淺談ARP病毒的危害及防治

淺談ARP病毒的危害及防治

論文導(dǎo)讀：局域網(wǎng)中感染ARP病毒的情況也越來(lái)越多。而且該病毒危害較大。病毒的防范措施。掌握其防范和清除方法十分必要。清除方法，淺談ARP病毒的危害及防治。

關(guān)鍵詞：ARP病毒，危害，防范措施，清除方法

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，局域網(wǎng)的使用日益廣泛，局域網(wǎng)中感染ARP病毒的情況也越來(lái)越多，而且該病毒危害較大，清理和防范較難，給網(wǎng)絡(luò)管理員和用戶(hù)造成了諸多困擾。因此，了解ARP病毒，掌握其防范和清除方法十分必要。1ARP病毒簡(jiǎn)介ARP本身不是病毒，而是一種地址解析協(xié)議。ARP就是主機(jī)在發(fā)送數(shù)據(jù)幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的協(xié)議，與之相對(duì)應(yīng)的是RARP。1.1ARP病毒的起源2007年春,許多局域網(wǎng)出現(xiàn)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，頻繁斷網(wǎng)、IE瀏覽器接連出錯(cuò)、IP地址沖突等問(wèn)題。6月上旬，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào)一種新型“地址解析協(xié)議欺騙”(簡(jiǎn)稱(chēng)：ARP欺騙)的惡意木馬程序正在網(wǎng)絡(luò)中傳播。論文檢測(cè)，清除方法。這是ARP病毒第一次公開(kāi)出現(xiàn)在大眾視線(xiàn)中，從此，ARP病毒逐漸在校園網(wǎng)、部門(mén)網(wǎng)、企業(yè)網(wǎng)、社區(qū)網(wǎng)以及網(wǎng)吧等局域網(wǎng)中蔓延。1.2ARP病毒的分類(lèi)ARP病毒可分為兩種，一種是ARP欺騙，另一種是ARP攻擊。ARP欺騙最先是黑客們偷盜網(wǎng)絡(luò)賬號(hào)使用的，后來(lái)被廣泛用于類(lèi)似網(wǎng)路崗、網(wǎng)絡(luò)執(zhí)法官之類(lèi)的網(wǎng)絡(luò)管理工具。ARP欺騙主要有三種形式，即冒充主機(jī)欺騙主機(jī)、冒充網(wǎng)關(guān)欺騙主機(jī)和冒充主機(jī)欺騙網(wǎng)關(guān)。ARP欺騙中，被騙主機(jī)或網(wǎng)關(guān)會(huì)將數(shù)據(jù)發(fā)送給偽裝的主機(jī)，從而偽裝主機(jī)就達(dá)到了截獲數(shù)據(jù)的目的。而ARP攻擊純粹是以破壞網(wǎng)絡(luò)通訊為主要目的，偽造出大量的ARP報(bào)文(內(nèi)含MAC和IP地址)，在局域網(wǎng)內(nèi)廣播，造成主機(jī)和網(wǎng)關(guān)的ARP高速緩存表溢出，使得局域網(wǎng)內(nèi)所有主機(jī)都失去了有序的組織和聯(lián)系。1.3ARP病毒原理分析這里以一種ARP欺騙病毒為例介紹其運(yùn)作過(guò)程，病毒樣本有三部分組件構(gòu)成：“病毒組件釋放者”：%windows%System32LOADHW.EXE“發(fā)ARP欺騙包的驅(qū)動(dòng)程序”：%windows%System32driverspf.sys“命令驅(qū)動(dòng)程序發(fā)ARP欺騙包的控制者”：%windows%System32msitinit.dll具體過(guò)程如下:（1）LOADHW.EXE在執(zhí)行的時(shí)候，會(huì)釋放兩個(gè)組件npf.sys和msitinit.dll，LOADHW.EXE釋放組件后即終止運(yùn)行。（2）接著msitinit.dll將npf.sys注冊(cè)為內(nèi)核級(jí)驅(qū)動(dòng)設(shè)備:'NetGroupPacketFilterDriver'，并監(jiān)視其運(yùn)行，另外它還控制npf.sys發(fā)送APR欺騙包、抓包、過(guò)濾包等。（3）同時(shí)npf.sys負(fù)責(zé)監(jiān)護(hù)msitinit.dll.并將LOADHW.EXE注冊(cè)為自啟動(dòng)程序:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]dwMyTest=LOADHW.EXE2ARP病毒的危害主機(jī)中了ARP病毒后，有些行為就不受用戶(hù)的意愿控制了，會(huì)給用戶(hù)本身和網(wǎng)絡(luò)造成很大的危害。2.1ARP病毒對(duì)PC的危害ARP病毒會(huì)使PC出現(xiàn)網(wǎng)絡(luò)異常、IP沖突，打開(kāi)網(wǎng)頁(yè)速度慢甚至無(wú)法打開(kāi)網(wǎng)頁(yè)，或者打開(kāi)網(wǎng)頁(yè)時(shí)莫名的彈出廣告窗口等。可能造成用戶(hù)數(shù)據(jù)被竊?。ㄈ缰匾Y料、涉密文件等）、個(gè)人隱私泄漏(如MSN聊天記錄、郵件等)、賬號(hào)被盜用(如QQ賬號(hào)、網(wǎng)銀賬號(hào)等)等惡性事件；也可能造成請(qǐng)求數(shù)據(jù)被篡改(如訪(fǎng)問(wèn)的網(wǎng)頁(yè)被添加了惡意內(nèi)容，俗稱(chēng)“掛馬”)和用戶(hù)主機(jī)遭非法控制(如某些文件打不開(kāi)、某些網(wǎng)絡(luò)應(yīng)用程序用不了)等情況。2.2ARP病毒對(duì)網(wǎng)絡(luò)的危害先說(shuō)ARP攻擊病毒，只要局域網(wǎng)內(nèi)有一臺(tái)主機(jī)中了該病毒，它就會(huì)不斷地在全網(wǎng)內(nèi)發(fā)送虛假的ARP請(qǐng)求包和應(yīng)答包，造成網(wǎng)絡(luò)擁堵，全網(wǎng)主機(jī)無(wú)法正常通信。其次ARP欺騙病毒，無(wú)論是三種欺騙方式的哪種，都會(huì)造成網(wǎng)絡(luò)組織和秩序的混亂。論文檢測(cè)，清除方法。冒充主機(jī)欺騙主機(jī)與冒充主機(jī)欺騙網(wǎng)關(guān)會(huì)使得被冒充的主機(jī)（真主機(jī)）無(wú)法收到其他設(shè)備的數(shù)據(jù)，冒充網(wǎng)關(guān)欺騙主機(jī)會(huì)使得全網(wǎng)主機(jī)都把數(shù)據(jù)發(fā)送給冒充網(wǎng)關(guān)（假網(wǎng)關(guān)），而無(wú)法正常向外發(fā)送數(shù)據(jù)（即無(wú)法上網(wǎng)）。3ARP病毒的防范措施ARP病毒的危害很大，防范ARP病毒，要從兩方面入手，一是接入設(shè)備，二是用戶(hù)主機(jī)。3.1接入設(shè)備層的防范措施局域網(wǎng)的接入設(shè)備方面，主要由網(wǎng)絡(luò)管理員負(fù)責(zé)，具體可以通過(guò)以下五個(gè)方法來(lái)防范。3.1.1使用PVLAN技術(shù)實(shí)現(xiàn)端口隔離ARP病毒一般是針對(duì)同一網(wǎng)段內(nèi)的某臺(tái)或所有主機(jī)，因此只要VLAN足夠小，就可以有效避免ARP病毒的攻擊。但就簡(jiǎn)單的在交換機(jī)上多劃分一些VLAN，給每個(gè)VLAN少分配一些端口，會(huì)造成IP地址的嚴(yán)重浪費(fèi)并增加交換機(jī)的管理難度。所以要使用PVLAN技術(shù)，以實(shí)現(xiàn)端口之間的隔離，而又不用為每個(gè)端口劃分虛擬子網(wǎng)和分配子網(wǎng)IP地址。接于同一PVLAN的主機(jī)之間無(wú)法直接通信，而要通過(guò)默認(rèn)網(wǎng)關(guān)的配置來(lái)實(shí)現(xiàn)。具體配置命令因不同交換機(jī)而異，可查閱交換機(jī)說(shuō)明書(shū)或訪(fǎng)問(wèn)公司官方網(wǎng)站，或者在配置時(shí)通過(guò)“？”查看命令和參數(shù)（一般交換機(jī)有isolate命令可用）。3.1.2靜態(tài)綁定MIC和IP地址在為局域網(wǎng)用戶(hù)分配IP地址時(shí)，先收集用戶(hù)的MAC地址。在交換機(jī)端口上實(shí)施MAC地址與端口綁定、IP地址與端口的綁定相結(jié)合，從而達(dá)到在端口上應(yīng)用IP與MAC地址綁定的功能。一旦綁定之后，交換機(jī)的ARP表就固定了，無(wú)論接收到來(lái)自任何計(jì)算機(jī)的ARP欺騙都無(wú)法修改交換機(jī)的ARP表，同時(shí)也就保證了路由的準(zhǔn)確性，以此來(lái)避免ARP病毒各式各樣的攻擊、欺騙。3.1.3使用具有ARP過(guò)濾功能的路由器和交換機(jī)如果有條件的話(huà)，盡量使用可防御ARP病毒的三層交換機(jī)，設(shè)置端口流量限制，對(duì)超過(guò)閾值的端口進(jìn)行自動(dòng)斷開(kāi)；對(duì)ARP包進(jìn)行過(guò)濾，監(jiān)控頻繁發(fā)送請(qǐng)求包和應(yīng)答包的端口，及時(shí)發(fā)現(xiàn)并自動(dòng)阻斷ARP攻擊端口；同時(shí)配合ARP軟件防火墻，會(huì)有更好的效果。目前市場(chǎng)上，具有防ARP病毒的產(chǎn)品較多，如思科（Cisco）路由器、俠諾（Qno）路由器等。3.1.4使用DHCPSnooping技術(shù)如果局域網(wǎng)比較大，可以使用DHCPSnooping技術(shù)實(shí)現(xiàn)主機(jī)的IP地址動(dòng)態(tài)分配。DHCPSnooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCPSnooping綁定表過(guò)濾不可信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶(hù)MAC地址、IP地址、租用期和VLAN-ID接口等信息。交換機(jī)中連接普通主機(jī)的端口在發(fā)送ARP報(bào)文時(shí)受到交換機(jī)檢測(cè)，報(bào)交中IP地址與MAC地址對(duì)必須與DHCPSnooping檢測(cè)并記錄的主機(jī)當(dāng)時(shí)動(dòng)態(tài)申請(qǐng)的IP地址相符,這樣中毒主機(jī)就無(wú)法發(fā)送虛假的ARP報(bào)文了。3.1.5使用專(zhuān)用機(jī)器作為ARP解析服務(wù)器在局域網(wǎng)內(nèi)部設(shè)置一臺(tái)機(jī)器作為ARP服務(wù)器，專(zhuān)門(mén)保存并且維護(hù)網(wǎng)絡(luò)內(nèi)的所有主機(jī)的IP地址與MAC地址映射記錄，使其他計(jì)算機(jī)的ARP配置只接受來(lái)自ARP服務(wù)器的ARP響應(yīng)。當(dāng)有ARP請(qǐng)求時(shí)該服務(wù)器通過(guò)查閱自己緩存的靜態(tài)記錄并以被查詢(xún)主機(jī)的名義響應(yīng)ARP局域網(wǎng)內(nèi)部的請(qǐng)求，從而防止了ARP欺騙攻擊的發(fā)生。3.2用戶(hù)主機(jī)層的防范措施作為局域網(wǎng)用戶(hù)，要防范ARP病毒，主要應(yīng)該做到以下三點(diǎn)。論文檢測(cè)，清除方法。3.2.1開(kāi)機(jī)綁定MIC和IP用戶(hù)開(kāi)機(jī)后，進(jìn)入命令提示符窗口下，運(yùn)行以下三行代碼，就可以對(duì)網(wǎng)關(guān)IP與MAC地址以及本機(jī)IP與MAC地址進(jìn)行靜態(tài)綁定。為了避免麻煩，也可以把它形成批處理文件后，保存在啟動(dòng)項(xiàng)中，這樣開(kāi)機(jī)就實(shí)現(xiàn)了靜態(tài)綁定。ARP-dARP-sXX-XX-XX-XX(網(wǎng)關(guān)ip地址)XX-XX-XX-XX-XX-XX(網(wǎng)關(guān)MAC地址)ARP-sXX-XX-XX-XX(本機(jī)ip地址)XX-XX-XX-XX-XX-XX(本機(jī)MAC地址)3.2.2安裝殺毒軟件和防火墻網(wǎng)絡(luò)上病毒很多，用戶(hù)上網(wǎng)，安裝殺毒軟件和防火墻是十分必要的。常用的具有防ARP病毒的殺毒軟件有瑞星、金山等。而且防火墻在防ARP病毒過(guò)程中也可以起到至關(guān)重要的作用，能有效地阻擋其攻擊和欺騙，日常比較熟悉的有ARP防火墻、360防火墻、AntiARP等。注意在安裝了殺毒軟件和防火墻后，要及時(shí)更新。3.2.3養(yǎng)成良好的上網(wǎng)習(xí)慣用戶(hù)上網(wǎng)時(shí)，要提高安全意識(shí)，并且養(yǎng)成良好的上網(wǎng)習(xí)慣，不打開(kāi)來(lái)歷不明的郵件，不瀏覽不健康的網(wǎng)頁(yè)；特別是克服好奇心理，對(duì)那種彈出來(lái)的誘人窗口或鏈接，（如：恭喜你中了一等獎(jiǎng),發(fā)送你的銀行卡號(hào)碼領(lǐng)錢(qián)）一般都是帶有欺騙類(lèi)或控制類(lèi)病毒，千萬(wàn)不要打開(kāi)。4ARP病毒的清除方法ARP病毒沒(méi)有明顯的特征字，對(duì)于一般的殺毒軟件來(lái)說(shuō)是很難查殺的。ARP病毒的查殺首先要對(duì)局域網(wǎng)內(nèi)的ARP中毒機(jī)進(jìn)行定位，然后再進(jìn)行清除。4.1ARP病毒機(jī)的定位ARP病毒的定位有三種方法，直接定位、工具定位以及嗅探定位，結(jié)合起來(lái)效果更佳。首先在命令提示符下敲入“ARP–a”命令查詢(xún)一下當(dāng)前網(wǎng)關(guān)的MAC地址，如果與網(wǎng)關(guān)的真實(shí)MAC不符，那它就是攻擊者的MAC地址。論文檢測(cè)，清除方法。如果相符，則打開(kāi)MAC地址掃描工具，形成當(dāng)前局域網(wǎng)的IP和MAC對(duì)應(yīng)表，再與正確的對(duì)應(yīng)表相比較，即可確定攻擊者的MAC地址。如果是ARP報(bào)文泛洪攻擊，使用Sniffer軟件嗅探全網(wǎng)，哪個(gè)MAC地址的ARP包泛濫即為攻擊者。4.2手動(dòng)清除在此仍以1.3的病毒為例，按以下順序刪除病毒組件：（1）刪除“病毒組件釋放者”：％windows％SYSTEM32LOADHW.EXE（2）刪除“發(fā)ARP欺騙包的驅(qū)動(dòng)程序”(兼“病毒守護(hù)程序”)：％windows％System32driverspf.Sys具體步驟如下：a.在設(shè)備管理器中，單擊“查看”->“顯示隱藏的設(shè)備”。b.在設(shè)備樹(shù)結(jié)構(gòu)中，打開(kāi)“非即插即用?”。c.找到“NetGroupPacketFiiterDriver”，若沒(méi)找到，請(qǐng)先刷新設(shè)備列表。d.右鍵點(diǎn)擊“NetGroupPacketFilterDriver”菜單，并選擇“卸載”。e.重啟windows系統(tǒng)。論文檢測(cè)，清除方法。f.刪除％windows％System32driverspf.sys（3）刪除“命令驅(qū)動(dòng)程序發(fā)ARP欺騙包的控制者”：％windows％System32msninit.dll（4）刪除以下“病毒的假驅(qū)動(dòng)程序”的注冊(cè)表服務(wù)項(xiàng)：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf4.3軟件清除在確定了病毒機(jī)之后，斷開(kāi)其網(wǎng)絡(luò)，再用專(zhuān)門(mén)的ARP病毒清除軟件(ARP專(zhuān)殺、anti-ARP等)進(jìn)行查殺，之后重啟機(jī)器即可。論文檢測(cè)，清除方法。隨著計(jì)算機(jī)技術(shù)的發(fā)展，ARP病毒也在不斷變異中，甚至嵌入其它病毒，給局域網(wǎng)安全帶來(lái)新的挑戰(zhàn)。網(wǎng)絡(luò)的安全需要廣大網(wǎng)絡(luò)用戶(hù)和管理員共同努力，密切配合，提高警惕，