收藏
下载资源 加入VIP,省得不是一点点

ARP病毒原理分析与防范措施.DOC

上传人:国*** 文档编号:495840 上传时间:2018-10-15 格式:DOC 页数:12 大小:213.50KB
下载 相关 举报
ARP病毒原理分析与防范措施.DOC_第1页
第1页 / 共12页
ARP病毒原理分析与防范措施.DOC_第2页
第2页 / 共12页
ARP病毒原理分析与防范措施.DOC_第3页
第3页 / 共12页
ARP病毒原理分析与防范措施.DOC_第4页
第4页 / 共12页
ARP病毒原理分析与防范措施.DOC_第5页
第5页 / 共12页
点击查看更多>>
资源描述

1、ARP病毒原理分析与防范措施 考号: 姓名: 内容提要 随着计算机网络的发展和普及。局域网已成为人们工作不可缺少的组成部分。同时由于网络协议存在很多安全漏洞,导致网络木马和病毒的快速传播。近年来很多网络遭受 ARP病毒的侵犯, ARP欺骗是一种典型的欺骗攻击类型,它利用了 ARP协议存在的安全隐患,并使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。 ARP病毒有很大危害性。它能够发送大量的伪造数据包,占用网络带宽;还会通过伪造网关,造成成全部计算机无法正常上网;还可以通过截取网关数据包方式直取获 取用户名,密码等信息。本文在详细分析了 ARP协议的工作原理、存在的漏洞、 ARP欺

2、骗的方式、 ARP故障现象的基础上,提出了相应的防范措施。 关键词 ARP协议、协议安全漏洞、 ARP欺骗、 ARP故障、防范措施 一、 引言 当今社会,网络技术已经深入到人们生活的各个方面。随着网络的不断普及,各公司,各高校,各企事业单位都建立起了自己的局域网,然而 随着网络系统的日益庞大,信息安全问题也日益突出。 近年来,许多互联网用户在访问互联网时出现了网络变慢,时断时续,甚至出现无法上网,或着重要信息丢失等情况。这给我们的工 作、学习、生活带来了很大的不便。究其原因,是电脑中了 PwSteal 1emir或其他变 中的病毒,属于木马程序或者蠕虫类病毒。 Windows95/98/Me/

3、NT/2000/XP/2003将受这种病毒的影响,该病毒通过对路由器的 ARP表或者内网 PC网关等方式对局域网进行攻击,常导致整个局域网全部机器暂时掉线,不能上网,或者重要信息泄露等现象。称这种通过 ARP进行网络欺骗的病毒为 ARP病毒。 二、 ARP协议 2.1 ARP协议概述 网络的主要目的就是实现设备通信。在 TCP IP通信中,局域网中的数据包必须同时 有目的 MAC地址和目的 IP地址, MAC地址是以太网卡硬件地址,它在生产时就被存储在网卡中,是全球唯一的; IP地址是由软件分配的,根据实际需要是可以更改的。使用 TCP IP协议的地址解析协议 (Address Resolut

4、ion Protocol, ARP)可以自动获得 MAC地址 , 该协议 是一种将 IP转化成与 IP对应的网卡的物理地址的一种协议,或者说 ARP协议是一种将 IP地址转化成 MAC地址的 一种协议。它靠维持保存在内存中的一张表来使 IP得以在网络上被目标机器识别。 ARP协议的一个基本内容是利用目标设备的 lP地 址,查出目标设备的 MAC地址,以保证其通信的顺利进行。在局域网中,实际传输的是帧 (数据包 ),帧中包含目标主机的 MAC地址。主机与主机进行直接通信,必须要知道目标主机的 MAC地址。这个 MAC地址是通过地址解析协议即 ARP协议来获得的。 “地址解析”是指主机在发送帧前将

5、目标 IP地址转换成目标 MAC地址的过程。 ARP工作时,发送一个含有所希望的 IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有 lP和以太网地址( MAC地址)对的数据包作为应答。发送者将这个地址高速缓存起来,以节约不必要的 ARP通信。 2.2 ARP协议的工作原理 每台安装有 TCP IP协议的计算机里都有一个 ARP缓存表,表里的 IP地址与 MAC地址一一对应,如表 1所示。 表 1 ARP缓存表 以主机 A(192 168 1 1)向主机 B(192 168 1 2)发送数据为例。发送数据时,主机A会在自己的 ARP缓存表中查找是否有主机 B的 IP

6、MAC条目。如果找到,直接把 B对应的MAC地址写入帧中发送就可以了,否则, A就会在网络上发送一个 ARP请求广播包,目标MAC地址是“ FF FF FF FF FF FF,这表示向同一网段内的 所有主机发出这样的询问:“嗨 1 192 168 1 2,你的 MAC地址是什么 ?”。按照 ARP协议实现机制,网络上其他主机并不响应此 ARP询问,只有主机 B接收到这个请求后,才向主机 A做出这样的回应:“我是 192 168 1 2,我的 MAC地址是 bb bb bb bb bb bb”。这样,主机 A就知道了主机 B的 MAC地址。 A同时将 B的 MAC地址加入到自己的 ARP缓存表中

7、,下次再向主机 B发送信息时,直接从 ARP缓存表里查找就可以了。 ARP缓存存放的是最近使用的 IP地址到 MAC地址之间的映射记录。 Windows AR陵存表中每一条记录的生存时间默认为 60秒。每次发送数据包, ARP协议先从缓存中查找 IP MAC条目,找到就立刻使用,找不到就发送 ARP请求广播包。缓存中的动态 IP-MAC条目是根据ARP响应包而动态更新的。 ARP协议在发送和没有发送 ARP请求的情况下都能接收 ARP应答,只要网络上有 ARP应答包发送到本机,本机就会立即更新缓存中的相应动态 IP MAC条目。 ARP协议的工作过程如图 1所示: 图 1 ARP的工作过程 A

8、RP的工作原理如图 2所示: 图 2 ARP的工作原理图 2.3 ARP协议的缺陷 ARP作为一个局域网协议,是建立在各个主机之间相互信任的基础上的,因此存在安全漏洞。 (1)主机地址映射表是基于高速缓存,动态更新的。由于正常的主机间的 MAC地址刷新都是有时限的,这样恶意用户如果在下次交换前成功地修改了被欺骗机器上的地址缓存,就可进行假冒或拒绝服务攻击。 (2)ARP协议是一个无状态的协议。只要主机接收到 ARP应答帧,就会对本地的 ARP缓存进行更新,将应答帧中的 IP地址和 MAC地址存储在 ARP高速缓存中,并不要求主机必须先发送 ARP请求后才能接收 ARP应答,同时,从不对其进行检

9、验。 (3)在 通讯中, ARP缓存的优先级最高,总是最先从 ARP缓存中找与 IP地址对应 MAC地址。 上述缺陷很容易被黑客利用,发生伪造别人 IP地址实现 ARP欺骗的事件。 三、 ARP病毒攻击原理 3.1 ARP病毒概述 ARP病毒也叫 ARP地址欺骗类病毒,它发作时会向全网发送伪造的 ARP应答数据包,通常会造成网络掉线,局域网内部分或全部计算机不能上网,或者网络连接时断时续并且网速变慢等现象,严重影响到企业局域网的安全运行。 该病毒以木马形式传播,不具备主动传播的方式,不会自主复制,但对于一般的杀毒软件很难查杀,且其发作时,会 发送伪造的 ARP数据包,严重干扰整个网络的正常运行

10、和信息安全,其危害甚至超过了一些蠕虫病毒。 局域网内出现 ARP病毒感染的症状,一般都是由于 ARP欺骗木马病毒攻击造成的。引起问题的原因一般是因为局域网内部用户上网浏览某些个人网站,或者是其他非官方网站后,随意下载携带 ARP病毒的软件造成的。 3.2 ARP欺骗原理 ARP欺骗原理即为通过发送虚假的 MAC地址与 IP地址的对应 ARP数据包来迷惑网络设备,用虚假的或错误的 MAC地址与口地址对应关系取代正确的对应关系。如果攻击者定时向目标设备发送错误的口地址和 MAC地址的对应关系,而且时间间隔比 ARP缓存的超时间隔要小的话,目标主机就会一直维持着一张含有错误信息的 ARP缓存表。 3

11、.3 ARP病毒攻击方式 ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动 IP冲突攻击、数据包轰炸、切断局域网上主机的网络连接等。 3.3.1IP地址冲突 制造出局域网卜有另一台丰机与受害主机共享一个 IP的假象。由于违反了唯一性要求,受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害丰机耗费大量的系统资源。对于 windows操作系统,只要接收到 一个 ARP数据包,不管该 ARP数据包符不符合要求,只要该 ARP数据包所记录的源 IP地址同本地丰机相同但 MAC地址不同, windows系统就会弹出 IP地址冲突的警告对话框。根据 IP地址

12、冲突的攻击特征描述,这种类型的 ARP攻击主要有以下几种: (1)单播型的 IP地址冲突 链路层所记录的目的物理地址为被攻击主机的物理地址,这样使得该 ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。 (2)广播型的 IP地址冲突 链路层所记录的目的物理地址为广播地址。这样使得局域网内的所有主机都会接受到 该ARP数据包,虽然该 ARP数据包所记录的目的 IP地址不是受攻击主机的 IP地址,但是由于该ARP数据包为广播数据包,这样受攻击主机也会接收到从而弹出 IP地址冲突的警告对话框。 3.3.2 ARP泛洪攻击 攻击主机持续把伪造的 MAc IP映射对发给受害

13、主机,对于局域网内的所有主机和网关进行广播,抢占蚓络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含: (1)通过不断发送伪造的 ARP广播数据报使得交换机忙于处理广播数据报耗尽网络带宽。 (2)令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。 (3)用虚假的地址信息占满主机的 ARP高速缓存空间。造成丰机无法创建缓存表项,无法正常通信,这种攻击特征作者将其命名为 ARP溢出攻击。 ARP泛洪攻击不是以盗取用户数据为目的。它是以破坏网络为目的,属于损人不利己的行为。 3.3.3 溢出攻击 ARP溢出攻击的特征主 要有: (1) 所发送的伪造 MAC IP映射对的 IP地址是

14、非本地网的虚拟不存在的 IP地址但MAc地址是固定的,由于当操作系统接收到一个源 IP地址在 ARP高速缓存表中不存在的ARP数据包时,就会在缓 1竽表中创建一个对应 MAc IP的入口项。 (2)所发送的 伪造 MAc IP映射对的 IP地址是非本地网的虚拟不存在的 IP地址而且 MAc地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的 cAM表溢出。由于交换机是通过学习进入各端几数据帧的源 MAc地址来构建 cAM表,将各端口和端口所连接主机的 MAC地址的对应关系进行记录,因而可根据 CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的 MAc地址 ARP数据

15、包,就会破坏端口与 MAC的对应关系,并导致 CAM表溢出。在这种情形之下,缺少防范措施的交换机就会以广播的模式处理报文,形成泛洪向所有接口转发通 信信息流。最终使得交换机变成 HuB,将交换式的网络变成广播式的网络,使得网络带宽急剧下降。 3.3.4 欺骗攻击 ( 1) 拒绝服务攻击 拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。如果攻击者将目标蕾饥 ARP缓存中的 MAc地址全部改为根本就不存在的地址,那么目标主机向外发送的所有以太网数据帧会丢失,使得上层应用忙于处理这种异常而尤法响应外来请求,也就导致目标主机产生拒绝服务。 ( 2) 中间人攻击 中间人攻击就

16、是攻击者将自己的主机插入两个目标丰机通信路径之间,使他的主机如同两个目标主 机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击,那么攻击者就可以截取Intemet与这个目标主机的之间的全部通信。 ( 3) 多主机欺骗 篡改被攻击主机群中关于网络内某一台主机 x的 ARP记录,被攻击的主机群为网络中的多台主机而非一台主机。主机 x为网关或网络内任何一台非网关的正在运行主机。被篡改后的 MAc地址可以为网络内正在运行的主机 MAC地址或随机伪造的不存在主机的 MAc地址。 T时刻,主机 A关于主机 x的 ARP记录被篡改

17、; T+N时刻,主机 B关于主机 X的 ARP记录被篡改; T+M时刻,主机 z关于主机 x的 ARP记录被篡改; 例如 攻击主机要仿冒网关就会向局域网内的主机群发送 ARP数据包,以自身 MAc地址来冒充真正的网关,使受骗主机群的 ARP缓冲区的 MAC地址错误地更新为攻击源的 MAc地址,导致受骗主机群向假网关发送通信信息,而不是通过路由器或交换途径寻找真正的网关并发送通信信息。这时攻击主机可以把自己设置成一台路由器负责对数据包转发,从而达到仿冒网关的目的。这是一种比较常见的欺骗形式,这种欺骗方式町以控制同一网关下的所有主机对网络 的访问。 网 吧内经常发生游戏密码被盗现象就是因为遭受到仿

18、冒网关的 ARP攻击。 ( 4) 全子网轮询欺骗 篡改被攻击主机 x中关于网络内多台主机的 ARP记录,这台被攻击的主机为网关或网络内任何一台非网关的主机,被篡改后的 MAC地址可以为网络内正在运行的主机 MAC地址或随机伪造的不存在主机的 MAc地址。 T时刻,主机 x关于手机 A的 ARP记录被篡改; T+N时刻,主机 x关于主机 B的 ARP记录被篡改; T+M时刻,主机 x关于主机 z的 ARP记录被篡改; ( 5) 网络监听 攻击主机利用上述多主机欺骗来仿冒网关,利用伞子网轮 询欺骗束篡改真正 |斓关上关于局域嘲内所有主机的 ARP缓存记录,从而实现对局域网内所有主机旧外部嘲的通信进

19、行监听。实现了在交换式网络环境中对网络通信的监听。 ( 6) ARP扫描攻击 向局域网内的所有主机发送 ARP请求,从而获得正在运行丰机的 IP和 MAC地址映射对。ARP扫描往往是为发动 ARP攻击做准备。攻击源通过 ARP扣描来获得所要攻击丰机的 IP和MAc地址。从而为网络监听、盗取用户数据,实现隐蔽式攻击做准备。 ( 7) 虚拟主机攻击 通过在网络内虚拟构建网卡,将自己虚拟成网络内的一台主机,拥有虚拟的物理地址和IP地址。主要是通过在链路层捕获所有流绐的 ARP请求数据包进行分析,若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的 ARP响应,并且虚拟主 机本身也会发送 ARP请求。

20、虚拟主机攻击会占用局域网内的 IP地址资源,使得正常运行的主机发生 IP地址冲突,并且局域嘲内的主机也无法正常获得 IP地址。 3.4 ARP病毒攻击对象 常见 ARP攻击对象有四种, (1)路由器 ARP列表的欺骗,欺骗原理是截获网关数据。它通知路由器一系列错误的内网 MAC地址,并以超过路由器自动更新频率的速度 1i断发送 ARP欺骗数据包,使真实的ARP地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误 MAC地址,造成正常计算机用户无法收到消息,导致网络中断。 (2)交换机列表的欺骗。交换机内部同样维护着一个动态可升级的 MAC缓存,有一个对应的端口 -MAC地址列

21、表,此表称为 CAM表。这个表刚开始是空的,交换机从来往的数据帧中学习,并在学习中建立和维护端口和 MAC地址的对应表,以此建立交换路径。对交换机的欺骗使得同一个 MAC地址对应多个端口,此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能,甚至造成网络堵塞或崩溃。 (3)内网网关的欺骗,即让被它欺骗的用户计算机向伪造网关发送数据,造成网络中断。 (4)对局域网内的计算机进行欺骗,通过伪造的 IP地址 -MAC地址的对应关系替换正确的ARP缓存表,导致计算机通过病毒主机发送数据信息,使得个人信息的泄漏,严重影响安全性。 3.5 ARP病毒攻击过程 示例 通过上一节对 ARP工作原理

22、的介绍,我们发现主机 A如果要向目标主机 B发送数据,无论 B在同一网段还是不同网段,这些数据包中都需要源 IP地址和源 MAC地址,以及目标 IP地址和目标 MAC地址,当主机 B在封装数据包时,自己的 IP地址和 MAC地址可以正确地封装进去。这样主机 A就通过 ARP请求获得了 B的 MAC地址,并把 B的 IP地址和 MAC记录在缓存表中,如果主机 B更换了 MAC地址,那么 A将收到含有 B的 MAC地址更新信息的 ARP数据包,然后 A更新自己的 ARP缓存表,将 B的新 MAC地址和 IP地址写入表内。正因为主机 A在任何时候收到 ARP的数据包,都要更新 ARP缓存,所以这就给

23、 ARP病毒有了可趁之机,只要人为的制造某个 ARP数据包给主机 A告诉其 B的 MAC地址已经改变,那么 A便会更新其 ARP缓存表,这样 A其实就受到了 ARP病毒的欺骗。下面我们给出在同 一网段内主机和不同网段内ARP欺骗的实例。 图 3 同一网段的 ARP欺骗 图 4 不同网段的 ARP欺骗 图 3给出了 3台处于同一网段的主机,其中主机 A与主机 B正在彼此通信,此时主机 c想非法入侵主机 A并让其相信自己就是主机 B,由于 A和 B之间的连接关系是建立在硬件基础上的,于是 C需要用 ARP欺骗的手段让 A把自己的 ARP缓存表的 1 1 1 2的硬件地址 BB: BB:BB: BB

24、: BB: BB映射为主机 C的 MAC地址 CC: CC: CC: CC: CC: CC。下面是具体欺骗的步骤 : (1)研究 1 1 1 2这台主机 B,发现其漏洞。 (2)据其漏洞,使主机 B当掉,暂时无法上网。 (3)随后主机 C将其 IP地址改为 1 1 1 2。 (4)他向主机 A发送一个 arp reply的响应包,该包中告诉 A源 IP地址为 1 1 1 2主机的源 MAC地址是 CC: CC: CC: CC: CC: CC,要求主机 A更新自己的 alp转换表。 (5)主机 A在收到该 arp reply响应包后更新了 arp表中关于主机 B的 ip-mac对应关系。 (6)

25、入侵的主机 C成功欺骗了主机 A并接收到了本来是发给主机 B的数据包。 由上例我们 可知,在同一网段内 ARP病毒欺骗所造成的影响只是使网段内的某台主机无法通信,但是如果网段内的某台主机要和外网的主机通信,那么在它对数据包进行封装时,目标 MAC地址需要写成网关的 MAC地址,再交由网关代为转发,发到网外去,既然 ARP病毒可以欺骗主机的 MAC地址,那么它同样可以欺骗网关的 MAC地址,如图 4所示,主机 B的ARP缓存表记录着网关的真实的 IP地址 192 168 10 1和 MAC地址 A,它可以通过网关发送正常的网络访问数据包,此时主机 C想对主机 B发起攻击,进行 ARP欺骗,它向主

26、机 B发送ARP响应包,包中 将网关 IP地址为 192 168 10 1所对应的 MAC地址由 A改为 x,主机 B在收到该 ARP响应包后刷新了自己的 ARP缓存表,将原来网关 IP地址 192 168 10 1的 MAC地址 A改为了 x,这样主机 B发往外网的正常网络访问数据包就会被 MAC地址为 X的主机所截获,这样主机 B就找不到正确的网关从而无法和外网进行通信,如果主机 C发送给主机 B的ARP响应包中 MAC地址 x刚好是主机 C的 MAC地址,那么主机 B发往外网的数据包都将被主机 C所截获。这就是网关 ARP欺骗,同样,如果该网络里还有主机 D,主机 E等,主机 C同样也可

27、 以向他们发送虚假的 ARP响应包,那么这些主机将无法和外网通信,更严重的是发往外网的信息都会被主机 C截获。由此可见网关 ARP欺骗会造成局域网内许多主机无法访问外网。 四 ARP病毒的识别与清除 4.1 病毒源的识别 定位 ARP攻击电脑,切断毒源。在发现局域网中感染 ARP病毒后,首先要定位 ARP攻击的电脑,找到病毒攻击源。查找 ARP攻击源的方法有好多种,下面简单介绍几种: 1通过 ARP命令来查找。在被攻击的任意一台电脑上运行 ARIa a命令,将会列出此电脑的 ARIa缓存表,从中找到网关对应的 MAC地址,这个 MAC地址就是病毒电脑的 MAC地址,然后再依靠网络运行正常时的

28、IP MAC对应关系,和网络中心的 DHCP服务器记录的信息,从中找出攻击电脑的 IP地址、用户名等信息。 2通过丁具软件来查找。现在网络上有许多 ARP病毒定位 T具,例如目前流行的 Anti ARP Sniffer软件, 360 ARP防火墙等软件都可以查找和定位 ARP攻击源。 3通过抓包分析来查找。当局域网当中有 ARP病毒时,往往有大量的 ARP欺骗广播数据包,这时可以通过流量监测设备或者软件,对网络中异常的数据包进行分析,从而定位ARP攻击源。 4.2 对 ARP病毒的处理 1 中 ARP病毒者:下载 360卫士 ARP防火墙,在进程中假如有“ vktserv”进程,右键瓿击此进程

29、后选择“结束进程”,然后在 c: windowssystem32路径找到 vktserv exe文件删除,在“控制面板”一“管理工具”一“服务”中,找到 vktserv服务禁用,重起机器。 2 受攻击者 : 假如已经不能上网,则先运行一次命令 arp-d将 arp缓存中的内容删空,计算机可暂时恢复上网,注: arp-d命令用于清除并覆建本机 arp表。 arp-d命令并不能抵御 ARP欺骗,执行后仍有可能 再次遭受 ARP攻击。假如已经有网关的正确 MAC地址,在不能上网时,手工将网关 IP和正确 MAC绑定,可确保计算机不再被攻击影响。手工绑定可在 MS-DOS窗口下运行以下命令: arp-

30、s网关 IP网关 MAC,但 系统重启后失效。 五、 ARP病毒的防范措施 1、 IP+MAC访问控制 很多局域网访问因特网,往往仅基于口地址的访问控制。而 IP地址用户可以随意修改,因更改 IP地址引起的地址冲突时有发生。究其原因是上不了网,改 IP地址就可以上,所以就改。这导致局域网内部地址混乱,查找故障困难。即使通过网络监控可以分析找到某台 计算机有问题,但也很难找出是谁的计算机。 为了便于管理和切实有效的防御 ARP病毒的攻击,在交换设备上建立 ARP表,对 lP地址和 MAC地址进行静态绑定。虽然前期工作量较大,但具体实施后,可以大大减轻日常维护的工作量以及防止 ARP病毒对交换设备的欺骗。 2、 IP地址和 MAC地址静态绑定 从 ARP原理中,我们了解到, ARP表是动态存在的。为了防止 ARP表被篡改,我们可以将 ARP表设置成静态的。即静态绑定,从而起到防范的目的。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 重点行业资料库 > 1

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。