探析ARP病毒及防范對(duì)策

1、探析ARP病毒及防范對(duì)策內(nèi)容摘要:目前，局域網(wǎng)LAN：Local Area Network經(jīng)常感染ARP病毒，并且ARP病毒攻擊已成為了導(dǎo)致局域網(wǎng)大面積掉線甚至癱瘓的罪魁禍?zhǔn)住１疚墓P者結(jié)合自己三年多來從事局域網(wǎng)維護(hù)與管理的實(shí)踐工作經(jīng)驗(yàn)，從排除故障、優(yōu)化網(wǎng)絡(luò)管理性能的角度出發(fā)，對(duì)ARP病毒的根本知識(shí)、工作原理以及如何防范ARP病毒等幾個(gè)方面做一些探討和分析，希望能夠?qū)氖戮钟蚓W(wǎng)維護(hù)和管理工作的技術(shù)人員有所幫助。論文關(guān)鍵詞：ARP病毒,地址欺騙,攻擊原理,對(duì)策,局域網(wǎng),主機(jī)1、ARP病毒簡(jiǎn)介。ARP地址欺騙類病毒以下簡(jiǎn)稱ARP病毒是一類特殊的地址欺騙病毒。2、ARP病毒特點(diǎn)。該病毒一般屬于木馬病毒

2、，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是，如果局域網(wǎng)內(nèi)某臺(tái)計(jì)算機(jī)以下簡(jiǎn)稱主機(jī)感染、運(yùn)行ARP病毒時(shí)，這臺(tái)主機(jī)將偽造其他主機(jī)的MAC地址，并向整個(gè)局域網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，從而欺騙局域網(wǎng)內(nèi)所有的主機(jī)和路由器，讓局域網(wǎng)內(nèi)原來直接通過路由器上網(wǎng)的主機(jī)都轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，這樣就占用大量網(wǎng)絡(luò)帶寬，干擾了局域網(wǎng)的正常運(yùn)行，并可最終導(dǎo)致局域網(wǎng)中的主機(jī)大面積掉線甚至整個(gè)局域網(wǎng)癱瘓。其實(shí)，導(dǎo)致ARP病毒的發(fā)生，在理論上是由于以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配；或者ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在同一個(gè)局域網(wǎng)的網(wǎng)卡MAC數(shù)據(jù)庫內(nèi)；或者與同一個(gè)局域網(wǎng)的MAC數(shù)據(jù)庫MAC/IP不

3、匹配。3、ARP病毒分類。根據(jù)欺騙對(duì)象的不同，ARP病毒可以分為以下三種：A、欺騙局域網(wǎng)中某一受害主機(jī)。B、欺騙局域網(wǎng)的路由器、網(wǎng)關(guān)。C、雙向欺騙，即A、B兩種欺騙方法的組合方式。根據(jù)發(fā)起個(gè)體的不同，ARP病毒可以分為以下兩種：A、人為攻擊。人為攻擊的目的主要是：造成網(wǎng)絡(luò)異常、竊取數(shù)據(jù)、非法控制等。B、ARP病毒。在這里，ARP病毒不是特指某一種病毒，而是指所有包含有ARP欺騙功能的病毒的總稱。4、ARP病毒危害。ARP病毒的危害有以下幾個(gè)方面：A、網(wǎng)絡(luò)異常。具體表現(xiàn)為：網(wǎng)絡(luò)連接正常，但是局域網(wǎng)內(nèi)主機(jī)上網(wǎng)經(jīng)常掉線；局域網(wǎng)內(nèi)部網(wǎng)絡(luò)的局部主機(jī)不能上網(wǎng)；局域網(wǎng)時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢；局域網(wǎng)內(nèi)所有主機(jī)不

4、能上網(wǎng)，翻開網(wǎng)頁慢甚至無法翻開網(wǎng)頁；IP地址沖突等。B、數(shù)據(jù)竊取。具體表現(xiàn)為：個(gè)人隱私泄漏如MSN聊天記錄、郵件等、賬號(hào)被盜用如QQ賬號(hào)、銀行賬號(hào)等。C、數(shù)據(jù)篡改。具體表現(xiàn)為：訪問網(wǎng)頁被添加惡意內(nèi)容，俗稱掛馬;。D、非法控制。具體表現(xiàn)為：網(wǎng)絡(luò)速度、網(wǎng)絡(luò)訪問行為例如某些網(wǎng)頁打不開、某些網(wǎng)絡(luò)應(yīng)用程序用不了受第三者非法控制。二、ARP病毒攻擊原理為了講清楚ARP病毒攻擊原理，我們必須先了解一下MAC地址與ARP協(xié)議。1、MAC地址簡(jiǎn)介。在局域網(wǎng)中，一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行通信，就必須要知道目的主機(jī)的IP地址。但是，在局域網(wǎng)中負(fù)責(zé)主機(jī)之間傳輸數(shù)據(jù)的網(wǎng)卡等物理設(shè)備不識(shí)別IP地址，而只能識(shí)別其硬件地址即

5、MAC地址。MAC地址是由48位二進(jìn)制數(shù)12位16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用-;或者冒號(hào)隔開后所組成的一串?dāng)?shù)字，用來識(shí)別局域網(wǎng)中主機(jī)的一種標(biāo)識(shí)如：00-0B-2F-13-1A-11。局域網(wǎng)中每臺(tái)主機(jī)網(wǎng)卡的物理地址通常是由網(wǎng)卡生產(chǎn)廠家燒入網(wǎng)卡的EPROM一種閃存芯片，通?？梢酝ㄟ^程序擦寫，它存儲(chǔ)的就是傳輸數(shù)據(jù)時(shí)用來標(biāo)識(shí)發(fā)送數(shù)據(jù)端主機(jī)亦稱源端和接收數(shù)據(jù)端主機(jī)的地址亦稱目的端或宿端。每塊網(wǎng)卡都有其全球唯一的MAC地址，在網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對(duì)方網(wǎng)卡的MAC地址進(jìn)行發(fā)送，這就需要一個(gè)將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議，這個(gè)工作任務(wù)將由ARP協(xié)議完成。2、ARP協(xié)議簡(jiǎn)介。ARP

6、Address Resolution Protocol，地址解析協(xié)議協(xié)議是指將局域網(wǎng)中主機(jī)的IP地址轉(zhuǎn)換為第二層物理地址即MAC地址的一種協(xié)議。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖菐?，幀里面有目的主機(jī)的MAC地址。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，就必須要知道目標(biāo)主機(jī)的MAC地址。ARP協(xié)議就是解決如何實(shí)現(xiàn)主機(jī)的MAC地址與IP地址之間的轉(zhuǎn)換，保證通信順利進(jìn)行問題的。在以太網(wǎng)中，每臺(tái)安裝有TCP/IP協(xié)議的主機(jī)里都有一個(gè)ARP緩存表，表中的IP地址與MAC地址是一一對(duì)應(yīng)的。因此，該協(xié)議對(duì)局域網(wǎng)正常運(yùn)行、平安都具有非常重要的意義。B、局域網(wǎng)感染ARP病毒情況下的數(shù)據(jù)包發(fā)送過程即ARP病毒

7、攻擊的詳細(xì)原理。在上述網(wǎng)絡(luò)正常情況下的數(shù)據(jù)包發(fā)送機(jī)制看上去很完美，似乎整個(gè)局域網(wǎng)也天下太平;，并相安無事;。但是，上述數(shù)據(jù)發(fā)送機(jī)制有一個(gè)致命的缺陷，即該機(jī)制是建立在對(duì)局域網(wǎng)中所有主機(jī)全部信任的根底之上的，并且局域網(wǎng)中任意一臺(tái)主機(jī)發(fā)送的ARP數(shù)據(jù)包都是正確的。在實(shí)際的網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中，并不是所有主機(jī)都安分守己;，而是經(jīng)常存在非法;主機(jī)。三、ARP病毒防范對(duì)策ARP病毒防范工作是我們對(duì)局域網(wǎng)進(jìn)行維護(hù)和管理工作中一項(xiàng)不可無視的重要工作。如何防范ARP病毒，需要在實(shí)踐中不斷研究、探索和總結(jié)。筆者認(rèn)為可以采用以下一些對(duì)策來加以防范。1、在局域網(wǎng)主機(jī)上安裝防火墻和殺毒軟件，加固網(wǎng)絡(luò)防線。因?yàn)?，網(wǎng)絡(luò)入侵者

8、必須首先穿越局域網(wǎng)中防火墻的平安防線，才能接觸局域網(wǎng)內(nèi)部的主機(jī)。因此，利用防火墻的網(wǎng)絡(luò)平安保護(hù)作用并選擇、安裝功能齊全和技術(shù)先進(jìn)的防火墻如：瑞星、諾頓、AntiARP、360平安衛(wèi)士ARP防火墻等是一種最根本也是最有效的防范病毒感染和入侵的方式。同時(shí)，局域網(wǎng)管理人員應(yīng)該在局域網(wǎng)內(nèi)部的主機(jī)上安裝好正版殺毒軟件，并進(jìn)行定期地升級(jí)、更新與殺毒工作，以增強(qiáng)防御計(jì)算機(jī)病毒的能力。同時(shí)，利用一些防火墻軟件如：AntiARP、360平安衛(wèi)士ARP防火墻等，也可以有效解決ARP攻擊問題，而且可以通過歷史記錄查看攻擊源的IP和MAC地址。3、修改MAC地址，采用反欺騙技術(shù)防范。局域網(wǎng)管理人員修改局域網(wǎng)中主機(jī)的M

9、AC地址，就可以欺騙ARP 欺騙即反欺騙，從而到達(dá)有效防范局域網(wǎng)中感染并運(yùn)行ARP病毒的目的。4、采用ARP效勞器，防止ARP病毒攻擊。局域網(wǎng)管理人員可以采用ARP 效勞器，通過該效勞器查找自己的ARP 轉(zhuǎn)換表來響應(yīng)其他主機(jī)的ARP 播送數(shù)據(jù)包，從而到達(dá)這臺(tái)ARP 效勞器不被攻擊和有效防范局域網(wǎng)中感染并運(yùn)行ARP病毒的目的。5、對(duì)局域網(wǎng)中的交換機(jī)Switch端口進(jìn)行設(shè)置，防止ARP病毒攻擊。A、端口保護(hù)(亦即端口隔離)：ARP 欺騙技術(shù)需要交換機(jī)Switch的兩個(gè)端口直接通信。因此，從事局域網(wǎng)維護(hù)和管理的技術(shù)人員可以將交換機(jī)Switch端口設(shè)為保護(hù)端口，即可用來隔離局域網(wǎng)中主機(jī)之間互通信息。同

10、一臺(tái)交換機(jī)Switch的兩個(gè)端口之間不能進(jìn)行直接通訊，需要通過轉(zhuǎn)發(fā)環(huán)節(jié)才能相互通信。B、數(shù)據(jù)過濾：如果需要對(duì)報(bào)文做更進(jìn)一步的控制用戶可以采用ACL (Access Control Label,訪問控制列表)。ACL 利用IP 地址、TCP/UDP 端口等對(duì)進(jìn)出交換機(jī)Switch的報(bào)文進(jìn)行過濾，根據(jù)預(yù)設(shè)條件，對(duì)報(bào)文做出允許轉(zhuǎn)發(fā)或阻塞的決定。在現(xiàn)有交換機(jī)產(chǎn)品中，華為和Cisco思科公司的交換機(jī)均支持IP ACL 和MAC ACL，每種ACL 分別支持標(biāo)準(zhǔn)格式和擴(kuò)展格式。標(biāo)準(zhǔn)格式ACL 根據(jù)源地址和上層協(xié)議類型進(jìn)行過濾，擴(kuò)展格式ACL 根據(jù)源地址、目的地址以及上層協(xié)議類型進(jìn)行過濾，異詞檢查偽裝MAC

11、 地址的幀。6、使用硬件屏蔽局域網(wǎng)中的主機(jī)，確保合法路由。局域網(wǎng)管理人員在局域網(wǎng)中設(shè)置好所有主機(jī)的網(wǎng)絡(luò)路由，確保IP 地址能到達(dá)合法的路徑(靜態(tài)配置路由ARP 條目)。注意：使用交換集線器和網(wǎng)橋無法阻止ARP 欺騙。7、定期檢查ARP緩存，防止ARP病毒攻擊。局域網(wǎng)管理的人員應(yīng)該定期用響應(yīng)的IP 包中獲得一個(gè)RARPReverse Address Resolution Protocol，反向地址解析協(xié)議請(qǐng)求, 檢測(cè)ARP 響應(yīng)的真實(shí)性；或者采用網(wǎng)絡(luò)管理軟件進(jìn)行定期輪詢, 檢測(cè)局域網(wǎng)中主機(jī)上的ARP 緩存表；或者使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意：在有使用SNMPSimple Network Mana

12、gement Protocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的情況下，ARP 欺騙有可能導(dǎo)致陷阱包喪失。8、運(yùn)行相關(guān)命令和軟件，查找并切斷局域網(wǎng)中所感染ARP病毒的主機(jī)。首先，在局域網(wǎng)的主機(jī)上運(yùn)行ping命令ping 局域網(wǎng)網(wǎng)關(guān)的IP地址，再運(yùn)行ARP a 命令，檢測(cè)所得到的局域網(wǎng)網(wǎng)關(guān)所對(duì)應(yīng)的MAC地址是否與實(shí)際情況相符，如不符，再去查找與該MAC地址對(duì)應(yīng)的主機(jī)。其次，可以使用常用的抓包工具如：Sniffer軟件，分析所得到的ARP數(shù)據(jù)報(bào)，再利用殺毒軟件或手工方式對(duì)ARP病毒進(jìn)行處理。最后，可以使用常用的MAC地址掃描工具如：Nbtscan來掃描局域網(wǎng)中所有網(wǎng)段的IP地址和MAC地址對(duì)應(yīng)表，從而對(duì)感染AR

13、P病毒的主機(jī)所對(duì)應(yīng)MAC地址和IP地址進(jìn)行分析和判斷?；蛘呃镁W(wǎng)絡(luò)流量檢測(cè)軟件或設(shè)備，監(jiān)視局域網(wǎng)的ARP播送包，查看其MAC地址是否正確。利用上述方法查找到局域網(wǎng)中所感染ARP病毒的主機(jī)后，立即斷開該主機(jī)的網(wǎng)絡(luò)連接，并進(jìn)行殺毒和程序修復(fù)等技術(shù)處理。9、加強(qiáng)教育與培訓(xùn)，提高網(wǎng)絡(luò)平安意識(shí)。局域網(wǎng)管理人員結(jié)合當(dāng)前計(jì)算機(jī)、網(wǎng)絡(luò)、病毒等開展趨勢(shì)，定期地進(jìn)行計(jì)算機(jī)、網(wǎng)絡(luò)平安知識(shí)的教育和培訓(xùn)，切實(shí)提高網(wǎng)絡(luò)平安意識(shí)。如：不要輕易下載、使用盜版、存在平安隱患的程序和軟件；不要隨便翻開來歷不明的電子郵件，尤其是電子郵件的附件；不要隨便共享文件和文件夾，以免自己的計(jì)算機(jī)受到病毒的侵入。結(jié)束語：因?yàn)锳RP病毒欺騙利用的是ARP協(xié)議本身的缺陷，而且到目前為止，還沒有某一個(gè)方法徹底解決和完全控制ARP病毒欺騙攻擊。而且，防范ARP病毒欺騙漏洞的各類攻擊也