ＡＲＰ病毒攻擊技術(shù)分析與防御

[摘要] 本文詳細(xì)分析了ARP協(xié)議以及實(shí)現(xiàn)ARP攻擊的原理，列舉了ARP病毒的各種常見(jiàn)現(xiàn)象，并給出了具體的防御方法。

[關(guān)鍵詞] ARP協(xié)議 ARP病毒 分析 防御

一、ARP協(xié)議及攻擊原理分析

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫(xiě)，局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢(xún)目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。

每個(gè)主機(jī)都用一個(gè)ARP高速緩存存放最近IP地址到MAC硬件地址之間的映射記錄。MS Windows高速緩存中的每一條記錄（條目）的生存時(shí)間一般為60秒，起始時(shí)間從被創(chuàng)建時(shí)開(kāi)始算起。在命令提示符下，輸入“arp -a”就可以查看ARP緩存表中的內(nèi)容；用“arp -d”命令可以刪除ARP表中某一行的內(nèi)容；用“arp -s”可以手動(dòng)在ARP表中指定IP地址與MAC地址的對(duì)應(yīng)。默認(rèn)情況下，ARP從緩存中讀取IP-MAC條目，緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動(dòng)態(tài)變化的。因此，只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，即會(huì)更新ARP高速緩存中的IP-MAC條目。攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和 MAC地址存儲(chǔ)在ARP緩存中。因此，B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來(lái)應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存（A可不知道被偽造了）。當(dāng)攻擊源大量向局域網(wǎng)中發(fā)送虛假的ARP信息后，就會(huì)造成局域網(wǎng)中的機(jī)器ARP緩存的崩潰。

二、ARP病毒現(xiàn)象

1.網(wǎng)上銀行、游戲及QQ賬號(hào)的頻繁丟失

一些人為了獲取非法利益，利用ARP欺騙程序在網(wǎng)內(nèi)進(jìn)行非法活動(dòng)，此類(lèi)程序的主要目的在于破解賬號(hào)登陸時(shí)的加密解密算法，通過(guò)截取局域網(wǎng)中的數(shù)據(jù)包，然后以分析數(shù)據(jù)通訊協(xié)議的方法截獲用戶(hù)的信息。運(yùn)行這類(lèi)木馬病毒，就可以獲得整個(gè)局域網(wǎng)中上網(wǎng)用戶(hù)賬號(hào)的詳細(xì)信息并盜取。當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶(hù)會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶(hù)已經(jīng)登陸了游戲服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假象，那么用戶(hù)就得重新登錄游戲服務(wù)器，這樣病毒主機(jī)就可以盜號(hào)了。

2.局域網(wǎng)內(nèi)頻繁性地區(qū)域或整體掉線，重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

當(dāng)帶有ARP欺騙程序的計(jì)算機(jī)在網(wǎng)內(nèi)進(jìn)行通訊時(shí)，就會(huì)導(dǎo)致頻繁掉線，出現(xiàn)此類(lèi)問(wèn)題后重啟計(jì)算機(jī)或禁用網(wǎng)卡會(huì)暫時(shí)解決問(wèn)題，但掉線情況還會(huì)發(fā)生。

3.網(wǎng)速時(shí)快時(shí)慢，極其不穩(wěn)定，但單機(jī)進(jìn)行光纖數(shù)據(jù)測(cè)試時(shí)一切正常

當(dāng)局域內(nèi)的某臺(tái)計(jì)算機(jī)被ARP的欺騙程序非法侵入后，它就會(huì)持續(xù)地向網(wǎng)內(nèi)所有的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送大量的非法ARP欺騙數(shù)據(jù)包， 阻塞網(wǎng)絡(luò)通道，造成網(wǎng)絡(luò)設(shè)備的承載過(guò)重，導(dǎo)致網(wǎng)絡(luò)的通訊質(zhì)量不穩(wěn)定。用戶(hù)會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢或時(shí)常斷線。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶(hù)會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶(hù)會(huì)再斷一次線。

三、防御方法

1.使用可防御ARP攻擊的三層交換機(jī)，綁定端口MAC-IP，限制ARP流量，及時(shí)發(fā)現(xiàn)并自動(dòng)阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

2.查找病毒源，對(duì)病毒源頭的機(jī)器進(jìn)行處理，殺毒或重新安裝系統(tǒng)。解決了ARP攻擊的源頭PC機(jī)的問(wèn)題，可以保證內(nèi)網(wǎng)免受攻擊。

3.對(duì)于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò)，進(jìn)行Internet訪問(wèn)控制，限制用戶(hù)對(duì)網(wǎng)絡(luò)的訪問(wèn)。此類(lèi)ARP攻擊程序一般都是從Internet下載到用戶(hù)終端，如果能夠加強(qiáng)用戶(hù)上網(wǎng)的訪問(wèn)控制，就能極大的減少該問(wèn)題的發(fā)生。

4.關(guān)閉一些不需要的服務(wù)，條件允許的可關(guān)閉一些沒(méi)有必要的共享，也包括、等管理共享。完全單機(jī)的用戶(hù)也可直接關(guān)閉Server服務(wù)。

5.經(jīng)常更新殺毒軟件（病毒庫(kù)），設(shè)置允許的可設(shè)置為每天定時(shí)自動(dòng)更新。安裝并使用網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻在防病毒過(guò)程中也可以起到至關(guān)重要的作用，能有效地阻擋自來(lái)網(wǎng)絡(luò)的攻擊和病毒的入侵。

6.給系統(tǒng)安裝補(bǔ)丁程序，通過(guò)Windows Update安裝好系統(tǒng)補(bǔ)丁程序(關(guān)鍵更新、安全更新和Service Pack)。

參考文獻(xiàn)：

[1]周增國(guó):局域網(wǎng)絡(luò)環(huán)境下ARP欺騙攻擊及安全防范策略[J]. 計(jì)算機(jī)與信息技術(shù)， 2006，(11)

[2]陳英馬洪濤:局域網(wǎng)內(nèi)ARP協(xié)議攻擊及解決辦法[J].中國(guó)安全科學(xué)學(xué)報(bào)，2007，(07)

[3]張道軍吳銀芳袁海峰:校園網(wǎng)絡(luò)中ARP病毒的綜合治理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2007，(09)

[4]唐秀存王國(guó)欣:基于ARP欺騙內(nèi)網(wǎng)滲透和防范[J].計(jì)算機(jī)與信息技術(shù)， 2007，(04)