網(wǎng)絡技術基礎論文基于ARP協(xié)議的病毒防范研究

1、基于arp協(xié)議的病毒防范研究 摘 要隨著網(wǎng)絡技術的發(fā)展與internet飛速普及，人們對計算機和互聯(lián)網(wǎng)的依賴加強。如今社會已經(jīng)進入了信息化時代，許多公司和個人將工作環(huán)境定位在網(wǎng)絡之上。加快了人們的生活節(jié)奏，方便了人們的許多工作流程。然而目前利用tcp/ip協(xié)議安全漏洞進行欺騙攻擊的事件經(jīng)常發(fā)生,攻擊者利用arp欺騙進行拒絕服務攻擊(dos)或中間人攻擊,造成網(wǎng)絡通信中斷或數(shù)據(jù)被截取和竄改,嚴重影響網(wǎng)絡的安全。本文通過arp協(xié)議原理分析揭示arp協(xié)議欺騙,并對arp病毒攻擊提出一套有效可行的防犯措施和解決辦法。 關鍵詞 arp協(xié)議 arp欺騙 arp病毒 abstractalong with t

2、he development of network technology and internet rapid popularity, people depend on the computer and internet more and more. now society has entered the information age, many companies and individuals locate work environment on network. internet speed up the pace of peoples life and peoples working

3、 process become convenient. however, the events that use tcp/ip protocol security vulnerabilities to cheat and attack happen often, the attacker use the arp deception for denial of service attack (dos) or broker attack,which cause network communication interrupting or data be intercepted and juggled

4、, influencing network security.this article will analysis arp principle and reveal arp cheating, and in allusion to arp virus attack proposes a set of effective feasible and defense-related measures and solutions.key arp principle arp deception arp virus一、引言 arp欺騙具有隱蔽性、隨機性的特點,在internet上隨處可下載的arp欺騙工具

5、使arp欺騙更加普遍。目前利用arp欺騙的木馬病毒在局域網(wǎng)中廣泛傳播,給網(wǎng)絡安全運行帶來巨大隱患,是局域網(wǎng)安全的首要威脅。有時會出現(xiàn)網(wǎng)絡設備完好,運轉(zhuǎn)正常的情況下,局域網(wǎng)內(nèi)用戶上網(wǎng)速度緩慢甚至完全阻塞的情況,這種現(xiàn)象往往是由于局域網(wǎng)內(nèi)遭到arp攻擊引起的,一些帶有arp欺騙功能的木馬病毒,利用arp協(xié)議的缺陷,像大規(guī)模爆發(fā)的流行性感冒一樣,造成網(wǎng)絡時斷時續(xù),無法正常上網(wǎng)。同時清理和防范都比較困難,給不少的網(wǎng)絡管理員造成了很多的困擾。 二、arp協(xié)議介紹 arp協(xié)議是地址解析協(xié)議，英文全稱為address resolution protocol, 其作用是將ip地址解析為mac地址。它工作于os

6、i模型的第二層,在本層和硬件接口間進行聯(lián)系, 同時為上層(網(wǎng)絡層) 提供服務。是將ip地址與網(wǎng)絡物理地址一一對應的協(xié)議,負責ip地址和網(wǎng)卡實際地址(mac)之間的轉(zhuǎn)換。也就是將網(wǎng)絡層地址解析為數(shù)據(jù)鏈路層的mac地址。在以太網(wǎng)中,一個網(wǎng)絡設備要和另一個網(wǎng)絡設備進行直接的通信,除了知道目標設備的ip地址外,還要知道目標設備的mac地址。arp協(xié)議的基本功能就是通過目標設備的ip地址,查詢目標設備的mac地址,以保證通訊的順利進行。當一個網(wǎng)絡設備需要和另一個網(wǎng)絡設備通信時,它首先把目標設備的ip地址與自己子網(wǎng)掩碼進行“與”操作,以判斷目標設備與自己是否位于同一網(wǎng)段內(nèi),如果目標設備與源設備在同一網(wǎng)段內(nèi)

7、,則源設備以第二層廣播的形式(目標mac地址全為1)發(fā)送arp請求報文,在arp請求報文中包含了源設備與目標設備的ip地址。如果目標設備與源設備不在同一網(wǎng)段,則源設備首先把ip分組發(fā)向自己的缺省網(wǎng)關,由缺省網(wǎng)關對該分組進行轉(zhuǎn)發(fā)。 三、arp協(xié)議的工作原理在局域網(wǎng)中arp工作時，請求主機向交換設備發(fā)送一個含有目標主機的ip地址的廣播數(shù)據(jù)包，目標ip地址的主機響應請求主機。請求主機就可以獲得目標主機的mac地址，此時，arp協(xié)議工作，將目標主機的ip地址解析成arp地址，同時請求主機會將這個地址對放入自己的arp表緩存起來。arp的緩存表運時用的是老化機制，在3到5分鐘內(nèi)若表中的某一行未使用則將本

8、紀錄刪除，可以減少arp緩存表的長度，從而加快了其工作效率。在非局域網(wǎng)中arp工作時，請求主機與目標主機通信時，首先測檢二個主機是否處于同一網(wǎng)段內(nèi)，在此過程中，需要通過網(wǎng)關來轉(zhuǎn)發(fā)并檢查本arp緩存表是否有目標主機mac地址。若沒有，則通過arp請求獲取，有則直接通信。然后再由網(wǎng)關通過路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)到目標主機網(wǎng)關，目標主機網(wǎng)關接收到數(shù)據(jù)包后檢測是本緩存表里是否有目標主機mac地址，有則直接通迅，無則請求獲取四、arp協(xié)議的缺陷 1.主機arp列表是基于高速緩存動態(tài)更新的。由于正常的主機間的mac地址刷新都是有時限的,這樣惡意用戶如果在下次交換之前成功地修改了被欺騙機器上的地址緩存,就可以進行

9、假冒或拒絕服務攻擊。2.可以隨意發(fā)送arp應答分組。由于arp協(xié)議是無狀態(tài)的,任何主機即使在沒有請求的時候也可以做出應答。因此任何時候發(fā)送arp應答。只要應答分組是有效的,接收到arp應答分組的主機就無條件地根據(jù)應答分組的內(nèi)容刷新本機高速緩存。 五、arp的主要攻擊類型 arp期騙是指利用arp協(xié)議的漏洞,通過向目標設備主機發(fā)送虛假的arp報文,達到監(jiān)聽或者截獲目標主機數(shù)據(jù)的攻擊手段。主要攻擊類型:冒充主機欺騙網(wǎng)關(對路由器arp表的欺騙)、冒充網(wǎng)關欺騙主機(對內(nèi)網(wǎng)pc的網(wǎng)關欺騙)。 1.冒充主機欺騙網(wǎng)關 攻擊主機c發(fā)出一個報文,其中源mac地址為mac c,源ip地址為ip a。這樣任何發(fā)往

10、主機a的報文都會被發(fā)往攻擊主機c。網(wǎng)關無法與真實主機a直接通信。假如攻擊主機不斷地利用自己的真實mac地址和其他主機的ip地址作為源地址發(fā)送arp包,則網(wǎng)關無法與網(wǎng)段內(nèi)的任何主機(攻擊主機c除外),進行直接通信。然而,這種情況下,交換機是不會產(chǎn)生任何報警日志的,原因在于,多個ip地址對應一個mac地址在交換機看來是正常的,不會影響其通過ip所對應的mac來交付報文。 如果攻擊者將網(wǎng)關arp緩存中的mac地址全部改為根本就不存在的地址,那么網(wǎng)關向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀會丟失,使得上層應用忙于處理這種異常而無法響應外來請求,也就導致網(wǎng)關產(chǎn)生拒絕服務(不能響應外界請求,不能對外提供服務)。 2.冒

11、充網(wǎng)關欺騙主機 (1)在主動攻擊中,攻擊者c主動向a發(fā)送arp 應答數(shù)據(jù)包,告訴a,b(網(wǎng)關)的ip地址所對應的mac地址是cc-cc-cc-cc-cc-cc,從而使得a修改自己的arp列表,把b的ip地址對應的mac地址修改為攻擊者c的mac地址。 (2)同時,攻擊者c 也主動向b發(fā)送arp應答數(shù)據(jù)包,告訴b,a的ip地址所對應的mac 地址是cc-cc-cc-cc-cc-cc,從而使得b修改自己的arp列表,把a的ip地址對應的mac地址修改為攻擊者c的mac 地址。 (3)從而使得ab 之間的通信形式變成acb,實現(xiàn)了中間人攻擊。 在被動攻擊中,攻擊者c只在a或者b發(fā)送arp請求數(shù)據(jù)包時

12、,延時一段時間發(fā)送應答數(shù)據(jù)包,使得自己的應答包在正確的應答包之后到達,防止自己修改的相應主機的arp 列表被正確的應答包再次修改。 那么主機a發(fā)往網(wǎng)關b的報文都會被發(fā)往攻擊主機c,造成主機a突然斷網(wǎng)。如果攻擊主機向網(wǎng)關b轉(zhuǎn)發(fā)了來自主機a的報文,那么主機a能通過攻擊主機c繼續(xù)上網(wǎng),但其上網(wǎng)質(zhì)量完全取決于攻擊主機c,通常表現(xiàn)為時斷時續(xù)。 例如,網(wǎng)絡上有3臺主機,有如下的信息: 主機名 ip地址 硬件地址 a 202.206.208.1aa:aa b 202.206.208.2 bb:bb c 202.206.208.3 cc:cc 這三臺主機中,c是一臺被入侵者控制了的主機,而a信任b,入侵者的目

13、的就是要偽裝成b獲得a的信任,以便獲得一些無法直接獲得的信息等。 六、arp病毒的傳播方式與危害1.傳播途徑：arp欺騙其實本質(zhì)是一種對計算機網(wǎng)絡進行攻擊的一種方法，arp病毒傳播的方式幾乎也成為目前大部份的病毒傳播方式，主要有以下幾種方式：(1)通過網(wǎng)站掛馬傳播(2)通過網(wǎng)絡共享傳播(3)通過移動存儲設備傳播(4)通過文件感染傳播2. arp病毒的危害：若局域網(wǎng)某主機被感染，就會欺騙局域網(wǎng)內(nèi)全部主機與網(wǎng)關，使局域網(wǎng)內(nèi)所有欲接入internet的數(shù)據(jù)必須經(jīng)過arp控制者的主機，這樣達到數(shù)據(jù)臨聽或修改的目的，使用戶的一些信息被泄露，同時也有可能會出現(xiàn)大量且頻繁的網(wǎng)站，無法關閉，使計算機系統(tǒng)崩潰，

14、無法修復等。同時將使局域網(wǎng)的所有主機和網(wǎng)絡性能急劇下降或崩潰。七、 arp欺騙防范和解決方案 1.建立靜態(tài)arp表arp不是一張ip地址-mac地址映射表，在有些系統(tǒng)中，靜態(tài)的arp表項不會被動態(tài)刷新。這樣就能從一定車高度傻瓜減少遭受arp欺騙攻擊的風險。所有參與通信的網(wǎng)絡設備都可以建立類似的靜態(tài)arp表。對于網(wǎng)絡中的主機，保存一條路由器的ip地址-mac地址映射記錄顯得尤為重要。2.禁止某個網(wǎng)絡接口做arp解析對于那些可以刷新arp表的網(wǎng)絡設備，建立靜態(tài)的arp表不能防止攻擊行為的發(fā)生。在有些系統(tǒng)中可以通過禁止某個網(wǎng)絡接口做arp解析，從而當收到arp欺騙包以后不去更新arp表。3.推出ar

15、p病毒查殺軟件以上僅僅是從網(wǎng)絡日常管理的角度提出一些飯防范的措施。經(jīng)過前述分析知道arp協(xié)議本身存在著缺陷，即沒有驗證arp應答包的真實性，所以，要徹底防止arp欺騙行為的發(fā)生，必須映入實體認證機制。所謂實體認證，是建立在密碼體制上的一種高級互通協(xié)議，它運行在計算機通信網(wǎng)或者分布式系統(tǒng)中，為安全需要的各方提供一系列步驟，借助于密碼算法來達到驗證協(xié)議參與各方身份的目的。簡言之就是用某種手段或者機制，驗證一個實體是否就是所聲明的那個實體的過程。在引入實體認證機制以后，網(wǎng)絡設備之間要進行通信，都要先確認對方真實身份。為了防止因為arp欺騙而造成的通信過程被監(jiān)聽，敏感信息泄密等的發(fā)生，有必要引入數(shù)據(jù)加

16、密機制，對傳輸?shù)男畔⑦M行加密處理，這樣即使arp欺騙攻擊者可以截獲傳輸?shù)臄?shù)據(jù)，但因為信息內(nèi)容被加密，他得到的數(shù)據(jù)也是毫無意義的亂碼。4.ip地址和mac地址的靜態(tài)綁定 如上圖所示，在用戶端進行綁定。arp欺騙是通過arp的動態(tài)刷新,并不進行驗證的漏洞,來欺騙內(nèi)網(wǎng)主機的,所以我們把arp表全部設置為靜態(tài)可以解決對內(nèi)網(wǎng)的欺騙,也就是在用戶端實施ip和mac地址綁定,可以再用戶主機上建立一個批處理文件,此文件內(nèi)容是綁定內(nèi)網(wǎng)主機ip地址和mac地址,并包括網(wǎng)關主機的ip地址和mac地址的綁定,并把此批處理文件放到系統(tǒng)的啟動目錄下,使系統(tǒng)每次重啟后,自動運行此文件,自動生成內(nèi)網(wǎng)主機ip地址到mac地址的

17、映射表。這種方法使用于小型的網(wǎng)絡中。在交換機上綁定。在核心交換機上綁定用戶主機ip地址和網(wǎng)卡的mac地址,同時在邊緣交換機上將用戶計算機網(wǎng)卡的ip地址和交換機端口綁定的雙重安全綁定方式。這樣可以極大程度上避免非法用戶使用arp欺騙或盜用合法用戶的ip地址進行流量的盜取,可以防止非法用戶隨意接入網(wǎng)絡,網(wǎng)絡用戶如果擅自改動本機網(wǎng)卡的ip或mac地址,該機器的網(wǎng)絡訪問將被拒絕,從而降低了arp攻擊的概率。 5.采用vlan技術隔離端口 局域網(wǎng)的網(wǎng)絡管理員可根據(jù)需要,將本單位網(wǎng)絡規(guī)劃出若干個vlan,當發(fā)現(xiàn)有非法用戶在惡意利用arp欺騙攻擊網(wǎng)絡,或因合法用戶受病毒arp病毒感染而影響網(wǎng)絡時,網(wǎng)絡管理員

18、可先找到該用戶所在的交換機端口,然后將該端口劃一個單獨的vlan,將該用戶與其它用戶進行隔離,以避免對其它用戶的影響,當然也可以利用將交換機的該端口關掉來屏蔽該用戶對網(wǎng)絡造成影響5。6.采取802.1x認證 802.1x認證可以將使未通過認證的主機隔離,當發(fā)現(xiàn)某臺主機中毒時,將禁止其認證從而達到將中毒主機隔離網(wǎng)絡的目的。例如,在本人所在學校就是需要上網(wǎng)的用戶要提前到網(wǎng)絡管理中心登記,也就是在網(wǎng)關中心申請一個用戶名,并創(chuàng)建密碼,并且把自己的mac地址和用戶名進行綁定,如果自己的換網(wǎng)卡后,還需要去網(wǎng)絡管理中心進行重新綁定。用戶上網(wǎng)前首先運行一個客戶端軟件,輸入用戶名密碼后,通過認證服務器認證成功后

19、才能上網(wǎng)。 7.防火墻和殺毒軟件 可以安裝arp防火墻或者開啟局域網(wǎng)arp防護,比如360安全衛(wèi)士等arp病毒專殺工具,并且實時下載安裝系統(tǒng)漏洞補丁,關閉不必要的服務等來減少病毒的攻擊2.使用arp服務器 8.arp欺騙的解決措施 以上只是對arp欺騙的防御手段,但對于局域網(wǎng)中已經(jīng)有機器中了arp欺騙木馬,偽造網(wǎng)關,則可采用以下方法解決。 判斷攻擊機的ip地址 某計算機所處網(wǎng)段的路由ip地址為xx.xx.xx.1,本機地址為xx.xx.xx.8,在計算機上dos命令行中運行arp-a后輸出如下: c:documents and settingsadministratorarp-a interf

20、ace:xx.xx.xx.8-0x10003 internet address physical addresstype xx.xx.xx.100-01-02-03-04-05dynamic 其中,00-01-02-03-04-05就是路由器xx.xx.xx.1對應的mac地址,類型為動態(tài),因此可被改變。正常情況下,xx.xx.xx.1和00-01-02-03-04-05始終對應。被攻擊后,重復使用該命令查看,就會發(fā)現(xiàn)該mac已經(jīng)被替換成攻擊機器的mac,而且攻擊機器的mac地址和真正的網(wǎng)關mac地址會出現(xiàn)交替現(xiàn)象,如 c:documents and settingsadministratorarp-a int