淺談ARP病毒在局域網(wǎng)中的分析處理及防御.ppt

1、ARP 病毒在局域網(wǎng)中的分析處理及防御,本文將對(duì)局域網(wǎng)中發(fā)生的ARP病毒故障現(xiàn)象及故障診斷進(jìn)行介紹，同時(shí)介紹ARP協(xié)議的工作原理及常見的ARP病毒的攻擊方式，以及如何處理和防御ARP病毒攻擊的方法，以達(dá)到全面防御維護(hù)局域網(wǎng)網(wǎng)絡(luò)安全的目的。 關(guān)鍵詞：地址解析協(xié)議，ARP欺騙，網(wǎng)絡(luò)安全,目 錄,一、ARP病毒的故障現(xiàn)象,四、ARP病毒的故障診斷,二、ARP協(xié)議的工作原理 三、ARP病毒攻擊方式,五、ARP病毒的故障處理,六、預(yù)防措施,我們知道，當(dāng)我們?cè)跒g覽器里面輸入網(wǎng)址時(shí)，DNS服務(wù)器會(huì)自動(dòng)把它解析為IP地址，瀏覽器實(shí)際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC

2、地址）的呢？在局域網(wǎng)中，這是通過(guò)ARP協(xié)議來(lái)完成的。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。 通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使網(wǎng)絡(luò)阻塞。,一、ARP病毒的故障現(xiàn)象,ARP病毒現(xiàn)象表現(xiàn)為：計(jì)算機(jī)網(wǎng)絡(luò)連接正常，網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，無(wú)法PING通網(wǎng)關(guān)的IP地址、但可以PING通自己的IP地址，上網(wǎng)時(shí)會(huì)突然掉線，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。比如出現(xiàn)用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)等現(xiàn)象。重啟電腦或在 MS-DOS窗口下運(yùn)行命令arp -d后，又可恢復(fù)上網(wǎng)。,二、ARP協(xié)議的工作原理,1、什么是ARP協(xié)議 IP數(shù)據(jù)包常通過(guò)以太網(wǎng)發(fā)送。以太網(wǎng)設(shè)備并不識(shí)別32位IP地

3、址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此，必須把目的IP地址轉(zhuǎn)換成目的MAC 地址。在這兩種地址之間存在著某種對(duì)應(yīng)的映射，常常需要查看一張表。地址解析協(xié)議(Address Resolution Protocol，ARP)就是用來(lái)確定這些映像的協(xié)議。 在局域網(wǎng)中，就是通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。這個(gè)目標(biāo)MAC地址是通過(guò)地址解析協(xié)議即ARP協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)

4、MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。,每臺(tái)安裝有TCP/IP協(xié)議的計(jì)算機(jī)主機(jī)里都有一個(gè)ARP緩存表，表中的IP地址 MAC地址是一一對(duì)應(yīng)的，如表 1 所示： 表 1 地址解析協(xié)議緩存地址表 值得注意的一點(diǎn)是：ARP 緩存表采用了一種老化機(jī)制，在一定的時(shí)間內(nèi)如果某一條記錄沒(méi)有被使用過(guò)就會(huì)被刪除。這樣可以大大減少ARP 緩存表的長(zhǎng)度，加快查詢速度。,2、什么是ARP欺騙,ARP欺騙是一種利用計(jì)算機(jī)病毒使計(jì)算機(jī)網(wǎng)絡(luò)無(wú)法正常運(yùn)行的計(jì)算機(jī)攻擊手段。包括進(jìn)行對(duì)主機(jī)發(fā)動(dòng)IP沖突攻擊、數(shù)據(jù)包轟炸，切斷局域網(wǎng)上任何一臺(tái)主機(jī)的網(wǎng)絡(luò)連接等

5、。主要有以盜取數(shù)據(jù)為主要目的的ARP欺騙攻擊，感染的計(jì)算機(jī)試圖通過(guò)“ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。 ARP的攻擊問(wèn)題影響很大，局域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會(huì)欺騙局域網(wǎng)內(nèi)所有的主機(jī)和網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過(guò)ARP攻擊者控制的主機(jī)。其它用戶原來(lái)直接通過(guò)網(wǎng)關(guān)上網(wǎng)，現(xiàn)在卻轉(zhuǎn)由通過(guò)被控主機(jī)轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機(jī)性能和程序性能的影響，這種轉(zhuǎn)發(fā)并不會(huì)非常流暢，因此就會(huì)導(dǎo)致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)網(wǎng)絡(luò)擁塞以及其自身處理能力的限制，用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。ARP欺騙木馬

6、只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)無(wú)法上網(wǎng)，嚴(yán)重的可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。,3、ARP協(xié)議的工作原理,首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè) ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己 ARP列表中是否存在該 IP地址對(duì)應(yīng)的MAC地址，如果有就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒(méi)有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包，查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。,網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP

7、地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè) ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址；源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。,三、ARP病毒攻擊方式,從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP攻擊分為兩種，一種是ARP泛洪；另一種是ARP欺騙。 ARP 泛洪：受ARP病毒感染的主機(jī)不斷向本地網(wǎng)絡(luò)內(nèi)其他主機(jī)發(fā)送大量的錯(cuò)誤ARP應(yīng)答報(bào)文，導(dǎo)致受攻擊主機(jī)的ARP表中的真

8、實(shí)的ARP條目被刷新掉。因?yàn)殄e(cuò)誤的ARP條目占用了整個(gè)ARP表。所以，受攻擊主機(jī)就不能完成正確的二層尋址，也就不能實(shí)現(xiàn)Internet的訪問(wèn)。這種攻擊的現(xiàn)象是，受攻擊主機(jī)即不能訪問(wèn)本地網(wǎng)絡(luò)，也不能訪問(wèn)外部網(wǎng)絡(luò)。,ARP欺騙：受ARP病毒感染的主機(jī)偽造IP地址為網(wǎng)關(guān)地址，MAC地址為本機(jī)MAC地址的虛假ARP應(yīng)答報(bào)文發(fā)送給本地網(wǎng)絡(luò)內(nèi)的主機(jī)，以刷新受攻擊主機(jī)的正確的網(wǎng)關(guān)的ARP條目，誘使受攻擊主機(jī)將原本發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包發(fā)送到感染ARP病毒的主機(jī)上。攻擊者通常利用這種方法來(lái)竊取被攻擊者的數(shù)據(jù)包中的信息。這種攻擊的現(xiàn)象是，受攻擊主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，但是訪問(wèn)本地網(wǎng)絡(luò)時(shí)不受影響。,四、ARP病毒的故

9、障診斷,如果用戶發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)連接正常，網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，頻繁斷網(wǎng)?？梢酝ㄟ^(guò)如下操作進(jìn)行診斷： 點(diǎn)擊“開始”按鈕 選擇“運(yùn)行” 輸入cmd 再輸入“arp-d”-點(diǎn)擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說(shuō)明此次掉線可能是受ARP欺騙所致。 注：可以先用arp-a命令查看一下，再用arp-d清除主機(jī)arp表。主機(jī)的arp表被清空。如果這時(shí)可以正常上網(wǎng)，過(guò)一段時(shí)間又不能上網(wǎng)，再重復(fù)前面的過(guò)程又可以上網(wǎng)。則說(shuō)明受到ARP攻擊。,五、ARP病毒的故障處理,（一）、從交換機(jī)上進(jìn)行IP地址與MAC地址綁定設(shè)置 從交換機(jī)的角度，可以使用命令進(jìn)行IP 地址和 MAC地址的綁定。以中興ZXR10 解

10、決方案為例，中興ZXR10在交換機(jī)上提供 IP 地址和 MAC 地址的綁定功能，并建立綁定關(guān)系。在進(jìn)行 ARP 綁定前首先要確定網(wǎng)絡(luò)是正常運(yùn)行的，然后再進(jìn)行ARP 綁定設(shè)置。這樣可以有效地提高網(wǎng)絡(luò)安全性和穩(wěn)定性。 當(dāng)更換電腦網(wǎng)卡時(shí)要更新靜態(tài) ARP 映射表。否則由于更換了網(wǎng)卡的主機(jī)的 MAC 地址與 ARP 表中的不一致，也會(huì)導(dǎo)致無(wú)法上網(wǎng)，應(yīng)相應(yīng)的給予修改。,（二）、從客戶端主機(jī)進(jìn)行 ARP 綁定設(shè)置處理方法,步驟一：在能上網(wǎng)的時(shí)候點(diǎn)擊“開始”按鈕 選擇“運(yùn)行” 輸入cmd 輸入“arp -a” 則會(huì)顯示網(wǎng)關(guān)的正確MAC 地址和IP地址（記錄下來(lái)為以后查殺ARP病毒做準(zhǔn)備）。如果不能上網(wǎng)，則先

11、運(yùn)行一次“arp -d”，將arp緩存中的內(nèi)容清空，計(jì)算機(jī)可暫時(shí)上網(wǎng)。 步驟二：已經(jīng)有網(wǎng)關(guān)正確的MAC地址和IP地址，手工將MAC 地址和IP地址綁定，計(jì)算機(jī)可以免受ARP攻擊的干擾。手工綁定可在MS-DOS下運(yùn)行以下命令：“arp-s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址” 例如：在運(yùn)行中輸入cmd 輸入“arp-a”命令，則會(huì)顯示局域網(wǎng)網(wǎng)關(guān)的IP 地址和MAC地址，如下圖： Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 dynamicI（動(dòng)態(tài)）,那么手工綁定的命令為：“arp-s 60.2.11.1 00-19

12、-C6-07-5A-21”（注意要寫自己局域網(wǎng)網(wǎng)關(guān)的IP地址和MAC地址）。綁定完可再用“arp -a ”命令查看arp 緩存表，則會(huì)發(fā)現(xiàn)網(wǎng)關(guān)類型變成了靜態(tài)： Internet Address Physical Address Type 60.2.11.1 00-19-C6-07-5A-21 static（靜態(tài)）,但是，需要說(shuō)明的是手工綁定在計(jì)算機(jī)關(guān)機(jī)重開機(jī)后就會(huì)失效，需要再綁定。我們可以編寫一個(gè)批處理文件，放到啟動(dòng)項(xiàng)中，這樣每次開機(jī)都會(huì)運(yùn)行這個(gè)程序，可以防止arp 攻擊。請(qǐng)按照以下步驟操作：1) 編寫一個(gè)批處理文件arp.bat內(nèi)容如下：如圖所示：echo offarp -darp -s 6

13、0.2.11.1 00-19-C6-07-5A-21,將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。,2）保存文件夾（自啟動(dòng)文件夾）：C:Documents and SettingsAll Users開始菜單程序啟動(dòng) (注意,一定是All Users目錄下) 3）重起計(jì)算機(jī) 4）操作完成后可以看到:桌面開始菜單所有程序啟動(dòng)arp.bat ，切記不要?jiǎng)h! 注：此方法要是換網(wǎng)段的話要重新設(shè)置。所以要徹底消除攻擊則要找出被病毒感染的計(jì)算機(jī)，殺除arp病毒，方可解決。,（三）、找出受病毒感染的計(jì)算機(jī)并查殺病毒,目前關(guān)于ARP類的防護(hù)軟件出的比較多，結(jié)合使用軟件可以找到受

14、病毒感染計(jì)算機(jī)的MAC 地址和IP地址，也就找到了該計(jì)算機(jī)。 Anti Arp Sniffer是一款檢測(cè)網(wǎng)絡(luò)內(nèi)存在ARP木馬欺騙的工具。當(dāng)懷疑網(wǎng)絡(luò)內(nèi)存在ARP木馬時(shí)，可使用此工具來(lái)進(jìn)行自我保護(hù)?；蛘咴O(shè)置為自動(dòng)運(yùn)行，可以免受ARP欺騙木馬的感染。 網(wǎng)絡(luò)內(nèi)存在ARP 欺騙木馬時(shí)的癥狀通常如下：物理網(wǎng)絡(luò)正常的情況下，網(wǎng)絡(luò)不穩(wěn)定，上網(wǎng)時(shí)斷時(shí)續(xù)?；蛘呤峭蝗徊荒苓B接互連網(wǎng)。這時(shí)您可以使用Anti Arp Sniffer來(lái)進(jìn)行自我保護(hù)。 更深入一步，也可以檢測(cè)到感染ARP欺騙木馬的主機(jī)地址和MAC地址，這時(shí)我們可以和網(wǎng)管人員一起來(lái)找出病源，專門針對(duì)該機(jī)器進(jìn)行病毒的查殺。首先要升級(jí)防病毒軟件的病毒定義碼，使得防病毒軟件的病毒庫(kù)為最新。然后斷開網(wǎng)線，查殺病毒。,六、預(yù)防措施：,機(jī)器被感染病毒，主要是防范意識(shí)薄弱，即使你的機(jī)器現(xiàn)在清除了該病毒，但以后仍然會(huì)感染新的病毒（包括該病毒變種及其他病毒）。為了有效防范來(lái)自病毒、黑客的網(wǎng)絡(luò)攻擊，要養(yǎng)成良好的使用習(xí)慣。 1、不要隨便點(diǎn)擊打開QQ、MSN等聊天工具上發(fā)