ARP病毒攻擊及局域網防范

1、Computer Knowledge and Technology 電腦知識與技術網絡通訊及安全本欄目責任編輯:馮蕾第7卷第26期(2011年9月ARP 病毒攻擊及局域網防范蔡艷1,蔡豪2,李娜3(1.河南教育學院信息技術系,河南鄭州450046;2.長春工業(yè)大學計算機科學與工程學院,吉林長春130012;3.華中師范大學計算機系,湖北武漢430079摘要:ARP 協(xié)議由于自身的缺陷,在實際應用當中,會導致ARP 欺騙和ARP 病毒攻擊,給網絡的安全造成一定的危害。該文分析了ARP 協(xié)議工作原理,展示了ARP 協(xié)議的工作過程以及協(xié)議存在的漏洞,并分析了ARP 病毒原理和基于ARP 病毒攻擊的實

2、現過程;給出了基于ARP 的病毒的局域網防范策略。關鍵詞:ARP 協(xié)議;ARP 欺騙;MAC ;ARP 病毒中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(201126-6341-03ARP Virus Attack and Prevention for the Local NetworkCAI Yan 1,CAI Hao 2,LI Na 3(1.Information Technology Department,Henan Institute of Education,Zhengzhou 450046,China;2.School of Computer Science

3、and En -gineering,Changchun University of Technology,Changchun 130012.China;3.DepartmentComputer Science,Huazhong Normal Universi -ty,Wuhan 430079,ChinaAbstract:Address Resolution Protocol due to its own shortcomings,which in practice would lead to ARP deception,ARP virus attack and network security

4、.This paper analyzes the working principle of the ARP protocol,demonstrate the working process of the ARP protocol,as well as loopholes in the agreement,an analysis of ARP virus,and the process of ARP virus attacks;this paper also give ARP virus preven -tion strategy for the local area network.Key w

5、ords:address resolution protocol;ARP deception;MAC;ARP virusARP 協(xié)議是“Address Resolution Protocol ”(地址解析協(xié)議的縮寫。它工作在TCP/IP 協(xié)議族中網絡層上,主要是用來實現IP 地址和對應設備的物理地址之間的相互轉換,從而達到通過IP 地址來訪問網絡設備的目的。由于本身存在一些設計上的缺陷,網絡中的非法入侵者利用這些缺陷,通過篡改IP 與MAC 之間的對應關系,非法獲取并替換他人的MAC ,以達到非法監(jiān)聽和獲取他人在網絡上所傳輸的信息的目的,這種網絡攻擊方式稱為ARP 病毒入侵。ARP 病毒的出現

6、已經成為網絡攻擊中的一種主要形式,該病毒一般屬于木馬(Trojan病毒,該病毒發(fā)作時會向全網段發(fā)送偽造的ARP 數據包,干擾網絡的正常運行,因此它的危害比一般病毒嚴重得多1。本文將通過對ARP 病毒的工作原理和攻擊過程的分析,最后給出相應的局域網防范策略。1ARP 協(xié)議工作原理在每臺主機上都存在著一張記錄IP 地址與MAC 地址映射關系的ARP 緩存列表,ARP 的主要操作都是圍繞這張表進行。在網絡數據傳輸過程中,ARP 的解析過程可分為同一網段內和不同網段間兩種情況進行。1.1同一網段內的ARP 解析過程1當一臺主機要與別的主機通信時,首先初始化通信請求;當該IP 地址確定為本地局域網IP

7、地址時,源主機通過查詢本機ARP 緩存表,判斷是否存在目的IP 地址與MAC 地址映射記錄;如果存在,則直接這個MAC 地址寫入MAC 幀,然后將數據發(fā)往目的主機。2如果本機ARP 緩存表中沒有IP 映射的MAC 地址,本機ARP 進程將向局域網內廣播發(fā)送一個封裝了目的IP 地址和源主機MAC 地址的ARP 請求包,等待目的主機應答。3局域網中所有主機在收到這個請求包后,判斷請求包中的目的IP 地址是否與自己的IP 地址一致,如果一致就接收,否則就丟棄此數據包;如果主機接收了該請求包,首先更新自己的ARP 緩存表,將源主機IP 和MAC 添加到自己的ARP 緩存表中。然后發(fā)送一個ARP 應答包

8、給源主機,告訴源主機自己是它需要找的MAC 地址。4在源主機收到應答包之后,提取MAC 相關信息,將該IP 和MAC 的映射更新到ARP 緩存表中,然后把這個MAC 地址寫入MAC 幀,將數據發(fā)往目的主機,便完成了通信連接。1.2不同網段間的ARP 解析過程1初始化通信請求,得知目標IP 屬于一個不同網段主機;源主機就會將數據發(fā)送到缺省網關的IP 。ARP 進程在本機ARP 緩存中查找符合與網關的IP 映射的MAC 地址。若找到,源主機將數據發(fā)往網關的MAC 地址上,由網關根據路由選擇最終將數據包發(fā)送到目標主機。收稿日期:2011-07-04Computer Knowledge and Tec

9、hnology電腦知識與技術Vol.7,No.26,September 2011.6341Computer Knowledge and Technology 電腦知識與技術本欄目責任編輯:馮蕾網絡通訊及安全第7卷第26期(2011年9月2若沒找到該網關的記錄,ARP 將廣播一個包含網關IP 地址而不是目標主機IP 地址的ARP 請求。路由器用自己的硬件地址響應源主機的ARP 請求。源主機則將數據包送到路由器,路由器在其路由表中查找該網關,然后運用ARP 獲得此網關的MAC ,并將數據包發(fā)往網關的MAC 地址上,以傳送到目標主機的網絡,最終達到目標主機。2ARP 協(xié)議安全缺陷ARP 協(xié)議的缺陷有

10、如下兩點:1一臺主機的IP 地址映像到另一臺主機的ARP 緩存后,它就會被當作可信任的計算機。但并沒有提供檢驗IP-MAC 地址對應表真實性的機制。大多數主機保存了通過ARP 得到的映射表,不考慮其有效性,也不維護一致性。ARP 表可能把幾個IP 地址映射到同一物理地址上。2ARP 的請求是以廣播的形式進行發(fā)送的,這樣此網段中的所有主機都可以收到ARP 請求。攻擊者在收到ARP 請求后,就可以偽裝ARP 應答,偽裝成真正要通信的主機,進行假冒和欺騙。3任何響應都是合法的,ARP 應答無需認證。ARP 協(xié)議是局域網協(xié)議,設計之初,出于傳輸效率的考慮,在數據鏈路層沒有做安全上的防范,在使用ARP

11、協(xié)議交換MAC 時無需認證。ARP 協(xié)議是無狀態(tài)的,任何主機即使在沒有請求的時候也可以做出應答。ARP 協(xié)議并未規(guī)定,主機在未受到查詢時不能發(fā)送ARP 應答包,這是ARP 協(xié)議的一個安全隱患。許多系統(tǒng)會接受未請求的ARP 響應,并用來更新其高速緩存。3ARP 病毒ARP 病毒主要存在于局域網中;感染ARP 病毒的計算機開機后一般會自動連續(xù)發(fā)出偽造的ARP 響應包,通過偽造IP 地址和MAC 地址從而更改目標主機ARP 緩存表中的IP-MAC 的映射記錄,意圖截獲所在網絡內其他計算機的通信信息,同時因存在大量的ARP 響應包而導致網絡堵塞2。3.1ARP 病毒攻擊的原理如表1所示,處于同一局域網

12、的三臺主機A 、S 、D 的IP 及對應的MAC 地址列表;主機A 代表攻擊方,進行ARP 病毒攻擊,主機S 代表源主機,主機D 代表目的主機,源主機S 本來是向主機D 發(fā)送數據。假設主機A 已經知道主機S 和主機D 的IP 地址,為達到欺騙的目的,主機A 可以偽造一個ARP 應答幀改變主機S的ARP 緩存;也可以偽造一個ARP 請求幀改變主機D 的ARP 緩存。下面分別對這兩種ARP 病假設主機S 發(fā)送一個ARP 請求幀,如表2所示,詢問主機D 的物理地址。由于ARP 請求幀是以廣播方式發(fā)送的,因此主機A 也可以收到這個請求。為了達到欺騙主機S 的目的,在主機D 向主機S 發(fā)送了一個ARP

13、應答幀后,主機A 也向主機S 發(fā)送了一個ARP 應答幀,如表3所示,用來更改主機S 的ARP 緩存表中主機D 的IP 地址所對應的硬件地址。主機A 發(fā)送的ARP 應答幀(在主機D 發(fā)送ARP 應答幀后發(fā)送更改了主機S 的ARP 緩存表,使主機S 誤認為主機D 的硬件地址為00:E0:81:08:6F:2C ,而實際上這個地址是局域網中主機A 的MAC 地址,這樣就造成主機S 與主機D 無法正常通信。在主機S 發(fā)送如表2所示的ARP 請求幀后,主機A 也可以收到主機S 的ARP 請求幀,并且再發(fā)送一個幾乎與主機S 所發(fā)送的ARP 請求幀相同的幀,如表4所示。主機A 發(fā)送的ARP 請求幀(在主機S

14、 發(fā)送ARP 請求幀后發(fā)送更改了主機D 的ARP 緩存表,使主機D 誤認為主機S 的硬件地址為00:50:8D:82:60:0D ,而實際上這個地址是局域網中主機A 的MAC 地址,這樣就造成主機S 與主機D 無法正常通信。進一步地,主機A 可以將自己插入主機S 和主機D 的通信路徑之間,充當中間人的角色,這樣主機A 就可以監(jiān)聽主機S 和主機D 之間的通信。攻擊過程如下:主機A 更改主機S 與主機D 的ARP 緩存,使得主機S 向主機D 發(fā)送數據時,使用的是D 的IP 地址與A 的MAC 地址,并且D 向S 發(fā)送數據時,使用的是S 的IP 地址與A 的MAC 地址,因此,所有S與D 之間傳輸的

15、數據都將經過A ,再由A 分別轉發(fā)給S 和D 。如果攻擊者將目標主機ARP緩存中的MAC 地址改為根本就不存在的地址,那么目標主機向外發(fā)送的所有以太網數據幀都會丟失,使得上層應用忙于處理這種異常而無法響應外來請求,從而導致目標主機產生拒絕服務。如今,修改網卡的MAC 地址已成為可能,那么,攻擊者可以首先對目標主機實施拒絕服務攻擊,使其不能對外界做出任何反應。然后攻擊者就可以將自己的IP 地址與MAC 地址分別改為目標主機的IP 地址與MAC 地址,這樣攻擊者的主機變成了與目標主機一樣的副本,稱為克隆攻擊。特別地,當目標主機是一臺DHCP 服務器時,克隆攻擊的結果是黑客冒充合法的DHCP 服務器

16、,然后利用冒充的DHCP 服務器,為DHCP 客戶端分配一個經過修改的DNS 服務器地址,在用戶毫無察覺的情況下被引導至預先配置好的假金融網站或電子商務網站,進而騙取用戶的賬號和密碼。4局域網ARP 病毒防范一般而言,ARP 病毒攻擊存在兩種可能:一種是對路由器ARP 緩存表的攻擊,另一種是對局域網內計算機ARP 緩存表的攻擊,表1各個主機對應的IP 、MAC 地址等信息表2源主機S 發(fā)送的ARP 請求幀表3主機A 偽造的ARP應答幀表4主機A 偽造的ARP 請求幀6342Computer Knowledge and Technology 電腦知識與技術網絡通訊及安全本欄目責任編輯:馮蕾第7卷

17、第26期(2011年9月或者兩種攻擊同時進行。ARP 攻擊發(fā)生后,局域網內計算機和路由器之間發(fā)送的數據會被發(fā)送到錯誤的MAC 地址上。4.1感染ARP 病毒后的主要表現形式ARP 病毒屬于一種欺騙木馬類病毒,主要發(fā)生在局域網內部,而且時常在某一個網段內發(fā)作,局域網感染ARP 病毒后主要表現為:1局域網的某個網段中,大多數計算機不能正常上網,網絡連接時斷時續(xù),上網速度非常緩慢;2局域網整個網絡運行不穩(wěn)定,利用ping 命令ping 網關時不通,或者丟包現象很嚴重;3IE 瀏覽器頻繁出錯,網頁打不開或者打開速度非常慢,不能夠正常地上網瀏覽;4斷開網絡后,隔一段時間重新連接,或者利用arp -d 命

18、令刪除ARP 緩存表后,可暫時恢復上網3。4.2ARP 病毒的簡單查殺方法41更新正版防病毒軟件,對內存和硬盤全面殺毒;隨時更新操作系統(tǒng),打上各種漏洞補丁。2在受到ARP 病毒攻擊時,按下列操作:“開始”-“所有程序”-“附件”-“c :提示符”狀態(tài)下輸入“arp d ”恢復正常上網,并及時下載關于ARP 的防護軟件,保護本地計算機正常運行。3不要隨便共享文件或文件夾。即使要使用共享,應先設置好權限,一般指定帳號或特定機器才能訪問。4不要隨便打開不明來歷的電子郵件,尤其是郵件附件。5使用移動存儲介質如U 盤、移動硬盤等進行數據訪問時,先對其進行病毒檢查。4.3設置靜態(tài)ARP 緩存ARP 病毒攻

19、擊的最根本原理是改變IP 與MAC 地址的對應關系5。所以,可以采取靜態(tài)MAC 地址表法防范。主機或交換機的IP-MAC 地址映射表使用手工維護,輸入之后不再動態(tài)更新,顯然可以避免ARP 病毒的攻擊。ARP 病毒攻擊形式有攻擊路由器ARP 表和攻擊計算機ARP 表兩種,因此靜態(tài)IP-MAC 地址映射也有路由器ARP 表的靜態(tài)映射和計算機本地ARP 表的靜態(tài)映射。雙向設置靜態(tài)映射是必需的,如果只設置了靜態(tài)路由器的ARP 表而沒有設置靜態(tài)計算機的ARP 表,局域網內計算機被惡意修改ARP 表后就不會把數據包發(fā)送到路由器上,而是發(fā)送到一個錯誤的MAC 地址,造成無法訪問路由器并逐漸形成網絡堵塞。這里

20、需要注意一點,雙向設置靜態(tài)映射其實需要設置三個,即局域網內計算機需要設置本機IP 地址和對應的MAC 地址、網關的IP 地址和對應的MAC 地址,然后還要在路由器上設置客戶機的IP 地址和對應的MAC 地址的靜態(tài)映射。但是,這種方法的缺陷也很明顯,在移動或經常變化的網絡環(huán)境中,這種手工維護MAC 表的方式不適用,而且它也要求網絡硬件支持這種配置方式。另外,采用此方式設置靜態(tài)ARP 緩存,管理員需要定期輪詢,檢查主機上的ARP 緩存。4.4改進ARP 協(xié)議首先不再把網絡安全信任關系建立在IP 基礎上或MAC 基礎上,理想的關系應該建立在IP+MAC 基礎上,這是解決ARP 病毒的根本。但是在網絡

21、運營效率及成本方面這個理想模型還很難實現。此外,針對ARP 本身的漏洞,鄭文兵6等人提出了一種防范ARP 欺騙攻擊的新算法,該算法設置了兩個線性表:請求表和應答表,分別保存已發(fā)送的ARP 請求和已收到的ARP 應答的信息。該算法規(guī)定接受ARP 消息的順序為先發(fā)送請求報文后接收應答報文,不符合此順序要求的ARP 消息一律丟棄。由于對ARP 添加了安全性方面的考慮,并引入復雜數據結構,該方法執(zhí)行速度比原來要慢。因此,對該方法的應用要綜合考慮安全性和網絡性能等多方面的因素。4.5網絡路由分割目前,網絡上已經使用高層交換的方式,基于IP 地址變換進行路由的第三層(第四層交換機逐漸被采用,第三層交換技術用的是IP 路由交換協(xié)議。以往的鏈路層的MAC 地址和ARP 協(xié)議已經不起作用,因而ARP 病毒攻擊在這種交換環(huán)境下不起作用。4.6使用ARP 代理服務器7通過該服務器查找ARP 轉換表來響應