淺談ARP病毒在局域網(wǎng)中的分析處理及防御.ppt

1、ARP 病毒在局域網(wǎng)中的分析處理及防御,本文將對局域網(wǎng)中發(fā)生的ARP病毒故障現(xiàn)象及故障診斷進行介紹，同時介紹ARP協(xié)議的工作原理及常見的ARP病毒的攻擊方式，以及如何處理和防御ARP病毒攻擊的方法，以達到全面防御維護局域網(wǎng)網(wǎng)絡(luò)安全的目的。 關(guān)鍵詞：地址解析協(xié)議，ARP欺騙，網(wǎng)絡(luò)安全,目 錄,一、ARP病毒的故障現(xiàn)象,四、ARP病毒的故障診斷,二、ARP協(xié)議的工作原理 三、ARP病毒攻擊方式,五、ARP病毒的故障處理,六、預(yù)防措施,我們知道，當我們在瀏覽器里面輸入網(wǎng)址時，DNS服務(wù)器會自動把它解析為IP地址，瀏覽器實際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC

2、地址）的呢？在局域網(wǎng)中，這是通過ARP協(xié)議來完成的。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。 通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使網(wǎng)絡(luò)阻塞。,一、ARP病毒的故障現(xiàn)象,ARP病毒現(xiàn)象表現(xiàn)為：計算機網(wǎng)絡(luò)連接正常，網(wǎng)絡(luò)運行不穩(wěn)定，無法PING通網(wǎng)關(guān)的IP地址、但可以PING通自己的IP地址，上網(wǎng)時會突然掉線，過一段時間后又會恢復(fù)正常。比如出現(xiàn)用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯等現(xiàn)象。重啟電腦或在 MS-DOS窗口下運行命令arp -d后，又可恢復(fù)上網(wǎng)。,二、ARP協(xié)議的工作原理,1、什么是ARP協(xié)議 IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送。以太網(wǎng)設(shè)備并不識別32位IP地

3、址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此，必須把目的IP地址轉(zhuǎn)換成目的MAC 地址。在這兩種地址之間存在著某種對應(yīng)的映射，常常需要查看一張表。地址解析協(xié)議(Address Resolution Protocol，ARP)就是用來確定這些映像的協(xié)議。 在局域網(wǎng)中，就是通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目標主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。這個目標MAC地址是通過地址解析協(xié)議即ARP協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標

4、MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。,每臺安裝有TCP/IP協(xié)議的計算機主機里都有一個ARP緩存表，表中的IP地址 MAC地址是一一對應(yīng)的，如表 1 所示： 表 1 地址解析協(xié)議緩存地址表 值得注意的一點是：ARP 緩存表采用了一種老化機制，在一定的時間內(nèi)如果某一條記錄沒有被使用過就會被刪除。這樣可以大大減少ARP 緩存表的長度，加快查詢速度。,2、什么是ARP欺騙,ARP欺騙是一種利用計算機病毒使計算機網(wǎng)絡(luò)無法正常運行的計算機攻擊手段。包括進行對主機發(fā)動IP沖突攻擊、數(shù)據(jù)包轟炸，切斷局域網(wǎng)上任何一臺主機的網(wǎng)絡(luò)連接等

5、。主要有以盜取數(shù)據(jù)為主要目的的ARP欺騙攻擊，感染的計算機試圖通過“ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。 ARP的攻擊問題影響很大，局域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會欺騙局域網(wǎng)內(nèi)所有的主機和網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過ARP攻擊者控制的主機。其它用戶原來直接通過網(wǎng)關(guān)上網(wǎng)，現(xiàn)在卻轉(zhuǎn)由通過被控主機轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機性能和程序性能的影響，這種轉(zhuǎn)發(fā)并不會非常流暢，因此就會導(dǎo)致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)網(wǎng)絡(luò)擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。ARP欺騙木馬

6、只需成功感染一臺電腦，就可能導(dǎo)致整個局域網(wǎng)無法上網(wǎng)，嚴重的可能帶來整個網(wǎng)絡(luò)的癱瘓。,3、ARP協(xié)議的工作原理,首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個 ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己 ARP列表中是否存在該 IP地址對應(yīng)的MAC地址，如果有就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應(yīng)的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。,網(wǎng)絡(luò)中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP

7、地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個 ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。,三、ARP病毒攻擊方式,從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP攻擊分為兩種，一種是ARP泛洪；另一種是ARP欺騙。 ARP 泛洪：受ARP病毒感染的主機不斷向本地網(wǎng)絡(luò)內(nèi)其他主機發(fā)送大量的錯誤ARP應(yīng)答報文，導(dǎo)致受攻擊主機的ARP表中的真

8、實的ARP條目被刷新掉。因為錯誤的ARP條目占用了整個ARP表。所以，受攻擊主機就不能完成正確的二層尋址，也就不能實現(xiàn)Internet的訪問。這種攻擊的現(xiàn)象是，受攻擊主機即不能訪問本地網(wǎng)絡(luò)，也不能訪問外部網(wǎng)絡(luò)。,ARP欺騙：受ARP病毒感染的主機偽造IP地址為網(wǎng)關(guān)地址，MAC地址為本機MAC地址的虛假ARP應(yīng)答報文發(fā)送給本地網(wǎng)絡(luò)內(nèi)的主機，以刷新受攻擊主機的正確的網(wǎng)關(guān)的ARP條目，誘使受攻擊主機將原本發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包發(fā)送到感染ARP病毒的主機上。攻擊者通常利用這種方法來竊取被攻擊者的數(shù)據(jù)包中的信息。這種攻擊的現(xiàn)象是，受攻擊主機訪問外部網(wǎng)絡(luò)時斷時續(xù)，但是訪問本地網(wǎng)絡(luò)時不受影響。,四、ARP病毒的故

9、障診斷,如果用戶發(fā)現(xiàn)計算機網(wǎng)絡(luò)連接正常，網(wǎng)絡(luò)運行不穩(wěn)定，頻繁斷網(wǎng)。可以通過如下操作進行診斷： 點擊“開始”按鈕 選擇“運行” 輸入cmd 再輸入“arp-d”-點擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說明此次掉線可能是受ARP欺騙所致。 注：可以先用arp-a命令查看一下，再用arp-d清除主機arp表。主機的arp表被清空。如果這時可以正常上網(wǎng)，過一段時間又不能上網(wǎng)，再重復(fù)前面的過程又可以上網(wǎng)。則說明受到ARP攻擊。,五、ARP病毒的故障處理,（一）、從交換機上進行IP地址與MAC地址綁定設(shè)置 從交換機的角度，可以使用命令進行IP 地址和 MAC地址的綁定。以中興ZXR10 解

10、決方案為例，中興ZXR10在交換機上提供 IP 地址和 MAC 地址的綁定功能，并建立綁定關(guān)系。在進行 ARP 綁定前首先要確定網(wǎng)絡(luò)是正常運行的，然后再進行ARP 綁定設(shè)置。這樣可以有效地提高網(wǎng)絡(luò)安全性和穩(wěn)定性。 當更換電腦網(wǎng)卡時要更新靜態(tài) ARP 映射表。否則由于更換了網(wǎng)卡的主機的 MAC 地址與 ARP 表中的不一致，也會導(dǎo)致無法上網(wǎng)，應(yīng)相應(yīng)的給予修改。,（二）、從客戶端主機進行 ARP 綁定設(shè)置處理方法,步驟一：在能上網(wǎng)的時候點擊“開始”按鈕 選擇“運行” 輸入cmd 輸入“arp -a” 則會顯示網(wǎng)關(guān)的正確MAC 地址和IP地址（記錄下來為以后查殺ARP病毒做準備）。如果不能上網(wǎng)，則先

11、運行一次“arp -d”，將arp緩存中的內(nèi)容清空，計算機可暫時上網(wǎng)。 步驟二：已經(jīng)有網(wǎng)關(guān)正確的MAC地址和IP地址，手工將MAC 地址和IP地址綁定，計算機可以免受ARP攻擊的干擾。手工綁定可在MS-DOS下運行以下命令：“arp-s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址” 例如：在運行中輸入cmd 輸入“arp-a”命令，則會顯示局域網(wǎng)網(wǎng)關(guān)的IP 地址和MAC地址，如下圖： Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 dynamicI（動態(tài)）,那么手工綁定的命令為：“arp-s 60.2.11.1 00-19

12、-C6-07-5A-21”（注意要寫自己局域網(wǎng)網(wǎng)關(guān)的IP地址和MAC地址）。綁定完可再用“arp -a ”命令查看arp 緩存表，則會發(fā)現(xiàn)網(wǎng)關(guān)類型變成了靜態(tài)： Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 static（靜態(tài)）,但是，需要說明的是手工綁定在計算機關(guān)機重開機后就會失效，需要再綁定。我們可以編寫一個批處理文件，放到啟動項中，這樣每次開機都會運行這個程序，可以防止arp 攻擊。請按照以下步驟操作：1) 編寫一個批處理文件arp.bat內(nèi)容如下：如圖所示：echo offarp -darp -s 6

13、0.2.11.1 00-19-C6-07-5A-21,將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。,2）保存文件夾（自啟動文件夾）：C:Documents and SettingsAll Users開始菜單程序啟動 (注意,一定是All Users目錄下) 3）重起計算機 4）操作完成后可以看到:桌面開始菜單所有程序啟動arp.bat ，切記不要刪! 注：此方法要是換網(wǎng)段的話要重新設(shè)置。所以要徹底消除攻擊則要找出被病毒感染的計算機，殺除arp病毒，方可解決。,（三）、找出受病毒感染的計算機并查殺病毒,目前關(guān)于ARP類的防護軟件出的比較多，結(jié)合使用軟件可以找到受

14、病毒感染計算機的MAC 地址和IP地址，也就找到了該計算機。 Anti Arp Sniffer是一款檢測網(wǎng)絡(luò)內(nèi)存在ARP木馬欺騙的工具。當懷疑網(wǎng)絡(luò)內(nèi)存在ARP木馬時，可使用此工具來進行自我保護?；蛘咴O(shè)置為自動運行，可以免受ARP欺騙木馬的感染。 網(wǎng)絡(luò)內(nèi)存在ARP 欺騙木馬時的癥狀通常如下：物理網(wǎng)絡(luò)正常的情況下，網(wǎng)絡(luò)不穩(wěn)定，上網(wǎng)時斷時續(xù)?；蛘呤峭蝗徊荒苓B接互連網(wǎng)。這時您可以使用Anti Arp Sniffer來進行自我保護。 更深入一步，也可以檢測到感染ARP欺騙木馬的主機地址和MAC地址，這時我們可以和網(wǎng)管人員一起來找出病源，專門針對該機器進行病毒的查殺。首先要升級防病毒軟件的病毒定義碼，使得防病毒軟件的病毒庫為最新。然后斷開網(wǎng)線，查殺病毒。,六、預(yù)防措施：,機器被感染病毒，主要是防范意識薄弱，即使你的機器現(xiàn)在清除了該病毒，但以后仍然會感染新的病毒（包括該病毒變種及其他病毒）。為了有效防范來自病毒、黑客的網(wǎng)絡(luò)攻擊，要養(yǎng)成良好的使用習慣。 1、不要隨便點擊打開QQ、MSN等聊天工具上發(fā)