ARP病毒攻擊及局域網(wǎng)防范

1、Computer Knowledge and Technology 電腦知識(shí)與技術(shù)網(wǎng)絡(luò)通訊及安全本欄目責(zé)任編輯:馮蕾第7卷第26期(2011年9月ARP 病毒攻擊及局域網(wǎng)防范蔡艷1,蔡豪2,李娜3(1.河南教育學(xué)院信息技術(shù)系,河南鄭州450046;2.長(zhǎng)春工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院,吉林長(zhǎng)春130012;3.華中師范大學(xué)計(jì)算機(jī)系,湖北武漢430079摘要:ARP 協(xié)議由于自身的缺陷,在實(shí)際應(yīng)用當(dāng)中,會(huì)導(dǎo)致ARP 欺騙和ARP 病毒攻擊,給網(wǎng)絡(luò)的安全造成一定的危害。該文分析了ARP 協(xié)議工作原理,展示了ARP 協(xié)議的工作過(guò)程以及協(xié)議存在的漏洞,并分析了ARP 病毒原理和基于ARP 病毒攻擊的實(shí)

2、現(xiàn)過(guò)程;給出了基于ARP 的病毒的局域網(wǎng)防范策略。關(guān)鍵詞:ARP 協(xié)議;ARP 欺騙;MAC ;ARP 病毒中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(201126-6341-03ARP Virus Attack and Prevention for the Local NetworkCAI Yan 1,CAI Hao 2,LI Na 3(1.Information Technology Department,Henan Institute of Education,Zhengzhou 450046,China;2.School of Computer Science

3、and En -gineering,Changchun University of Technology,Changchun 130012.China;3.DepartmentComputer Science,Huazhong Normal Universi -ty,Wuhan 430079,ChinaAbstract:Address Resolution Protocol due to its own shortcomings,which in practice would lead to ARP deception,ARP virus attack and network security

4、.This paper analyzes the working principle of the ARP protocol,demonstrate the working process of the ARP protocol,as well as loopholes in the agreement,an analysis of ARP virus,and the process of ARP virus attacks;this paper also give ARP virus preven -tion strategy for the local area network.Key w

5、ords:address resolution protocol;ARP deception;MAC;ARP virusARP 協(xié)議是“Address Resolution Protocol ”(地址解析協(xié)議的縮寫(xiě)。它工作在TCP/IP 協(xié)議族中網(wǎng)絡(luò)層上,主要是用來(lái)實(shí)現(xiàn)IP 地址和對(duì)應(yīng)設(shè)備的物理地址之間的相互轉(zhuǎn)換,從而達(dá)到通過(guò)IP 地址來(lái)訪問(wèn)網(wǎng)絡(luò)設(shè)備的目的。由于本身存在一些設(shè)計(jì)上的缺陷,網(wǎng)絡(luò)中的非法入侵者利用這些缺陷,通過(guò)篡改IP 與MAC 之間的對(duì)應(yīng)關(guān)系,非法獲取并替換他人的MAC ,以達(dá)到非法監(jiān)聽(tīng)和獲取他人在網(wǎng)絡(luò)上所傳輸?shù)男畔⒌哪康?這種網(wǎng)絡(luò)攻擊方式稱為ARP 病毒入侵。ARP 病毒的出現(xiàn)

6、已經(jīng)成為網(wǎng)絡(luò)攻擊中的一種主要形式,該病毒一般屬于木馬(Trojan病毒,該病毒發(fā)作時(shí)會(huì)向全網(wǎng)段發(fā)送偽造的ARP 數(shù)據(jù)包,干擾網(wǎng)絡(luò)的正常運(yùn)行,因此它的危害比一般病毒嚴(yán)重得多1。本文將通過(guò)對(duì)ARP 病毒的工作原理和攻擊過(guò)程的分析,最后給出相應(yīng)的局域網(wǎng)防范策略。1ARP 協(xié)議工作原理在每臺(tái)主機(jī)上都存在著一張記錄IP 地址與MAC 地址映射關(guān)系的ARP 緩存列表,ARP 的主要操作都是圍繞這張表進(jìn)行。在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中,ARP 的解析過(guò)程可分為同一網(wǎng)段內(nèi)和不同網(wǎng)段間兩種情況進(jìn)行。1.1同一網(wǎng)段內(nèi)的ARP 解析過(guò)程1當(dāng)一臺(tái)主機(jī)要與別的主機(jī)通信時(shí),首先初始化通信請(qǐng)求;當(dāng)該IP 地址確定為本地局域網(wǎng)IP

7、地址時(shí),源主機(jī)通過(guò)查詢本機(jī)ARP 緩存表,判斷是否存在目的IP 地址與MAC 地址映射記錄;如果存在,則直接這個(gè)MAC 地址寫(xiě)入MAC 幀,然后將數(shù)據(jù)發(fā)往目的主機(jī)。2如果本機(jī)ARP 緩存表中沒(méi)有IP 映射的MAC 地址,本機(jī)ARP 進(jìn)程將向局域網(wǎng)內(nèi)廣播發(fā)送一個(gè)封裝了目的IP 地址和源主機(jī)MAC 地址的ARP 請(qǐng)求包,等待目的主機(jī)應(yīng)答。3局域網(wǎng)中所有主機(jī)在收到這個(gè)請(qǐng)求包后,判斷請(qǐng)求包中的目的IP 地址是否與自己的IP 地址一致,如果一致就接收,否則就丟棄此數(shù)據(jù)包;如果主機(jī)接收了該請(qǐng)求包,首先更新自己的ARP 緩存表,將源主機(jī)IP 和MAC 添加到自己的ARP 緩存表中。然后發(fā)送一個(gè)ARP 應(yīng)答包

8、給源主機(jī),告訴源主機(jī)自己是它需要找的MAC 地址。4在源主機(jī)收到應(yīng)答包之后,提取MAC 相關(guān)信息,將該IP 和MAC 的映射更新到ARP 緩存表中,然后把這個(gè)MAC 地址寫(xiě)入MAC 幀,將數(shù)據(jù)發(fā)往目的主機(jī),便完成了通信連接。1.2不同網(wǎng)段間的ARP 解析過(guò)程1初始化通信請(qǐng)求,得知目標(biāo)IP 屬于一個(gè)不同網(wǎng)段主機(jī);源主機(jī)就會(huì)將數(shù)據(jù)發(fā)送到缺省網(wǎng)關(guān)的IP 。ARP 進(jìn)程在本機(jī)ARP 緩存中查找符合與網(wǎng)關(guān)的IP 映射的MAC 地址。若找到,源主機(jī)將數(shù)據(jù)發(fā)往網(wǎng)關(guān)的MAC 地址上,由網(wǎng)關(guān)根據(jù)路由選擇最終將數(shù)據(jù)包發(fā)送到目標(biāo)主機(jī)。收稿日期:2011-07-04Computer Knowledge and Tec

9、hnology電腦知識(shí)與技術(shù)Vol.7,No.26,September 2011.6341Computer Knowledge and Technology 電腦知識(shí)與技術(shù)本欄目責(zé)任編輯:馮蕾網(wǎng)絡(luò)通訊及安全第7卷第26期(2011年9月2若沒(méi)找到該網(wǎng)關(guān)的記錄,ARP 將廣播一個(gè)包含網(wǎng)關(guān)IP 地址而不是目標(biāo)主機(jī)IP 地址的ARP 請(qǐng)求。路由器用自己的硬件地址響應(yīng)源主機(jī)的ARP 請(qǐng)求。源主機(jī)則將數(shù)據(jù)包送到路由器,路由器在其路由表中查找該網(wǎng)關(guān),然后運(yùn)用ARP 獲得此網(wǎng)關(guān)的MAC ,并將數(shù)據(jù)包發(fā)往網(wǎng)關(guān)的MAC 地址上,以傳送到目標(biāo)主機(jī)的網(wǎng)絡(luò),最終達(dá)到目標(biāo)主機(jī)。2ARP 協(xié)議安全缺陷ARP 協(xié)議的缺陷有

10、如下兩點(diǎn):1一臺(tái)主機(jī)的IP 地址映像到另一臺(tái)主機(jī)的ARP 緩存后,它就會(huì)被當(dāng)作可信任的計(jì)算機(jī)。但并沒(méi)有提供檢驗(yàn)IP-MAC 地址對(duì)應(yīng)表真實(shí)性的機(jī)制。大多數(shù)主機(jī)保存了通過(guò)ARP 得到的映射表,不考慮其有效性,也不維護(hù)一致性。ARP 表可能把幾個(gè)IP 地址映射到同一物理地址上。2ARP 的請(qǐng)求是以廣播的形式進(jìn)行發(fā)送的,這樣此網(wǎng)段中的所有主機(jī)都可以收到ARP 請(qǐng)求。攻擊者在收到ARP 請(qǐng)求后,就可以偽裝ARP 應(yīng)答,偽裝成真正要通信的主機(jī),進(jìn)行假冒和欺騙。3任何響應(yīng)都是合法的,ARP 應(yīng)答無(wú)需認(rèn)證。ARP 協(xié)議是局域網(wǎng)協(xié)議,設(shè)計(jì)之初,出于傳輸效率的考慮,在數(shù)據(jù)鏈路層沒(méi)有做安全上的防范,在使用ARP

11、協(xié)議交換MAC 時(shí)無(wú)需認(rèn)證。ARP 協(xié)議是無(wú)狀態(tài)的,任何主機(jī)即使在沒(méi)有請(qǐng)求的時(shí)候也可以做出應(yīng)答。ARP 協(xié)議并未規(guī)定,主機(jī)在未受到查詢時(shí)不能發(fā)送ARP 應(yīng)答包,這是ARP 協(xié)議的一個(gè)安全隱患。許多系統(tǒng)會(huì)接受未請(qǐng)求的ARP 響應(yīng),并用來(lái)更新其高速緩存。3ARP 病毒ARP 病毒主要存在于局域網(wǎng)中;感染ARP 病毒的計(jì)算機(jī)開(kāi)機(jī)后一般會(huì)自動(dòng)連續(xù)發(fā)出偽造的ARP 響應(yīng)包,通過(guò)偽造IP 地址和MAC 地址從而更改目標(biāo)主機(jī)ARP 緩存表中的IP-MAC 的映射記錄,意圖截獲所在網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)的通信信息,同時(shí)因存在大量的ARP 響應(yīng)包而導(dǎo)致網(wǎng)絡(luò)堵塞2。3.1ARP 病毒攻擊的原理如表1所示,處于同一局域網(wǎng)

12、的三臺(tái)主機(jī)A 、S 、D 的IP 及對(duì)應(yīng)的MAC 地址列表;主機(jī)A 代表攻擊方,進(jìn)行ARP 病毒攻擊,主機(jī)S 代表源主機(jī),主機(jī)D 代表目的主機(jī),源主機(jī)S 本來(lái)是向主機(jī)D 發(fā)送數(shù)據(jù)。假設(shè)主機(jī)A 已經(jīng)知道主機(jī)S 和主機(jī)D 的IP 地址,為達(dá)到欺騙的目的,主機(jī)A 可以偽造一個(gè)ARP 應(yīng)答幀改變主機(jī)S的ARP 緩存;也可以偽造一個(gè)ARP 請(qǐng)求幀改變主機(jī)D 的ARP 緩存。下面分別對(duì)這兩種ARP 病假設(shè)主機(jī)S 發(fā)送一個(gè)ARP 請(qǐng)求幀,如表2所示,詢問(wèn)主機(jī)D 的物理地址。由于ARP 請(qǐng)求幀是以廣播方式發(fā)送的,因此主機(jī)A 也可以收到這個(gè)請(qǐng)求。為了達(dá)到欺騙主機(jī)S 的目的,在主機(jī)D 向主機(jī)S 發(fā)送了一個(gè)ARP

13、應(yīng)答幀后,主機(jī)A 也向主機(jī)S 發(fā)送了一個(gè)ARP 應(yīng)答幀,如表3所示,用來(lái)更改主機(jī)S 的ARP 緩存表中主機(jī)D 的IP 地址所對(duì)應(yīng)的硬件地址。主機(jī)A 發(fā)送的ARP 應(yīng)答幀(在主機(jī)D 發(fā)送ARP 應(yīng)答幀后發(fā)送更改了主機(jī)S 的ARP 緩存表,使主機(jī)S 誤認(rèn)為主機(jī)D 的硬件地址為00:E0:81:08:6F:2C ,而實(shí)際上這個(gè)地址是局域網(wǎng)中主機(jī)A 的MAC 地址,這樣就造成主機(jī)S 與主機(jī)D 無(wú)法正常通信。在主機(jī)S 發(fā)送如表2所示的ARP 請(qǐng)求幀后,主機(jī)A 也可以收到主機(jī)S 的ARP 請(qǐng)求幀,并且再發(fā)送一個(gè)幾乎與主機(jī)S 所發(fā)送的ARP 請(qǐng)求幀相同的幀,如表4所示。主機(jī)A 發(fā)送的ARP 請(qǐng)求幀(在主機(jī)S

14、 發(fā)送ARP 請(qǐng)求幀后發(fā)送更改了主機(jī)D 的ARP 緩存表,使主機(jī)D 誤認(rèn)為主機(jī)S 的硬件地址為00:50:8D:82:60:0D ,而實(shí)際上這個(gè)地址是局域網(wǎng)中主機(jī)A 的MAC 地址,這樣就造成主機(jī)S 與主機(jī)D 無(wú)法正常通信。進(jìn)一步地,主機(jī)A 可以將自己插入主機(jī)S 和主機(jī)D 的通信路徑之間,充當(dāng)中間人的角色,這樣主機(jī)A 就可以監(jiān)聽(tīng)主機(jī)S 和主機(jī)D 之間的通信。攻擊過(guò)程如下:主機(jī)A 更改主機(jī)S 與主機(jī)D 的ARP 緩存,使得主機(jī)S 向主機(jī)D 發(fā)送數(shù)據(jù)時(shí),使用的是D 的IP 地址與A 的MAC 地址,并且D 向S 發(fā)送數(shù)據(jù)時(shí),使用的是S 的IP 地址與A 的MAC 地址,因此,所有S與D 之間傳輸?shù)?/p>

15、數(shù)據(jù)都將經(jīng)過(guò)A ,再由A 分別轉(zhuǎn)發(fā)給S 和D 。如果攻擊者將目標(biāo)主機(jī)ARP緩存中的MAC 地址改為根本就不存在的地址,那么目標(biāo)主機(jī)向外發(fā)送的所有以太網(wǎng)數(shù)據(jù)幀都會(huì)丟失,使得上層應(yīng)用忙于處理這種異常而無(wú)法響應(yīng)外來(lái)請(qǐng)求,從而導(dǎo)致目標(biāo)主機(jī)產(chǎn)生拒絕服務(wù)。如今,修改網(wǎng)卡的MAC 地址已成為可能,那么,攻擊者可以首先對(duì)目標(biāo)主機(jī)實(shí)施拒絕服務(wù)攻擊,使其不能對(duì)外界做出任何反應(yīng)。然后攻擊者就可以將自己的IP 地址與MAC 地址分別改為目標(biāo)主機(jī)的IP 地址與MAC 地址,這樣攻擊者的主機(jī)變成了與目標(biāo)主機(jī)一樣的副本,稱為克隆攻擊。特別地,當(dāng)目標(biāo)主機(jī)是一臺(tái)DHCP 服務(wù)器時(shí),克隆攻擊的結(jié)果是黑客冒充合法的DHCP 服務(wù)器

16、,然后利用冒充的DHCP 服務(wù)器,為DHCP 客戶端分配一個(gè)經(jīng)過(guò)修改的DNS 服務(wù)器地址,在用戶毫無(wú)察覺(jué)的情況下被引導(dǎo)至預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站,進(jìn)而騙取用戶的賬號(hào)和密碼。4局域網(wǎng)ARP 病毒防范一般而言,ARP 病毒攻擊存在兩種可能:一種是對(duì)路由器ARP 緩存表的攻擊,另一種是對(duì)局域網(wǎng)內(nèi)計(jì)算機(jī)ARP 緩存表的攻擊,表1各個(gè)主機(jī)對(duì)應(yīng)的IP 、MAC 地址等信息表2源主機(jī)S 發(fā)送的ARP 請(qǐng)求幀表3主機(jī)A 偽造的ARP應(yīng)答幀表4主機(jī)A 偽造的ARP 請(qǐng)求幀6342Computer Knowledge and Technology 電腦知識(shí)與技術(shù)網(wǎng)絡(luò)通訊及安全本欄目責(zé)任編輯:馮蕾第7卷

17、第26期(2011年9月或者兩種攻擊同時(shí)進(jìn)行。ARP 攻擊發(fā)生后,局域網(wǎng)內(nèi)計(jì)算機(jī)和路由器之間發(fā)送的數(shù)據(jù)會(huì)被發(fā)送到錯(cuò)誤的MAC 地址上。4.1感染ARP 病毒后的主要表現(xiàn)形式ARP 病毒屬于一種欺騙木馬類病毒,主要發(fā)生在局域網(wǎng)內(nèi)部,而且時(shí)常在某一個(gè)網(wǎng)段內(nèi)發(fā)作,局域網(wǎng)感染ARP 病毒后主要表現(xiàn)為:1局域網(wǎng)的某個(gè)網(wǎng)段中,大多數(shù)計(jì)算機(jī)不能正常上網(wǎng),網(wǎng)絡(luò)連接時(shí)斷時(shí)續(xù),上網(wǎng)速度非常緩慢;2局域網(wǎng)整個(gè)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定,利用ping 命令ping 網(wǎng)關(guān)時(shí)不通,或者丟包現(xiàn)象很?chē)?yán)重;3IE 瀏覽器頻繁出錯(cuò),網(wǎng)頁(yè)打不開(kāi)或者打開(kāi)速度非常慢,不能夠正常地上網(wǎng)瀏覽;4斷開(kāi)網(wǎng)絡(luò)后,隔一段時(shí)間重新連接,或者利用arp -d 命

18、令刪除ARP 緩存表后,可暫時(shí)恢復(fù)上網(wǎng)3。4.2ARP 病毒的簡(jiǎn)單查殺方法41更新正版防病毒軟件,對(duì)內(nèi)存和硬盤(pán)全面殺毒;隨時(shí)更新操作系統(tǒng),打上各種漏洞補(bǔ)丁。2在受到ARP 病毒攻擊時(shí),按下列操作:“開(kāi)始”-“所有程序”-“附件”-“c :提示符”狀態(tài)下輸入“arp d ”恢復(fù)正常上網(wǎng),并及時(shí)下載關(guān)于ARP 的防護(hù)軟件,保護(hù)本地計(jì)算機(jī)正常運(yùn)行。3不要隨便共享文件或文件夾。即使要使用共享,應(yīng)先設(shè)置好權(quán)限,一般指定帳號(hào)或特定機(jī)器才能訪問(wèn)。4不要隨便打開(kāi)不明來(lái)歷的電子郵件,尤其是郵件附件。5使用移動(dòng)存儲(chǔ)介質(zhì)如U 盤(pán)、移動(dòng)硬盤(pán)等進(jìn)行數(shù)據(jù)訪問(wèn)時(shí),先對(duì)其進(jìn)行病毒檢查。4.3設(shè)置靜態(tài)ARP 緩存ARP 病毒攻

19、擊的最根本原理是改變IP 與MAC 地址的對(duì)應(yīng)關(guān)系5。所以,可以采取靜態(tài)MAC 地址表法防范。主機(jī)或交換機(jī)的IP-MAC 地址映射表使用手工維護(hù),輸入之后不再動(dòng)態(tài)更新,顯然可以避免ARP 病毒的攻擊。ARP 病毒攻擊形式有攻擊路由器ARP 表和攻擊計(jì)算機(jī)ARP 表兩種,因此靜態(tài)IP-MAC 地址映射也有路由器ARP 表的靜態(tài)映射和計(jì)算機(jī)本地ARP 表的靜態(tài)映射。雙向設(shè)置靜態(tài)映射是必需的,如果只設(shè)置了靜態(tài)路由器的ARP 表而沒(méi)有設(shè)置靜態(tài)計(jì)算機(jī)的ARP 表,局域網(wǎng)內(nèi)計(jì)算機(jī)被惡意修改ARP 表后就不會(huì)把數(shù)據(jù)包發(fā)送到路由器上,而是發(fā)送到一個(gè)錯(cuò)誤的MAC 地址,造成無(wú)法訪問(wèn)路由器并逐漸形成網(wǎng)絡(luò)堵塞。這里

20、需要注意一點(diǎn),雙向設(shè)置靜態(tài)映射其實(shí)需要設(shè)置三個(gè),即局域網(wǎng)內(nèi)計(jì)算機(jī)需要設(shè)置本機(jī)IP 地址和對(duì)應(yīng)的MAC 地址、網(wǎng)關(guān)的IP 地址和對(duì)應(yīng)的MAC 地址,然后還要在路由器上設(shè)置客戶機(jī)的IP 地址和對(duì)應(yīng)的MAC 地址的靜態(tài)映射。但是,這種方法的缺陷也很明顯,在移動(dòng)或經(jīng)常變化的網(wǎng)絡(luò)環(huán)境中,這種手工維護(hù)MAC 表的方式不適用,而且它也要求網(wǎng)絡(luò)硬件支持這種配置方式。另外,采用此方式設(shè)置靜態(tài)ARP 緩存,管理員需要定期輪詢,檢查主機(jī)上的ARP 緩存。4.4改進(jìn)ARP 協(xié)議首先不再把網(wǎng)絡(luò)安全信任關(guān)系建立在IP 基礎(chǔ)上或MAC 基礎(chǔ)上,理想的關(guān)系應(yīng)該建立在IP+MAC 基礎(chǔ)上,這是解決ARP 病毒的根本。但是在網(wǎng)絡(luò)

21、運(yùn)營(yíng)效率及成本方面這個(gè)理想模型還很難實(shí)現(xiàn)。此外,針對(duì)ARP 本身的漏洞,鄭文兵6等人提出了一種防范ARP 欺騙攻擊的新算法,該算法設(shè)置了兩個(gè)線性表:請(qǐng)求表和應(yīng)答表,分別保存已發(fā)送的ARP 請(qǐng)求和已收到的ARP 應(yīng)答的信息。該算法規(guī)定接受ARP 消息的順序?yàn)橄劝l(fā)送請(qǐng)求報(bào)文后接收應(yīng)答報(bào)文,不符合此順序要求的ARP 消息一律丟棄。由于對(duì)ARP 添加了安全性方面的考慮,并引入復(fù)雜數(shù)據(jù)結(jié)構(gòu),該方法執(zhí)行速度比原來(lái)要慢。因此,對(duì)該方法的應(yīng)用要綜合考慮安全性和網(wǎng)絡(luò)性能等多方面的因素。4.5網(wǎng)絡(luò)路由分割目前,網(wǎng)絡(luò)上已經(jīng)使用高層交換的方式,基于IP 地址變換進(jìn)行路由的第三層(第四層交換機(jī)逐漸被采用,第三層交換技術(shù)用的是IP 路由交換協(xié)議。以往的鏈路層的MAC 地址和ARP 協(xié)議已經(jīng)不起作用,因而ARP 病毒攻擊在這種交換環(huán)境下不起作用。4.6使用ARP 代理服務(wù)器7通過(guò)該服務(wù)器查找ARP 轉(zhuǎn)換表來(lái)響應(yīng)