基于局域網(wǎng)的ＡＲＰ病毒的分析與防御

[摘 要] 本文針對目前網(wǎng)絡(luò)中存在的ARP病毒，通過分析ARP協(xié)議以及ARP病毒實(shí)現(xiàn)攻擊的原理，列舉了ARP病毒的各種常見現(xiàn)象，并給出了具體的防御方法。

[關(guān)鍵詞] ARP協(xié)議 ARP病毒 IP地址

隨著計(jì)算機(jī)技術(shù)和Internet技術(shù)的不斷推廣應(yīng)用， 網(wǎng)絡(luò)逐漸成為人們?nèi)粘Ｉ钪胁豢扇鄙俚牟糠帧Ｍㄟ^網(wǎng)絡(luò)人們可以完成瀏覽信息、收發(fā)郵件、遠(yuǎn)程信息管理、與外界進(jìn)行電子商務(wù)交易等活動。但是由于網(wǎng)絡(luò)的開放性、資源的共享性、聯(lián)結(jié)形式的多樣性、終端分布的不均勻性以及網(wǎng)絡(luò)邊界的不可知性， 網(wǎng)絡(luò)中必然存在眾多潛在的安全隱患。近年來， 針對網(wǎng)絡(luò)的攻擊也在不斷增加， 其中利用 ARP 協(xié)議漏洞對網(wǎng)絡(luò)進(jìn)行攻擊就是其中的一種重要方式。

一、ARP病毒現(xiàn)象

1.局域網(wǎng)內(nèi)頻繁性地區(qū)域或整體掉線，重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常。

當(dāng)帶有 ARP欺騙程序的計(jì)算機(jī)在網(wǎng)內(nèi)進(jìn)行通訊時，就會導(dǎo)致頻繁掉線。出現(xiàn)此類問題后重啟計(jì)算機(jī)或禁用網(wǎng)卡會暫時解決問題，但掉線情況還會發(fā)生。

2.網(wǎng)速時快時慢，極其不穩(wěn)定，但單機(jī)進(jìn)行光纖數(shù)據(jù)測試時一切正常。

當(dāng)局域內(nèi)的某臺計(jì)算機(jī)被ARP的欺騙程序非法侵入后，它就會持續(xù)地向網(wǎng)內(nèi)所有的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送大量的非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道。造成網(wǎng)絡(luò)設(shè)備的承載過重，導(dǎo)致網(wǎng)絡(luò)的通訊質(zhì)量不穩(wěn)定。用戶會感覺上網(wǎng)速度越來越慢或時常斷線。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。

二、ARP病毒攻擊方式

1.中間人攻擊。中間人攻擊就是攻擊者將自己的主機(jī)插入兩個目標(biāo)主機(jī)通信路徑之間，使他的主機(jī)如同兩個目標(biāo)主機(jī)通信路徑上的一個中繼，這樣攻擊者就可以監(jiān)聽兩個目標(biāo)主機(jī)之間的通信。

2.拒絕服務(wù)攻擊。拒絕服務(wù)攻擊就是使目標(biāo)主機(jī)不能響應(yīng)外界請求，從而不能對外提供服務(wù)的攻擊方法。

3.克隆攻擊。攻擊者首先對目標(biāo)主機(jī)實(shí)施拒絕服務(wù)攻擊，使其不能對外界作出任何反應(yīng)。然后攻擊者就可以將自己的IP與MAC地址分別改為目標(biāo)主機(jī)的IP與MAC地址，這樣攻擊者的主機(jī)變成了與目標(biāo)主機(jī)一樣的副本。

三、ARP病毒攻擊原理

ARP欺騙的核心思想就是向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答，并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP地址與MAC地址之間的映射對，以此更新目標(biāo)主機(jī)ARP緩存。下面就在理論上說明實(shí)施ARP欺騙的過程S代表源主機(jī)，也就是將要被欺騙的目標(biāo)主機(jī);D代表目的主機(jī)，源主機(jī)本來是向它發(fā)送數(shù)據(jù);A代表攻擊者，進(jìn)行ARP欺騙。

進(jìn)一步假設(shè)A已知的D的IP地址，于是他暫時將自己的IP地址改為D的IP地址。當(dāng)S想要向D發(fā)送數(shù)據(jù)時，假設(shè)目前他的ARP緩存中沒有關(guān)于D的記錄，那么他首先在局域網(wǎng)中廣播包含的D的IP地址的ARP請求。但此時A具有與D相同的IP地址，于是分別來自A與D的ARP響應(yīng)報文將相繼到達(dá)S。此時，A是否能夠欺騙成功就取決于S的操作系統(tǒng)處理重復(fù)ARP響應(yīng)報文的機(jī)制。不妨假設(shè)該機(jī)制總是用后到達(dá)的ARP響應(yīng)中的地址刷新緩存中的內(nèi)容。那么如果A控制自己的ARP響應(yīng)晚于D的ARP響應(yīng)到達(dá)S，S就會將如下偽造映射:D的IP地址 → A的MAC地址，保存在自己的ARP緩存中。在這個記錄過期之前，凡是S發(fā)送給D的數(shù)據(jù)實(shí)際上都將發(fā)送給A。而S卻毫不察覺?；蛘逜在上述過程中，利用其它方法直接抑制來自D的ARP應(yīng)答將是一個更有效的方法而不用依賴于不同操作系統(tǒng)的處理機(jī)制。進(jìn)一步，A可不依賴于上述過程，直接在底層偽造ARP響應(yīng)報文來達(dá)到同樣的目的。

四、ARP病毒防御方法

1.使用可防御ARP攻擊的三層交換機(jī)，綁定端 口MAC-IP。限制ARP流量，及時發(fā)現(xiàn)并自動阻斷ARP攻擊端口。合理劃分VLAN。徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

2.查找病毒源，對病毒源頭的機(jī)器進(jìn)行處理，殺毒或重新安裝系統(tǒng)。解決了ARP攻擊的源頭PC機(jī)的問題 ，可以保證內(nèi)網(wǎng)免受攻擊。

3.對于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò)，進(jìn)行Internet訪問控制，限制用戶對網(wǎng)絡(luò)的訪問。此類ARP攻擊程序一般都是從Internet下載到用 戶終端。如果能夠加強(qiáng)用戶上網(wǎng)的訪問控制，就能極大的減少該問題的發(fā)生。

4.關(guān)閉一些不需要的服務(wù)。條件允許的可關(guān)閉一些沒有必要的共享，也包括C$、D$等管理共享。完全單機(jī)的用戶也可直接關(guān)閉 Server服務(wù)。

5.經(jīng)常更新殺毒軟件 (病毒庫 )。設(shè)置允許的可設(shè)置為每天定時自動更新，安裝并使用網(wǎng)絡(luò)防火墻軟件。

6.給系統(tǒng)安裝補(bǔ)丁程序 .通過Windows Update安裝好系統(tǒng)補(bǔ)丁程序。

五、結(jié)束語

由于 ARP 協(xié)議制定時間比較早，當(dāng)時對這些協(xié)議缺陷考慮不周， 使得 ARP 攻擊的破壞性比較大，但其也有局限性，比如ARP攻擊只局限在本地網(wǎng)絡(luò)環(huán)境中。最根本的解決措施就是使用 IPv6協(xié)議， 因?yàn)樵?IPv6 定義了鄰機(jī)發(fā)現(xiàn)協(xié)議(NDP)， 把 ARP 納入 NDP 并運(yùn)行于因特網(wǎng)控制報文協(xié)議(ICMP)上， 使 ARP 更具有一般性， 包括更多的內(nèi)容，而且不用為每種鏈路層協(xié)議定義一種ARP。

參考文獻(xiàn):

[1]W Richard Stevens著 范建華譯:TCP/IP詳解(卷1)[M].北京:機(jī)械工業(yè)出版社，2000; 4

[2]王 燕 張新剛:基于ARP協(xié)議的攻擊及其防御方法分析[J].微計(jì)算機(jī)信息2007; 23(36)

[3]陳 英 馬洪濤:局域網(wǎng)內(nèi)ARP協(xié)議攻擊及解決辦法[J].中國安全科學(xué)學(xué)報2007; 17 (07)