局域網(wǎng)ARP欺騙攻擊與防御

1、局域網(wǎng)ARP欺騙攻擊與防御DefenseSystemforARPSpoofingunderLANJIANGWei，LIUHao-ran，ZHANGChun-bin(SouthCenterUniversityforNationalities，HubeiWuhan430074)遭受ARPfe址欺騙攻擊的局域網(wǎng)通常表現(xiàn)為：網(wǎng)絡掉線，但網(wǎng)絡連接正常；無法打開網(wǎng)頁或打開網(wǎng)頁慢；局域網(wǎng)時斷時續(xù)并且網(wǎng)速較慢；局域網(wǎng)內(nèi)的部分主機能正常訪問局域網(wǎng)內(nèi)的主機，但不能連接到外網(wǎng)，甚至不能訪問同一網(wǎng)絡內(nèi)的其他VLAN主機,嚴重時局域網(wǎng)內(nèi)所有主機不能上網(wǎng)。原因可能是因為局域網(wǎng)內(nèi)有一臺或若干臺計算機感染了ARPM址欺騙類病

2、毒。ARP病毒利用ARPB議存在的漏洞進行攻擊，屬于木馬(Trojan)病毒，不具備主動傳播的特性，不會自我復制。但由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的AR暇據(jù)包，干擾全網(wǎng)的運行，甚至使整個網(wǎng)絡癱瘓，因此它的危害比一些蠕蟲(Worm)病毒還要嚴重得多。為了避免遭受ARPM址欺騙的攻擊，我們有必要討論一下它的相關(guān)原理及防御措施。1 ARP地址欺騙攻擊的工作原理1.1 ARP工作原理ARP英文全稱“AddressResolutionProtocol”，中文譯為“地址解析協(xié)議”MACM址是固化在網(wǎng)卡上串行 EEPROMP的物理地址,是由48bit長（6字節(jié)）,16進制的數(shù)字組成,023位是由廠家自己分

3、配,2447位叫做組織唯一標志符,是識別LAN（局域網(wǎng)）節(jié)點的標識。在局域網(wǎng)中,數(shù)據(jù)傳輸實際傳輸?shù)氖恰皫保╢rame），幀里面含有目標主機的MAO址。在以太網(wǎng)（ETHERNETT中兩主機要想直接通信,就必須要知道目標主機的MAC1址，而目標主機的MAC&址就是通過“地址解析協(xié)議”-ARP獲得的。它的基本功能是將目標的IP地址轉(zhuǎn)換成目標的MAO址。過程簡單描述如下：這個轉(zhuǎn)換過程是怎樣來完成的呢？下面介紹ARP的工作原理。在安裝有TCP/IP協(xié)議的電腦里都有一個ARP高速緩存表,以表示IP地址和MACM址的對應關(guān)系。當主機民要向主機B發(fā)送數(shù)據(jù)時，主機h先要檢查自己ARP列表中是否存有主機B的IP

4、地址對應的MAC&址,如果有,就直接把主機B的MAC&址寫入幀里發(fā)送給主機B；如果沒有就向本網(wǎng)段發(fā)起一個ARP青求的廣播包,查詢主機B對應的MAC&址。此ARP青求數(shù)據(jù)包里包括主機a的IP地址、MAC&址、以及主機B的IP地址。當網(wǎng)絡中的主機收到這個ARP青求后,會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。若不相同就忽略此數(shù)據(jù)包;若相同,則該主機首先將發(fā)送端的MA電址和IP地址添加到自己的ARP列表中，如果ARPg中已經(jīng)存在該IP的信息，則將其覆蓋,然后給主機a發(fā)送一個ARP：向應數(shù)據(jù)包,告訴對方自己是它需要查找的MAO址；主機乜收到這個ARP響應數(shù)據(jù)包后，將得到的主機B的IP地址和MA

5、CM址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果主機乜一直沒有收到AR團向應數(shù)據(jù)包，則表示ARP查詢失敗。1.2 ARP欺騙原理ARP8存中的IP-MAC條目是根據(jù)ARP響應包動態(tài)變化的，只要網(wǎng)絡上有ARP響應包發(fā)送到本機，就會更新ARP高速緩存中的IP-MAC條目。攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應包就能更改目標主機ARP8存中的IP-MAC條目。局域網(wǎng)中的某主機若被加載了ARPB騙的木馬程序的盜號軟件或某些應用程序，就會向該局域網(wǎng)中的其它主機發(fā)動ARPB騙攻擊,通過偽造IP地址和MACM址實現(xiàn)ARP欺騙,在網(wǎng)絡中產(chǎn)生大量的ARP廣播或者非廣播，使網(wǎng)絡阻塞或者經(jīng)Man-

6、in-the-Middle實施AR唯定向和嗅探攻擊。病毒主機會欺騙局域網(wǎng)內(nèi)所有主機和路由器,使所有上網(wǎng)的流量必須經(jīng)過它才能連接網(wǎng)絡,切換時用戶會斷一次線。切換到病毒主機，上網(wǎng)后,如果用戶已經(jīng)登錄了網(wǎng)游服務器,那么病毒主機就會經(jīng)常偽造斷線的假象,那么用戶就得重新登錄網(wǎng)游服務器,這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發(fā)作時會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞，且受其自身處理能力的限制,用戶會感覺網(wǎng)速越來越慢。當ARPB騙的木馬程序停止運行時，用戶會恢復從路由器上網(wǎng),切換過程中用戶會再斷一次線。通過ARP防火墻可查看到ARP外部攻擊的詳細記錄。2 ARP地址欺騙攻擊者的定位利用ARPB議

7、的漏洞，攻擊者對整個局域網(wǎng)的安全造成威脅，那么，怎樣才能快速檢測并定位出局域網(wǎng)中的哪些機器在進行ARPM址欺騙攻擊呢？面對著局域網(wǎng)中成百臺電腦，一個一個地檢測顯然不是好辦法。其實，我們只要利用ARP病毒的基本原理:發(fā)送偽造的ARP欺騙廣播，中毒電腦自身偽裝成網(wǎng)關(guān)的特性，就可以快速鎖定中毒電腦?？梢栽O想用程序來實現(xiàn)以下功能:在網(wǎng)絡正常的時候，牢牢記住正確網(wǎng)關(guān)的IP地址和MAC&址，并且實時監(jiān)控來自全網(wǎng)的AR暇據(jù)包，當發(fā)現(xiàn)有某個AR暇據(jù)包廣播，其IP地址是正確網(wǎng)關(guān)的IP地址，但是其MAC&址竟然是其他電腦的MAC&址的時候，這時，無疑是發(fā)生了ARP欺騙。對此可疑MAC&址報警，再根據(jù)網(wǎng)絡正常時候的

8、IP一MAC&址對照表查詢該電腦，定位出其IP地址，這樣就定位出攻擊者了。檢測ARPM址欺騙攻擊的方法有三種：2.1 niffer嗅探法當局域網(wǎng)中有ARPM址欺騙時，往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包，這時，流量檢測機制應該能夠很好地檢測出網(wǎng)絡的異常舉動，利用Ethereal之類的抓包工具找出大量發(fā)送ARPT播包的機器，這基本上就可以當作攻擊者進行處理。2.2 命令提示符法在開始f運行中輸入cmd,在彈出的命令窗口中輸入系統(tǒng)自帶的AR臉令即可完成。當局域網(wǎng)中發(fā)生ARP欺騙攻擊的時候，攻擊者會向全網(wǎng)不停地發(fā)送ARP欺騙廣播，這時局域網(wǎng)中的其他主機就會動態(tài)更新自身的ARP8存表，將網(wǎng)關(guān)的MAC&

9、址記錄成攻擊者本身的MAC&址，此時，我們只要在其受影響的主機中使用“ARP-A”命令查詢一下當前網(wǎng)關(guān)的MACM址，就可知道攻擊者的MAO址。例如,輸入“ARP-A,命令后的返回信息如下：Interface:192.168.1.2-0x2InternetAddressPhysicalAddressType1.168.1.1 .100-41-57-57-44-67static1.168.1.9 .900-0b-2f-1a-28-b5dynamic因當前電腦的ARP表是錯誤的記錄，故該MAC&址不是真正網(wǎng)關(guān)的MACfe址，而是攻擊者的MACfe址。此時，再根據(jù)網(wǎng)絡正常時，全網(wǎng)的IP-MAC地址對照

10、表，查找攻擊者的IP地址就可以了。1.168.1.10 利用相關(guān)軟件工具現(xiàn)在只要通過百度或者Google一下便能找到很多ARP（病毒）定位工具，如AntiARPSniffer（現(xiàn)已更名為ARFB火墻）、ArpDog監(jiān)控軟件、360安全衛(wèi)士（360ARFB火墻部分）；其中做的比較好的是ARFW火墻。利用此類軟件，我們可以輕松地鎖定ARP攻擊者的MAC&址。然后，我們根據(jù)欺騙機的MAC&址，對比查找全網(wǎng)的IP-MAC地址對照表，即可查出攻擊者。3 ARP地址欺騙攻擊的防御3.1 ARP綜合防護體系中的具體方法主要有：3.1.1 設置靜態(tài)的MACtoIP對應表，并防止Hacker刷新靜態(tài)轉(zhuǎn)換表。莫把

11、網(wǎng)絡安全信任關(guān)系建立在IP基礎上或MACS礎上，盡量將信任關(guān)系應該建立在IP+MAC上o3.1.2 使用防火墻隔離非信任域?qū)?nèi)網(wǎng)機器的AR的傳輸。3.1.3 定期使用RARP青求來檢查ARP響應的真實性。3.1.4 定期檢查主機上的ARPg存。3.1.5 使用ARPW測工具，探測非法ARP廣播數(shù)據(jù)幀。3.2 計算機系統(tǒng)安全加固常見的ARP攻擊常常以病毒程序的形式存在。其中傳播甚廣的有“網(wǎng)游大盜”、“高波”等，這些ARP病毒寄存于Windows系統(tǒng)中，且一般會用到npptools.dll等系統(tǒng)漏洞，故只要做好對操作系統(tǒng)的升級與加固可以防止此類病毒感染。3.2.1 npptools.dll是win

12、dows系統(tǒng)的一個動態(tài)庫(networkpacketprovidertoolshelper)常被ARP病毒利用，所以，禁止了npptools.dll將使此類病毒無法正常運行。具體方法是：在安全模式中，打開WINDOWSSYSTEM32NPPTOOLS：DLL刪除這個文件后，用零字節(jié)的文件替換。最后將nnptools.dll保存為只讀文件。3.2.2 給系統(tǒng)安裝補丁程序。通過WindowsUpdate安裝好系統(tǒng)補丁程序(關(guān)鍵更新、安全更新和ServicePack)3.2.3 給系統(tǒng)管理員帳戶設置強密碼，最好是“字母+數(shù)字+特殊符號”組合。3.2.4 定時更新殺毒軟件（病毒庫），安裝使用網(wǎng)絡防火墻

13、軟件，可有效阻擋來自網(wǎng)絡的攻擊和病毒的入侵。盜版Windows用戶若不能安裝更新補丁，不妨通過使用網(wǎng)絡防火墻等方法加強防護。3.3 ARP殺毒軟件目前，有些AR沖殺軟件和病毒防火墻產(chǎn)品可通過在系統(tǒng)內(nèi)核層攔截虛假AR暇據(jù)包以及主動通告網(wǎng)關(guān)本機正確的MAO址，能夠保障單機與網(wǎng)關(guān)之間數(shù)據(jù)流向不經(jīng)過第三者。例如：360安全衛(wèi)士開啟局域網(wǎng)ARP攻擊攔截功能后，便可有效遏制ARP攻擊，保障網(wǎng)絡暢通通訊安全。ARPW火墻功能更全，攔截效果等更明顯。3.4 ARP攻擊探測器IP地址與MAC&址綁定是最簡單有效的ARP攻擊防御方法。但在大型公眾上網(wǎng)環(huán)境中使用靜態(tài)IP地址和MAO址的綁定會帶來巨大的管理負荷。在大

14、型公眾上網(wǎng)網(wǎng)絡中無法有效對每一臺終端、服務器與網(wǎng)絡設備都使用靜態(tài)ARPo公眾網(wǎng)絡終端數(shù)量龐大，一般的營業(yè)性網(wǎng)吧通常有上百臺終端，再加上交換機與網(wǎng)絡設備，需維護的ARP表有上千個之多，全部人工設置不現(xiàn)實。而且DHC啊絡動態(tài)地址分配以及各種負載均衡策略將無法適應MACt址綁定。因此，除MACM址管理外，通常需要使用ARP攻擊探測器來防御ARP的攻擊。目前市場上尚未有成熟的專門針對ARP攻擊的探測器。在大型網(wǎng)絡中可通過編程實現(xiàn)，其原理是在其上運行存放一張局域網(wǎng)ARPH,記錄有權(quán)威的ARP信息，嗅探器通過IDS原理在路由器鏡像口偵聽局域網(wǎng)內(nèi)ARP廣播包內(nèi)容，若網(wǎng)絡內(nèi)廣播包與ARP表不一致，或ARP廣播幀超過合理數(shù)量的閥值，則探測器分析后會匹