基于局域网的ARP病毒的分析与防御

摘要:本文针对目前网络中存在的ARP病毒,通过分析ARP协议以及ARP病毒实现攻击的原理,列举了ARP病毒的各种常见现象,并给出了具体的防御方法。

关键词:ARP协议 ARP病毒 IP地址

0 引言

随着计算机信息技术和互联网技术的飞速发展,网络已经成为社会经济发展的主要推动力量,人们对网络也越来越依赖。由于计算机互联网追求的是高流通性、高开放性,所以不可避免的会牺牲掉一部分安全性,这就是网络上的计算机系统容易受恶意软件等网络不安定因素的攻击的根本原因。在众多的网络攻击手段中,ARP病毒是这些年比较常见的一种。

ARP病毒并不是某一种病毒的名称,而是对利用ARP协议的漏洞进行传播的一类病毒的总称。ARP协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。

1 ARP病毒攻击方式

1.1 中间人攻击。所谓的中间人攻击,是一种全新的网络攻击手段和方式,利用TCP/IP协议中ARP协议中的漏洞,运用特殊的技术手段,攻击者巧妙的将自己的主机插入两个目标主机之间,占据二者的通信路径,如此布置,攻击者的主机便以中继服务器的身份占据了二者的通信路径,运用这种巧妙的手段,攻击者就可以任意的对两个目标主机进行监控,甚至是对两个目标主机之间的通信情况进行监控,这样目标主机就毫无隐私和秘密可言了,更丝毫没有安全保障。

1.2 拒绝服务攻击。拒绝服务攻击是利用TCP/IP协议设计中的缺陷,发送大量伪造的TCP连接请求,迫使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。然后迫使服务器停在资源的贡献和访问服务,这是一种黑客经常使用的网络攻击手段。

1.3 克隆攻击。攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应。然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址,这样攻击者的主机变成了与目标主机一样的副本。

2 ARP病毒攻击原理

ARP欺骗的核心思想就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。伪造IP地址和MAC地址,进而实现ARP欺骗。下面就在理论上说明实施ARP欺骗的过程。S代表源主机;D代表目的主机;A代表攻击者,进行ARP欺骗。

S要向主机D发送报文,会查询本地的ARP缓存表,找到D的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播S一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机D回答物理地址Pb。网上所有主机包括D都收到ARP请求,但只有主机S识别自己的IP地址,于是向A主机发回一个ARP响应报文。

假设A已知的D的IP地址,于是他暂时将自己的IP地址改为D的IP地址。当S想要向D发送数据时,假设目前他的ARP缓存中没有关于D的记录,那么他首先在局域网中广播包含的D的IP地址的ARP请求。但此时A具有与D相同的IP地址,于是分别来自A与D的ARP响应报文将相继到达S。此时,A是否能够欺骗成功就取决于S的操作系统处理重复ARP响应报文的机制。不妨假设该机制总是用后到达的ARP响应中的地址刷新缓存中的内容。那么如果A控制自己的ARP响应晚于D的ARP响应到达S,S就会将如下伪造映射:D的IP地址→A的MAC地址,保存在自己的ARP缓存中。

3 ARP病毒防御方法

3.1 使用可防御ARP攻击的三层交换机,绑定端口MAC-IP。限制ARP流量,及时发现并自动阻断ARP攻击端口。合理划分VLAN。彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。

3.2 查找病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。

3.3 对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。

3.4 关闭一些不需要的服务。条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭 Server服务。

3.5 如果你发现系统中有一个错误记录或者写入,可以使用arp -d host_entry.来删除,或者等待自动过期的时候,由系统删除。

4 结束语

由于计算机互联网追求的是高流通性、高开放性,所以不可避免的会牺牲掉一部分安全性,这就是网络上的计算机系统容易受恶意软件等网络不安定因素的攻击的根本原因。而由于ARP协议是TCP/IP协议组的一个协议,而TCP/IP协议制定的时间很长,有些技术已经不适应现实的发展,存在的缺陷众多,为了根本的解决这个问题,我们需要将TCP/IP协议进行改进,甚至可以寻找其他更加合理的协议进行替代。

参考文献:

[1]W.Richard.Stevens著.范建华译:TCP/IP详解(卷1)[M].北京.机械工业出版社.2000.4.

[2]王燕,张新刚.基于ARP协议的攻击及其防御方法分析[J].微计算机信息2007.23(36)

[3]陈英,马洪涛.局域网内ARP协议攻击及解决办法[J].中国安全科学学报2007.17.(07).