ARP病毒入侵原理及解決方案-

1、第28卷第3期咸寧學(xué)院學(xué)報(bào)Vo.l28,No.3 2008年6月Journal of X ianni n g Universit y Jun.2008文章編號(hào):1006-5342(200803-0063-04ARP病毒入侵原理及解決方案*張文亮(咸寧學(xué)院網(wǎng)絡(luò)管理中心,湖北咸寧437100摘要:通過局域網(wǎng)連接I NTERNET的用戶,對(duì)于AR P病毒應(yīng)該都不會(huì)陌生,并且基本上都深受其害.這個(gè)病毒在很大程度上降低了網(wǎng)絡(luò)的性能,甚至癱瘓,導(dǎo)致用戶無法正常使用網(wǎng)絡(luò).本文從該病毒入侵原理的角度來分析我們?nèi)绾稳シ婪对摬《?并給出具體的解決方案.關(guān)鍵詞:局域網(wǎng);I NTERNET;ARP病毒中圖分類號(hào):TP

2、309.5文獻(xiàn)標(biāo)識(shí)碼:A0引言ARP地址欺騙類病毒(以下簡(jiǎn)稱ARP病毒是一類特殊的病毒,該病毒一般屬于木馬(T ro j a n病毒,不具備主動(dòng)傳播的特性,不會(huì)自我復(fù)制.但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包,干擾全網(wǎng)的運(yùn)行,因此它的危害比一些蠕蟲還要嚴(yán)重得多.其危害主要表現(xiàn)在:局域網(wǎng)內(nèi)的部分或所有電腦不能上網(wǎng);無法打開網(wǎng)頁或打開網(wǎng)頁慢;在打開的網(wǎng)頁頂部和底部插入惡意廣告;不斷提示I P地址沖突(非I P共用產(chǎn)生的I P地址沖突;局域網(wǎng)時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等.11ARP病毒入侵原理ARP全稱為A ddress Reso lution Protoco,l中文名稱是地址解析協(xié)議.它工作

3、在數(shù)據(jù)鏈路層,在本層和硬件接口聯(lián)系,同時(shí)對(duì)上層提供服務(wù).所謂/地址解析0就是主機(jī)在發(fā)送數(shù)據(jù)包前將目標(biāo)主機(jī)I P地址(I P地址32位轉(zhuǎn)換成目標(biāo)主機(jī)MAC地址(MAC地址48位的過程.2ARP協(xié)議屬于鏈路層的協(xié)議,以太網(wǎng)中的數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位的以太網(wǎng)地址(MAC 地址來確定接口的,而不是根據(jù)32位的I P地址.內(nèi)核(如驅(qū)動(dòng)必須知道目的端的MAC地址才能發(fā)送數(shù)據(jù).當(dāng)源主機(jī)需要傳送數(shù)據(jù)給目標(biāo)主機(jī)的時(shí)候,首先會(huì)在本機(jī)ARP緩存表(ARP緩存表是用來保存該網(wǎng)絡(luò)中各個(gè)電腦的I P地址和MAC地址的對(duì)應(yīng)關(guān)系的中查詢目標(biāo)設(shè)備的MAC地址,如果在ARP緩存表中可以查詢到目的主機(jī)對(duì)應(yīng)

4、的MAC地址,便立即把查詢到的MAC地址作為目的主機(jī)地址,并將數(shù)據(jù)傳送給該MAC地址所在的接口;如果在ARP緩存表中沒有查詢到目的主機(jī)對(duì)應(yīng)的MAC地址,這個(gè)時(shí)候源主機(jī)就會(huì)向全網(wǎng)絡(luò)發(fā)送一個(gè)ARP廣播包,詢問目的主機(jī)I P地址對(duì)應(yīng)的MAC地址.這時(shí),該網(wǎng)段的計(jì)算機(jī)以及網(wǎng)關(guān)都會(huì)收到該ARP廣播包,當(dāng)目的主機(jī)收到該包的時(shí)候,它會(huì)單獨(dú)給源主機(jī)發(fā)送一個(gè)包并告訴源主機(jī)自己的MAC地址,當(dāng)源主機(jī)收到來自目的主機(jī)的應(yīng)答包后,便會(huì)將目的主機(jī)的I P地址和MAC地址的對(duì)應(yīng)關(guān)系寫入自己的ARP緩存表,從而繼續(xù)完成數(shù)據(jù)的傳送.3*收稿日期:2008-03-20圖12ARP病毒的表現(xiàn)形式2.1網(wǎng)絡(luò)頻繁掉線網(wǎng)絡(luò)頻繁掉線主要

5、表現(xiàn)為用戶在使用網(wǎng)絡(luò)的過程中,網(wǎng)頁打開速度慢、時(shí)斷時(shí)續(xù)甚至根本打不開以及其它的網(wǎng)絡(luò)應(yīng)用處于斷線狀態(tài).這種現(xiàn)象是因?yàn)楦腥続RP病毒的主機(jī)一旦收到ARP請(qǐng)求包后,便向源主機(jī)發(fā)送偽造的ARP包,導(dǎo)致源主機(jī)無法與真正的目的主機(jī)通訊.當(dāng)偽造的ARP包中包含錯(cuò)誤的網(wǎng)關(guān)信息時(shí),源主機(jī)會(huì)誤認(rèn)為中毒主機(jī)就是網(wǎng)關(guān),便會(huì)通過中毒主機(jī)連接外網(wǎng),如果中毒主機(jī)性能很差,無法勝任/網(wǎng)關(guān)臨時(shí)代理0功能,就會(huì)表現(xiàn)為用戶網(wǎng)絡(luò)連通,但延時(shí)太大,所以用戶上網(wǎng)才會(huì)覺得慢、時(shí)斷時(shí)續(xù),甚至根本無法連接網(wǎng)絡(luò).2.2彈出惡意廣告ARP病毒在偽裝網(wǎng)關(guān)的基礎(chǔ)上,還會(huì)對(duì)HTTP 請(qǐng)求訪問進(jìn)行修改.HTTP是應(yīng)用層的協(xié)議,主要是用于W EB網(wǎng)頁訪問.

6、當(dāng)源主機(jī)請(qǐng)求網(wǎng)關(guān)訪問某個(gè)網(wǎng)站的時(shí)候,中毒主機(jī)仍然會(huì)擔(dān)任/網(wǎng)關(guān)臨時(shí)代理0之職,仍然會(huì)給源主機(jī)下載所請(qǐng)求的web網(wǎng)站內(nèi)容,但不同的是,在將w eb內(nèi)容傳送給源主機(jī)的同時(shí)(圖示1第六步,會(huì)在下載的w eb內(nèi)容中插入惡意網(wǎng)址連接,該惡意網(wǎng)址連接會(huì)利用MS06-014和M S07-017等多種系統(tǒng)漏洞,向源主機(jī)種植木馬病毒.將進(jìn)一步破壞用戶系統(tǒng)以及網(wǎng)絡(luò)環(huán)境.2.3提示I P地址沖突ARP病毒還會(huì)造成用戶I P地址沖突,并不斷的提示,干擾用戶正常使用網(wǎng)絡(luò).正常情況下,當(dāng)主機(jī)A在連接網(wǎng)絡(luò)(或更改I P地址的時(shí)候就會(huì)向網(wǎng)絡(luò)發(fā)送ARP包廣播自己的I P地址,也就是freearp.如果網(wǎng)絡(luò)中存在相同I P地址的主

7、機(jī)B,那么B就會(huì)通過ARP來reply該地址,當(dāng)A接收到這個(gè)rep l y后,A就會(huì)跳出I P地址沖突的警告,當(dāng)然B也會(huì)有警告.但如果網(wǎng)內(nèi)存在ARP欺騙病毒,那么中毒主機(jī)便可以偽造這個(gè)ARP rep l y,ARP rep l y 的內(nèi)容就是/我的地址和主機(jī)A一樣0,主機(jī)A就誤認(rèn)為自己的I P和別人沖突了,就會(huì)不斷的出現(xiàn)I P地址沖突警告,也就無法與網(wǎng)絡(luò)通信.2.4欺騙網(wǎng)關(guān),徹底斷網(wǎng)前面幾點(diǎn)我們講的都是ARP病毒欺騙主機(jī)的情況.現(xiàn)在我們講ARP病毒最嚴(yán)重的一種破壞方式,即:欺騙網(wǎng)關(guān).中毒主機(jī)向網(wǎng)關(guān)發(fā)送偽造的ARP應(yīng)答數(shù)據(jù)包,其中發(fā)送方的I P地址為目標(biāo)主機(jī)的I P地址,而MAC地址則為一個(gè)偽造

8、的地址.這樣,路由器的ARP表中就產(chǎn)生了一條錯(cuò)誤的I P -MAC記錄,網(wǎng)關(guān)發(fā)送給目標(biāo)的數(shù)據(jù)包都是使用了錯(cuò)誤的MAC地址.這種情況下,目標(biāo)能夠發(fā)送數(shù)據(jù)到網(wǎng)關(guān),卻不能接收到來自網(wǎng)關(guān)的任何數(shù)據(jù).導(dǎo)致主機(jī)徹底處于斷線狀態(tài).2.5其它隨著ARP病毒的擴(kuò)散日益嚴(yán)重,很多黑客利用了ARP病毒的特性結(jié)合其他木馬病毒對(duì)用戶實(shí)施更嚴(yán)重的攻擊與破壞.例如:目前對(duì)用戶破壞比較大的一種病毒是/磁碟機(jī)新變種0病毒.一旦感染這個(gè)病毒,首先它會(huì)在指定的網(wǎng)站下載ARP病毒,然后不間斷的對(duì)網(wǎng)內(nèi)的其他用戶實(shí)施ARP攻擊,并且中毒的計(jì)算機(jī)基本上失去了病毒防護(hù)能力,將所有的與病毒防護(hù)有關(guān)的軟件實(shí)施禁用;無法顯示隱藏文件;在進(jìn)程中多了

9、幾個(gè)以管理員為用戶名的進(jìn)程:LSASS.exe、S M SS.exe等,并無法結(jié)束這些進(jìn)程.此類病毒查殺難度很大,用戶計(jì)算機(jī)基本上處于癱瘓狀態(tài).此類病毒最有效的清除辦法就是利用專殺工具反復(fù)查殺.3ARP病毒的解決及防范64咸寧學(xué)院學(xué)報(bào)第28卷3.1用戶的角度3.2網(wǎng)絡(luò)管理員的角度對(duì)于一個(gè)中、大型的網(wǎng)絡(luò)而言,用戶太多,要求每個(gè)用戶都做到ARP病毒的防范,似乎不大可能.哪怕只有一臺(tái)計(jì)算機(jī)沒有做好防范措施,也會(huì)對(duì)網(wǎng)絡(luò)造成很大的影響,所以從用戶的角度去抑制或清除該病毒始終是不夠徹底的.要徹底的解決這個(gè)病毒,還是應(yīng)該從網(wǎng)絡(luò)管理的角度著手.網(wǎng)絡(luò)管理員還可以利用第三方軟件對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控、掃描,發(fā)現(xiàn)ARP

10、病毒以及鎖定病毒源.以cisco2950交換機(jī)為例,在交換機(jī)端口上實(shí)施MAC地址與端口綁定和I P地址與端口的綁定相結(jié)合,從而達(dá)到在端口上應(yīng)用I P與MAC地址綁定的功能.一旦綁定之后,交換機(jī)的ARP表就固定了,無論接收到來自任何計(jì)算機(jī)的ARP欺騙都無法修改交換機(jī)的ARP表,同時(shí)也就保證了路由的準(zhǔn)確性.以此來避免ARP病毒各式各樣的攻擊、欺騙.具體實(shí)施如下:Sw itch(confi gM ac access-list ex tended MAC0 #定義一個(gè)MAC地址訪問控制列表并且命名該列表名為MAC0Sw itch(confi gIp access-list ex tended I P0

11、#定義一個(gè)I P地址訪問控制列表并且命名該列表名為I P0#定義所有主機(jī)可以訪問I P地址為的主機(jī)Sw itch(confi g-ifi n terface Fa0/20#進(jìn)入配置具體端口的模式Sw itch(config-ifm ac access-g roupMAC0in #在該端口上應(yīng)用名為MAC0的訪問列表(即前面我們定義的訪問策略Sw itch(confi g-ifIp access-group I P0in#在該端口上應(yīng)用名為I P0的訪問列表(即前65第3期張文亮ARP病毒入侵原理及解決方案面我們定義的訪問策略Sw itch(con fi gno m ac

12、access-li s t ex tended MAC0#清除名為MAC0的訪問列表Sw itch(configno Ip access-g r oup I P0in#清除名為I PO的訪問列表4總結(jié)ARP病毒如果要徹底的解決,首先要保證局域網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī)不能感染ARP病毒,也不可以存在帶來ARP病毒的其他木馬病毒.所以ARP病毒的防范不是簡(jiǎn)單的只防ARP病毒,還需要防范其它更多的木馬病毒.隨著網(wǎng)絡(luò)應(yīng)用的日益擴(kuò)大,形形色色的網(wǎng)絡(luò)病毒泛濫,肆意破壞網(wǎng)絡(luò)環(huán)境.因此網(wǎng)絡(luò)安全、病毒防范對(duì)于網(wǎng)絡(luò)用戶而言應(yīng)該放在首要的位置,也應(yīng)該是一項(xiàng)長(zhǎng)期的工作,要養(yǎng)成一種好的上網(wǎng)習(xí)慣,才能給自己以及他人營(yíng)造一個(gè)安

13、全、可靠、高效的網(wǎng)絡(luò)環(huán)境.真正的做到網(wǎng)絡(luò)安全、人人有責(zé).參考文獻(xiàn):1鄧吉,柳靖.黑客攻防實(shí)戰(zhàn)詳解安全技術(shù)大系M.北京:電子工業(yè)出版社,2006.2史蒂文斯(W.R ichard Stevens.TCP/IP詳解(卷1:協(xié)議M.北京:機(jī)械工業(yè)出版社,1991.3多伊爾,卡羅爾.TCP/IP路由技術(shù)(第一卷M.第2版.北京:人民郵電出版社,2007.4科默(Come r,D.E.用TCP/I P進(jìn)行網(wǎng)際互連(第一卷:原理、協(xié)議與結(jié)構(gòu)M.第5版.北京:電子工業(yè)出版社,2007.版.北京:清華大學(xué)出版社,2006.Invasi on M echanis m s and Solutions of ARP

14、-V irusZHANG W en-li a ng(Center of Net w or k M anage m en,t X iann i n g Un i v ersity,X iann i n g437100,Ch i n aAbst ract:The I nternet users who are jo i n ed through the LAN m ay not feel strange to ARP v irus,and are basically hurt deeply by i.t This v irus reduces the net w ork perfo r m ance to a great exten,t and even m akes the net w or k paralysed,causing users to be unab le to use the net w or k nor m ally.F