M在通过选择一台欣全向免疫服务器作为服务端,然而其他客户端访问该服务端下载免疫驱动来实现的。因此我们应该选择一台稳定高性能的机器作为服务端,可以将企业内部的服务器作为服务端,而且整个实施过程不一定要在无毒情况下完成,如果企业内部已经感染了ARP病毒那么这种绑定和拦截一样彻底。

  第一步:打开欣全向免疫墙路由器NUR8115M的配套光盘,我们可以看到里面有三个目录,依次是产品手册及帮助文档,欣全向免疫墙路由器监控中心以及实用工具。(如图1)

  第二步:我们只需要安装欣全向免疫墙路由器监控中心目录里的监控端主程序即可,我们在服务端上运行安装程序。(如图2)

  第三步:进入欣全向免疫墙路由器监控中心安装向导,我们点“下一步”按钮继续。(如图3)

  第四步:默认情况下欣全向免疫墙路由器监控中心是安装在“c:\program files\nuqx\免疫墙路由器控制中心”下,我们可以点更改按钮修改路径。(如图4)

  第五步:复制必须文件到本地硬盘。(如图5)

  第六步:安装完毕后我们结束向导窗口,这时会在桌面看到“免疫墙路由器”的图标,运行该图标启动“免疫墙路由器监控中心”。(如图6)

  (2)免疫墙路由器配置和监控中心的配置:

  下面我们来看看如何针对免疫墙路由器配置和监控中心进行配置。

  第一步:首先选择监控网卡,中心程序会自动扫描地址等信息是否可用,之后点确定按钮继续。(如图7)

  第二步:出现欢迎登录界面,这时我们输入免疫墙路由器的管理地址,填写登录路由器的帐户名和密码后“登陆”确定。(如图8)

  第三步:监控中心会自动连接路由器获取相关地址信息,等待时间随客户端数量不同而有所区别。(如图9)

  第四步:扫描完毕后我们就可以看到当前网络内的主机情况,包括主机内部编号,IP地址,MAC地址等信息。不过由于当前这些设备还没有在监控中心中激活,所以我们还看不到具体流量信息。(如图10)

  第五步:下面我们需要开启监控中心服务端的页面服务功能,点上面的“配置”按钮,在下载服务器处填写服务端主机的IP地址,确定后将在本机开启WWW服务。(如图11)

  第六步:所谓WWW服务实际上是免疫驱动下载页面,通过下载这个客户端程序实现对电脑各种网络攻击的拦截、报警、带宽管理和ARP看守式绑定。(如图12)

  小提示:

  在配置窗口中有很多功能标签,通过这些标签我们可以针对路由器相关功能进行配置,包括带宽分配与管理,智能带宽的启用等。(如图13)同时还可以针对报警等方式进行设置,这样当网络中流量异常或者有数据包攻击路由器时我们不需要登录路由器而直接在监控中心服务端就可以查看到提示信息。(如图14)

  第七步:配置完毕后我们会在服务端右下角系统任务栏处看到对应图标的出现,一个是驱动下载服务器,就是提供WWW下载应用的程序,另外一个则是监控中心主程序。(如图15)

  (3)获取授权码:

  要想让监控中心能够正常启动,每个网络环境还需要一个专门的授权码。

  第一步:在监控中心中点“启动”按钮,这时会出现一个提示窗口要求我们输入授权码,我们点“获取授权码”按钮进入相关页面,完成注册后就可以获得授权码信息了。整个注册工作很简单和申请邮箱没有多大区别。需要提醒一点的是申请授权码时需要填写免疫墙路由器的SN号,这个号在设备的底板标签上。所以申请时设备一定要在我们身边。(如图16)

  第二步:申请成功后我们将获得用户名,密码以及授权码相关信息,将这些信息妥善保存,此授权码可以使用一年正式授权使用期,当授权时间不满一年时可以再次和欣向联系获取下一年授权。同时该信息会以电子邮件的方式通知申请者。(如图17)

  第三步:将获得的信息输入到“启动登录”窗口中后确定即可。(如图18)

  第四步:确定后我们还要记得解除防火墙对于immunity wall software服务的阻止,这样该服务才能够顺利为网络中其他客户端提供服务。(如图19)

  (4)其他客户端上应用免疫系统:

  监控中心服务端设置完毕后我们在其他客户端上还要安装免疫系统客户端,具体方法如下。

  第一步:在网络中其他客户端上访问任何网站都回被指定到监控中心地址发布的页面,然后安装免疫上网驱动程序。(如图20)

  第二步:自动下载immwalldriver.exe,容量为2.63MB。(如图21)

  第三步:下载完毕后安装免疫上网驱动程序,系统复制必需文件到本地硬盘。(如图22)

  第四步:安装完毕后我们在客户端上执行arp -a命令可以看到网关地址IP信息与MAC信息的对应关系,而这种对应关系属于static静态关联,任何病毒都无法打破这种关系。(如图23)

  小提示:

  免疫驱动安装后,电脑上的arp绑定是看守式的,也就是说没有人能取消,我们输入清除arp攻击的命令 arp –d,然后访问网络,再敲arp -a发现绑定还是存在的,看来这种方式比传统宏文件的绑定方式好多了。

  客户端的免疫上网驱动程序是以服务的形式存在的,我们可以到系统服务管理选项中看到名为CWALL的服务,他就是免疫上网驱动程序。(如图24)

  另外如果在客户端上无法访问到监控中心发布的WWW页面的话,我们需要从监控中心服务器上下手解决,关闭系统防火墙或者直接把immunity wall software免疫墙路由器监控中心以及wallwebs免疫驱动下载服务器两个程序和服务添加到“例外”授权规则中,这样就能够解决客户端访问问题了。(如图25)

  三,应用感受:

  笔者在一所中学网络环境下部署了免疫系统,选择了学校服务器作为监控中心,一部分客户端上安装了免疫上网驱动程序。在实际使用过程中内网爆发过ARP蠕虫病毒,不过安装了免疫上网驱动程序的客户端没有受到影响,查询ARP缓存表一切正常。然而没有安装免疫上网驱动程序的计算机则或多或少出现了无法上网,上网速度缓慢等问题,看来要想最大限度的发挥ARP欺骗病毒防范效果必须实施免疫系统。

  经过全面实施免疫墙路由器学校内部有效的解决了ARP欺骗病毒对内网应用的冲击,即使有的机器感染了ARP欺骗病毒也会被免疫驱动拦截,攻击数据不会发送到网络中。

  在实际使用中笔者还发现由于欣全向免疫墙路由器NUR8115M有四个以太LAN接口,需要下连多个交换机才能连接更多的网络终端,但由于免疫墙路由器通过免疫驱动控制到了内网任何一个电脑的网络数据收发,这样每台电脑都不会发出网络数据攻击,使得免疫墙路由器和我们传统的交换网络很好的兼容,使得我们在不更换交换设备的前提下仍能够彻底控制网络攻击并准确的定位报警。免疫墙路由器的实施实现了整个网络都尽显眼底的效果,彻底杜绝了内部网络数据攻击。

  四,总结:

  总的来说通免疫墙路由器来打造学校内部安全网络是非常有效的,欣全向免疫墙路由器NUR8115M自身对ARP免疫功能非常不错,希望通过本文可以让更多的中小企业与中小学网络管理员找到一条解决诸如ARP等DDos欺骗蠕虫病毒的捷径。

0
相关文章