淺談ARP病毒在局域網(wǎng)中的分析處理及防御

ARP病毒在局域網(wǎng)中的

分析處理及防御精選課件

本文將對(duì)局域網(wǎng)中發(fā)生的ARP病毒故障現(xiàn)象及故障診斷進(jìn)行介紹，同時(shí)介紹ARP協(xié)議的工作原理及常見(jiàn)的ARP病毒的攻擊方式，以及如何處理和防御ARP病毒攻擊的方法，以達(dá)到全面防御維護(hù)局域網(wǎng)網(wǎng)絡(luò)安全的目的。

關(guān)鍵詞：地址解析協(xié)議，ARP欺騙，網(wǎng)絡(luò)安全

精選課件目錄

一、ARP病毒的故障現(xiàn)象四、ARP病毒的故障診斷二、ARP協(xié)議的工作原理三、ARP病毒攻擊方式五、ARP病毒的故障處理六、預(yù)防措施精選課件

我們知道，當(dāng)我們?cè)跒g覽器里面輸入網(wǎng)址時(shí)，DNS服務(wù)器會(huì)自動(dòng)把它解析為IP地址，瀏覽器實(shí)際上查找的是IP地址而不是網(wǎng)址。那么IP地址是如何轉(zhuǎn)換為第二層物理地址（即MAC地址）的呢？在局域網(wǎng)中，這是通過(guò)ARP協(xié)議來(lái)完成的。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使網(wǎng)絡(luò)阻塞。精選課件一、ARP病毒的故障現(xiàn)象ARP病毒現(xiàn)象表現(xiàn)為：計(jì)算機(jī)網(wǎng)絡(luò)連接正常，網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，無(wú)法PING通網(wǎng)關(guān)的IP地址、但可以PING通自己的IP地址，上網(wǎng)時(shí)會(huì)突然掉線，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。比如出現(xiàn)用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)等現(xiàn)象。重啟電腦或在MS-DOS窗口下運(yùn)行命令arp-d后，又可恢復(fù)上網(wǎng)。精選課件二、ARP協(xié)議的工作原理1、什么是ARP協(xié)議IP數(shù)據(jù)包常通過(guò)以太網(wǎng)發(fā)送。以太網(wǎng)設(shè)備并不識(shí)別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此，必須把目的IP地址轉(zhuǎn)換成目的MAC地址。在這兩種地址之間存在著某種對(duì)應(yīng)的映射，常常需要查看一張表。地址解析協(xié)議(AddressResolutionProtocol，ARP)就是用來(lái)確定這些映像的協(xié)議。在局域網(wǎng)中，就是通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。這個(gè)目標(biāo)MAC地址是通過(guò)地址解析協(xié)議即ARP協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。精選課件每臺(tái)安裝有TCP/IP協(xié)議的計(jì)算機(jī)主機(jī)里都有一個(gè)ARP緩存表，表中的IP地址MAC地址是一一對(duì)應(yīng)的，如表1所示：表1地址解析協(xié)議緩存地址表值得注意的一點(diǎn)是：ARP緩存表采用了一種老化機(jī)制，在一定的時(shí)間內(nèi)如果某一條記錄沒(méi)有被使用過(guò)就會(huì)被刪除。這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。主機(jī)IP地址MAC地址A192.168.1.1

AA-AA-AA-AA-AA-AAB192.168.1.2BB-BB-BB-BB-BB-BBC192.168.1.3CC-CC-CC-CC-CC-CC精選課件2、什么是ARP欺騙ARP欺騙是一種利用計(jì)算機(jī)病毒使計(jì)算機(jī)網(wǎng)絡(luò)無(wú)法正常運(yùn)行的計(jì)算機(jī)攻擊手段。包括進(jìn)行對(duì)主機(jī)發(fā)動(dòng)IP沖突攻擊、數(shù)據(jù)包轟炸，切斷局域網(wǎng)上任何一臺(tái)主機(jī)的網(wǎng)絡(luò)連接等。主要有以盜取數(shù)據(jù)為主要目的的ARP欺騙攻擊，感染的計(jì)算機(jī)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。

ARP的攻擊問(wèn)題影響很大，局域網(wǎng)內(nèi)一旦有ARP的攻擊存在，會(huì)欺騙局域網(wǎng)內(nèi)所有的主機(jī)和網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過(guò)ARP攻擊者控制的主機(jī)。其它用戶原來(lái)直接通過(guò)網(wǎng)關(guān)上網(wǎng)，現(xiàn)在卻轉(zhuǎn)由通過(guò)被控主機(jī)轉(zhuǎn)發(fā)上網(wǎng)。由于被控主機(jī)性能和程序性能的影響，這種轉(zhuǎn)發(fā)并不會(huì)非常流暢，因此就會(huì)導(dǎo)致用戶上網(wǎng)的速度變慢甚至頻繁斷線。另外ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)網(wǎng)絡(luò)擁塞以及其自身處理能力的限制，用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)無(wú)法上網(wǎng)，嚴(yán)重的可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。

精選課件3、ARP協(xié)議的工作原理

首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè)ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒(méi)有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包，查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。

。

精選課件網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址；源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開(kāi)始數(shù)據(jù)的傳輸。精選課件三、ARP病毒攻擊方式

從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP攻擊分為兩種，一種是ARP泛洪；另一種是ARP欺騙。ARP泛洪：受ARP病毒感染的主機(jī)不斷向本地網(wǎng)絡(luò)內(nèi)其他主機(jī)發(fā)送大量的錯(cuò)誤ARP應(yīng)答報(bào)文，導(dǎo)致受攻擊主機(jī)的ARP表中的真實(shí)的ARP條目被刷新掉。因?yàn)殄e(cuò)誤的ARP條目占用了整個(gè)ARP表。所以，受攻擊主機(jī)就不能完成正確的二層尋址，也就不能實(shí)現(xiàn)Internet的訪問(wèn)。這種攻擊的現(xiàn)象是，受攻擊主機(jī)即不能訪問(wèn)本地網(wǎng)絡(luò)，也不能訪問(wèn)外部網(wǎng)絡(luò)。精選課件

ARP欺騙：受ARP病毒感染的主機(jī)偽造IP地址為網(wǎng)關(guān)地址，MAC地址為本機(jī)MAC地址的虛假ARP應(yīng)答報(bào)文發(fā)送給本地網(wǎng)絡(luò)內(nèi)的主機(jī)，以刷新受攻擊主機(jī)的正確的網(wǎng)關(guān)的ARP條目，誘使受攻擊主機(jī)將原本發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包發(fā)送到感染ARP病毒的主機(jī)上。攻擊者通常利用這種方法來(lái)竊取被攻擊者的數(shù)據(jù)包中的信息。這種攻擊的現(xiàn)象是，受攻擊主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，但是訪問(wèn)本地網(wǎng)絡(luò)時(shí)不受影響。

精選課件四、ARP病毒的故障診斷

如果用戶發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)連接正常，網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，頻繁斷網(wǎng)。可以通過(guò)如下操作進(jìn)行診斷：點(diǎn)擊“開(kāi)始”按鈕

選擇“運(yùn)行”輸入cmd再輸入“arp

-d”->點(diǎn)擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說(shuō)明此次掉線可能是受ARP欺騙所致。

注：可以先用arp

-a命令查看一下，再用arp

-d清除主機(jī)arp表。主機(jī)的arp表被清空。如果這時(shí)可以正常上網(wǎng)，過(guò)一段時(shí)間又不能上網(wǎng)，再重復(fù)前面的過(guò)程又可以上網(wǎng)。則說(shuō)明受到ARP攻擊。精選課件五、ARP病毒的故障處理（一）、從交換機(jī)上進(jìn)行IP地址與MAC地址綁定設(shè)置

從交換機(jī)的角度，可以使用命令進(jìn)行IP地址和MAC地址的綁定。以中興ZXR10解決方案為例，中興ZXR10在交換機(jī)上提供IP地址和MAC地址的綁定功能，并建立綁定關(guān)系。在進(jìn)行ARP綁定前首先要確定網(wǎng)絡(luò)是正常運(yùn)行的，然后再進(jìn)行ARP綁定設(shè)置。這樣可以有效地提高網(wǎng)絡(luò)安全性和穩(wěn)定性。

當(dāng)更換電腦網(wǎng)卡時(shí)要更新靜態(tài)ARP映射表。否則由于更換了網(wǎng)卡的主機(jī)的MAC地址與ARP表中的不一致，也會(huì)導(dǎo)致無(wú)法上網(wǎng)，應(yīng)相應(yīng)的給予修改。精選課件精選課件（二）、從客戶端主機(jī)進(jìn)行ARP綁定設(shè)置處理方法

步驟一：在能上網(wǎng)的時(shí)候點(diǎn)擊“開(kāi)始”按鈕選擇“運(yùn)行”輸入cmd輸入“arp

-a”則會(huì)顯示網(wǎng)關(guān)的正確MAC地址和IP地址（記錄下來(lái)為以后查殺ARP病毒做準(zhǔn)備）。如果不能上網(wǎng)，則先運(yùn)行一次“arp

-d”，將arp緩存中的內(nèi)容清空，計(jì)算機(jī)可暫時(shí)上網(wǎng)。

步驟二：已經(jīng)有網(wǎng)關(guān)正確的MAC地址和IP地址，手工將MAC地址和IP地址綁定，計(jì)算機(jī)可以免受ARP攻擊的干擾。手工綁定可在MS-DOS下運(yùn)行以下命令：“arp

-s網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAC地址”例如：在運(yùn)行中輸入cmd輸入“arp

-a”命令，則會(huì)顯示局域網(wǎng)網(wǎng)關(guān)的IP地址和MAC地址，如下圖：

InternetAddressPhysicalAddressType60.2.11.100-19-C6-07-5A-21dynamicI（動(dòng)態(tài)）精選課件精選課件

那么手工綁定的命令為：“arp

-s60.2.11.1

00-19-C6-07-5A-21”（注意要寫自己局域網(wǎng)網(wǎng)關(guān)的IP地址和MAC地址）。綁定完可再用“arp

-a”命令查看arp緩存表，則會(huì)發(fā)現(xiàn)網(wǎng)關(guān)類型變成了靜態(tài)：

InternetAddressPhysicalAddressType

60.2.11.100-19-C6-07-5A-21static（靜態(tài)）精選課件精選課件

但是，需要說(shuō)明的是手工綁定在計(jì)算機(jī)關(guān)機(jī)重開(kāi)機(jī)后就會(huì)失效，需要再綁定。我們可以編寫一個(gè)批處理文件，放到啟動(dòng)項(xiàng)中，這樣每次開(kāi)機(jī)都會(huì)運(yùn)行這個(gè)程序，可以防止arp攻擊。請(qǐng)按照以下步驟操作：

1)編寫一個(gè)批處理文件arp.bat內(nèi)容如下：如圖所示：

@echooff

arp-d

arp-s60.2.11.1

00-19-C6-07-5A-21精選課件將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。精選課件精選課件

2）保存文件夾（自啟動(dòng)文件夾）：C:\DocumentsandSettings\AllUsers\「開(kāi)始」菜單\程序\啟動(dòng)(注意,一定是AllUsers目錄下)

3）重起計(jì)算機(jī)

4）操作完成后可以看到:桌面→開(kāi)始菜單→所有程序→啟動(dòng)→arp.bat，切記不要?jiǎng)h!注：此方法要是換網(wǎng)段的話要重新設(shè)置。所以要徹底消除攻擊則要找出被病毒感染的計(jì)算機(jī)，殺除arp病毒，方可解決。精選課件（三）、找出受病毒感染的計(jì)算機(jī)并查殺病毒

目前關(guān)于ARP類的防護(hù)軟件出的比較多，結(jié)合使用軟件可以找到受病毒感染計(jì)算機(jī)的MAC地址和IP地址，也就找到了該計(jì)算機(jī)。

AntiArpSniffer是一款檢測(cè)網(wǎng)絡(luò)內(nèi)存在ARP木馬欺騙的工具。當(dāng)懷疑網(wǎng)絡(luò)內(nèi)存在ARP木馬時(shí)，可使用此工具來(lái)進(jìn)行自我保護(hù)。或者設(shè)置為自動(dòng)運(yùn)行，可以免受ARP欺騙木馬的感染。網(wǎng)絡(luò)內(nèi)存在ARP欺騙木馬時(shí)的癥狀通常如下：物理網(wǎng)絡(luò)正常的情況下，網(wǎng)絡(luò)不穩(wěn)定，上網(wǎng)時(shí)斷時(shí)續(xù)?；蛘呤峭蝗徊荒苓B接互連網(wǎng)。這時(shí)您可以使用AntiArpSniffer來(lái)進(jìn)行自我保護(hù)。更深入一步，也可以檢測(cè)到感染ARP欺騙木馬的主機(jī)地址和MAC地址，這時(shí)我們可以和網(wǎng)管人員一起來(lái)找出病源，專門針對(duì)該機(jī)器進(jìn)行病毒的查殺。首先要升級(jí)防病毒軟件的病毒定義碼，使得防病毒軟件的病毒庫(kù)為最新。然后斷開(kāi)網(wǎng)線，查殺病毒。精選課件精選課件六、預(yù)防措施：機(jī)器被感染病毒，主要是防范意識(shí)薄弱，即使你的機(jī)器現(xiàn)在清除了該病毒，但以后仍然會(huì)感染新的病毒（包括該病毒變種及其他病毒）。為了有效防范來(lái)自病毒、黑客的網(wǎng)絡(luò)攻擊，要養(yǎng)成良好的使用習(xí)慣。1、不要隨便點(diǎn)擊打開(kāi)QQ、MSN等聊天工具上發(fā)來(lái)的鏈接信息，不要隨便