淺談ARP病毒攻擊技術(shù)與防御策略

李 瑩

鐵嶺市信息工程學(xué)校

淺談ARP病毒攻擊技術(shù)與防御策略

李 瑩

鐵嶺市信息工程學(xué)校

本文主要對ARP病毒進行了分析，并根據(jù)一些我校網(wǎng)絡(luò)管理的經(jīng)驗提出了一些具體的防范措施，來應(yīng)對ARP病毒欺騙和攻擊。

ARP病毒，ARP病毒攻擊，防范措施

ARP攻擊近年來十分普遍，而且ARP地址欺騙技術(shù)已經(jīng)被越來越多的病毒所采用，并成為病毒發(fā)展的主要趨勢，如何防范ARP攻擊越來越受到人們的重視。

一、ARP病毒原理分析

ARP協(xié)議就是地址解析協(xié)議，用于將計算機的網(wǎng)絡(luò)IP地址轉(zhuǎn)化為物理MAC地址，ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。在網(wǎng)絡(luò)中，一臺主機要與另一臺主機進行直接通信，必須要知道目標(biāo)主機的MAC地址，但這個目標(biāo)的MAC地址就是通過地址解析協(xié)議獲得的。所以地址解析協(xié)議就是主機在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信正常進行。

二、ARP的主要欺騙和攻擊方式

1、ARP欺騙

網(wǎng)絡(luò)欺騙是黑客常用的攻擊手段之一，網(wǎng)絡(luò)ARP欺騙分為兩種：一種是對路由器ARP表的欺騙，另一種是對內(nèi)網(wǎng)主機的網(wǎng)關(guān)欺騙。前一種欺騙的原理是攻擊者通過截獲分析網(wǎng)關(guān)數(shù)據(jù)，并通知路由器一系列錯誤的內(nèi)網(wǎng)IP地址和MAC地址的映射，按照一定的頻率不斷進行使真實的地址信息映射無法通過更新保存在路由器中，結(jié)果路由器轉(zhuǎn)發(fā)數(shù)據(jù)到錯誤的MAC地址的主機，造成正常主機無法收到信息；后一種ARP欺騙的原理是偽造網(wǎng)關(guān)，它的原理是把真實網(wǎng)關(guān)的IP地址映射到錯誤的MAC地址，這樣主機在向網(wǎng)關(guān)發(fā)送數(shù)據(jù)時，不能夠到達(dá)真正的網(wǎng)關(guān)，如果假網(wǎng)關(guān)不能上網(wǎng)，那么真實的主機通過假網(wǎng)關(guān)也不能上網(wǎng)。

2、中間人攻擊

按照ARP協(xié)議的設(shè)計，一臺主機即使收到的ARP應(yīng)答并非自身請求得到的，也會將其IP地址和MAC地址的對應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為ARP欺騙創(chuàng)造了條件。

三、ARP地址欺騙攻擊者的定位

1、主動定位方式

因為所有的ARP攻擊源都會有其特征，網(wǎng)卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺機器的網(wǎng)卡是處于混雜模式，從而判斷這臺機器有可能就是“元兇”。

2、被動定位方式

在局域網(wǎng)發(fā)生ARP攻擊時，查看交換機的動態(tài)ARP表中的內(nèi)容，確定攻擊源的MAC地址；也可以在局域網(wǎng)中部署Sniffer工具，定位ARP攻擊源的MAC.。

四、ARP攻擊的主要防范措施

1、IP地址和MAC地址的靜態(tài)綁定

（1）在用戶端進行綁定

ARP欺騙是通過ARP的動態(tài)刷新，并不進行驗證的漏洞來欺騙內(nèi)網(wǎng)主機的，所以我們把ARP表全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)的欺騙，也就是在用戶端實施IP和MAC地址綁定，可以在用戶主機上建立一個批處理文件，此文件內(nèi)容是綁定內(nèi)網(wǎng)主機IP地址和MAC地址，并包括網(wǎng)關(guān)主機的IP地址和MAC地址的綁定，并把此批處理文件放到系統(tǒng)的啟動目錄下，是系統(tǒng)每次重新啟動后，自動運行此文件，自動生成內(nèi)網(wǎng)主機IP地址和MAC地址的映射表。這種方法使用于小型的網(wǎng)絡(luò)中。

（2）在交換機上綁定

在核心交換機上綁定核心用戶主機IP地址和MAC地址，同時在邊緣交換機上將用戶計算機網(wǎng)卡的IP地址和交換機端口綁定的雙重綁定方式。這樣可以極大程度上避免非法用戶使用ARP欺騙和盜用合法的IP地址。

2、采用VLAN技術(shù)隔離端口

局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)需要，將本單位網(wǎng)絡(luò)規(guī)劃處若干個VLAN，當(dāng)發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò)，或合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時，網(wǎng)絡(luò)管理員可先找到該用戶所在交換機端口，然后將該端口劃一個單獨的VLAN,將該用戶與其他用戶隔離，以避免對其他用戶造成影響。

3、防火墻和殺毒軟件

可以安裝ARP防火墻或者開啟局域網(wǎng)ARP防護，比如360安全衛(wèi)士等ARP病毒專殺工具，并且實時下載安裝系統(tǒng)漏洞補丁，關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。

總之，網(wǎng)絡(luò)安全領(lǐng)域沒有任何一種手段是萬無一失的，對于各種網(wǎng)絡(luò)攻擊，要經(jīng)常查看當(dāng)前的網(wǎng)絡(luò)狀態(tài)，采用積極主動的防御措施，使ARP病毒的危害減少到最小程度。網(wǎng)絡(luò)管理員也要不斷的提高自身技術(shù)水平，確保網(wǎng)絡(luò)安全的正常運行。

1、馬軍，王巖ARP協(xié)議攻擊及其解決方案信息安全，2006.05