李靜媛

摘要:近年來很多網(wǎng)絡(luò)遭受ARP病毒的侵犯,ARP欺騙是一種典型的欺騙攻擊類型,它利用了ARP協(xié)議存在的安全隱患,并使用一些專門的攻擊工具,使得這種攻擊變得普及并有較高的成功率。文中通過分析ARP協(xié)議的工作原理,探討遭受ARP攻擊時表現(xiàn)癥狀及原因,提出了ARP攻擊檢測與處理的辦法和幾種常規(guī)可行的解決方案。

關(guān)鍵字:ARP攻擊;網(wǎng)絡(luò)安全;對策

近年來,許多網(wǎng)絡(luò)用戶訪問互聯(lián)網(wǎng)時斷時續(xù),出現(xiàn)上網(wǎng)速慢、上網(wǎng)不穩(wěn)定的情況。究其原因,很可能是機(jī)器受到一種名為ARP欺騙木馬程序(病毒)的攻擊(ARP是“Address Resolution Protocol”“地址解析協(xié)議”的縮寫)。ARP攻擊往往導(dǎo)致計算機(jī)網(wǎng)絡(luò)連接正常,卻無法打開網(wǎng)頁;或由于ARP欺騙的木馬程序(病毒)發(fā)作時發(fā)出大量的數(shù)據(jù)包,導(dǎo)致用戶上網(wǎng)不穩(wěn)定,甚至網(wǎng)絡(luò)中斷,使網(wǎng)絡(luò)安全受到極大的威脅,如何有效的防范ARP攻擊是網(wǎng)絡(luò)管理的重要內(nèi)容。

1 ARP協(xié)議工作原理

ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中,一個主機(jī)和另一個主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)MAC地址就是通過地址解析協(xié)議獲得的,所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議主要負(fù)責(zé)將網(wǎng)絡(luò)中的32位IP地址轉(zhuǎn)換為對應(yīng)的48位物理地址,即網(wǎng)卡的MAC地址,比如IP地址位192.168.10.5網(wǎng)卡MAC地址為00-05-0F-ED-1D-5B。整個轉(zhuǎn)換過程是一臺主機(jī)先向目標(biāo)主機(jī)發(fā)送包含有IP地址和MAC地址的數(shù)據(jù)包,通過MAC地址兩個主機(jī)就可以實現(xiàn)數(shù)據(jù)傳輸了。

在每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應(yīng)的。我們以主機(jī)A向主機(jī)B發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時,主機(jī)A會在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了,也就知道了目標(biāo)MAC地址,直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了;如果在ARP緩存表中沒有找到相對應(yīng)的IP地址,主機(jī)A就會在網(wǎng)絡(luò)上發(fā)送一個廣播,目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”,網(wǎng)絡(luò)上其它主機(jī)關(guān)不響應(yīng)ARP詢問,只有主機(jī)B接收到這個幀時,才向主機(jī)A做出這樣的回應(yīng),并返回MAC地址,這樣,主機(jī)A就知道了主機(jī)B的MAC地址,它就可以向主機(jī)B發(fā)送信息了。同時它還更新了自己的ARP緩存表。

2遭受ARP攻擊時表現(xiàn)癥狀及原因

常見的ARP攻擊主要包括網(wǎng)關(guān)劫持和雙向的ARP欺騙。網(wǎng)關(guān)劫持是指攻擊主機(jī)仿冒網(wǎng)關(guān)發(fā)出ARP響應(yīng)包,誘騙其它客戶機(jī)以為攻擊主機(jī)是網(wǎng)關(guān),從而找不到真正的網(wǎng)關(guān)而無法上網(wǎng)。這種攻擊最常見的是網(wǎng)絡(luò)中某一臺電腦中了ARP病毒,導(dǎo)致整個網(wǎng)絡(luò)或者中毒電腦所在的網(wǎng)段不能上網(wǎng),如果病毒在局域網(wǎng)中迅速擴(kuò)散,大量的中毒電腦不斷發(fā)送ARP廣播包還可能導(dǎo)致整個網(wǎng)絡(luò)中斷。

2.1遭受ARP攻擊時表現(xiàn)的主要癥狀

網(wǎng)絡(luò)內(nèi)用戶會突然掉線,過一段時間后又恢復(fù)正常。 使用即時通訊工具軟件(如QQ、MSN)時頻繁斷網(wǎng),IE瀏覽器頻繁出錯。使用身份認(rèn)證上網(wǎng)的用戶,出現(xiàn)能夠通過認(rèn)證,但是無法上網(wǎng)的情況。計算機(jī)上網(wǎng)速度比正常時緩慢許多。

2.2遭受ARP攻擊時表現(xiàn)的主要原因

原因之一:當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)感染了ARP病毒時,會向本局域網(wǎng)內(nèi)所有主機(jī)發(fā)送ARP欺騙攻擊,讓原本流向網(wǎng)絡(luò)中心的流量改道流向病毒主機(jī),并通過病毒主機(jī)代理上網(wǎng),因客戶端具有防代理功能,造成受害者無法通過病毒主機(jī)上網(wǎng)。另由于病毒發(fā)作時發(fā)出大量數(shù)據(jù)包會將網(wǎng)絡(luò)擁塞,大家會感覺上網(wǎng)速度越來越慢。中毒者同樣如此,受其自身處理能力的限制,感覺運行速度很慢時,可能會采取重新啟動,此時病毒短時間停止工作,大家會感到網(wǎng)絡(luò)恢復(fù)正常。如此反復(fù),就造成網(wǎng)絡(luò)時斷時續(xù)。

原因之二:局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序發(fā)送ARP欺騙數(shù)據(jù)包,致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng),過一段時間又能上網(wǎng),反復(fù)掉線的現(xiàn)象。

3 ARP攻擊檢測及處理

3.1 ARP攻擊診斷方法

如果發(fā)現(xiàn)網(wǎng)絡(luò)不正常,可以通過如下操作進(jìn)行診斷:

點擊“開始”按鈕->選擇“運行”->輸入“arp -d”->點擊“確定”按鈕,然后重新嘗試上網(wǎng),假如能恢復(fù)正常,則說明此次掉線可能是受ARP欺騙所致。同時按住鍵盤上的“ ctrl ”和“ alt ”鍵再按“ del ”鍵,選擇“任務(wù)治理器”,點選“進(jìn)程”標(biāo)簽。察看其中是否有一個名為“ vktserv.exe ”的進(jìn)程。假如有,則說明已經(jīng)中毒。

3.2ARP攻擊處理方法

中ARP病毒者:下載360衛(wèi)士ARP防火墻,下載地址:http://www.#/down/soft_down11.html。在進(jìn)程中假如有“vktserv”進(jìn)程,右鍵點擊此進(jìn)程后選擇“結(jié)束進(jìn)程”,然后在c:windowssystem32路徑找到vktserv.exe文件刪除,在“控制面板”-“治理工具”-“服務(wù)”中,找到vktserv服務(wù)禁用,重起機(jī)器。

受攻擊者

假如已經(jīng)不能上網(wǎng),則先運行一次命令arp -d將arp緩存中的內(nèi)容刪空,計算機(jī)可暫時恢復(fù)上網(wǎng),注:arp -d命令用于清除并重建本機(jī)arp表。arp -d命令并不能抵御ARP欺騙,執(zhí)行后仍有可能再次遭受ARP攻擊。假如已經(jīng)有網(wǎng)關(guān)的正確MAC地址,在不能上網(wǎng)時,手工將網(wǎng)關(guān)IP和正確MAC綁定,可確保計算機(jī)不再被攻擊影響。手工綁定可在MS-DOS窗口下運行以下命令: arp -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC,但系統(tǒng)重啟后失效。

4 ARP攻擊的防治對策

4.1 用戶端綁定

在用戶端計算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP和MAC地址。

首先,要求用戶獲得交換機(jī)網(wǎng)關(guān)的IP地址和MAC地址,用戶在DOS提示符下執(zhí)行 arp -a命令,具體如下:

C:Documents and Settingsuser>arp -a

Interface: 192.168.10.50x2

Internet AddressPhysical Address Type

192.168.10.254 00-05-0F-ED-1D-5Bdynamic

其中192.168.10.254和00-05-0F-ED-1D-5B分別為網(wǎng)關(guān)的IP 地址和MAC地址,因用戶所在的區(qū)域、樓體和交換機(jī)不同,其對應(yīng)網(wǎng)關(guān)的IP地址和MAC地址也不相同。

編寫一個批處理文件arp.bat,實現(xiàn)將交換機(jī)網(wǎng)關(guān)的MAC地址和網(wǎng)關(guān)的IP地址的綁定,內(nèi)容如下:

@echo off

arp -d

arp -s192.168.10.25400-05-0F-ED-1D-5B

用戶應(yīng)該按照第一步中查找到的交換機(jī)網(wǎng)關(guān)的IP地址和MAC地址,填入arp -s后面即可,同時需要將這個批處理軟件拖到“windows--開始--程序--啟動”中,以便用戶每次開機(jī)后計算機(jī)自動加載并執(zhí)行該批處理文件,對用戶起到一個很好的保護(hù)作用。

4.2 網(wǎng)管交換機(jī)端綁定

在核心交換機(jī)上綁定用戶主機(jī)的IP地址和網(wǎng)卡的MAC地址,同時在邊緣交換機(jī)上將用戶計算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。IP和MAC地址的綁定。在核心交換機(jī)上將所有局域網(wǎng)絡(luò)用戶的IP地址與其網(wǎng)卡MAC地址一一對應(yīng)進(jìn)行全部綁定。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進(jìn)行流量的盜取。MAC地址與交換機(jī)端口的綁定。根據(jù)局域網(wǎng)絡(luò)用戶所在的區(qū)域、樓體和用戶房間所對應(yīng)的交換機(jī)端口號,將用戶計算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定。此方案可以防止非法用戶隨意接入網(wǎng)絡(luò)端口上網(wǎng)。網(wǎng)絡(luò)用戶如果擅自改動本機(jī)網(wǎng)卡的MAC地址,該機(jī)器的網(wǎng)絡(luò)訪問將因其MAC地址被交換機(jī)認(rèn)定為非法而無法實現(xiàn)上網(wǎng),自然也就不會對局域網(wǎng)造成干擾了。

4.3采用VLAN技術(shù)隔離端口

局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)本單位網(wǎng)絡(luò)的拓卜結(jié)構(gòu),具體規(guī)劃出若干個VLAN,當(dāng)管理員發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò),或因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時,網(wǎng)絡(luò)管理員可利用技術(shù)手段首先查找到該用戶所在的交換機(jī)端口,然后將該端口劃一個單獨的VLAN將該用戶與其它用戶進(jìn)行物理隔離,以避免對其它用戶的影響。當(dāng)然也可以利用將交換機(jī)端口Disable掉來屏蔽該用戶對網(wǎng)絡(luò)造成影響,從而達(dá)到安全防范的目的。

4.4 使用ARP防護(hù)軟件

針對ARP欺騙攻擊的軟件在網(wǎng)絡(luò)中很多。多數(shù)軟件單單針對ARP欺騙攻擊的某一方面特性進(jìn)行制作抵御軟件的原理,這些軟件在ARP防范領(lǐng)域有一些影響。同時大家還可以安裝防病毒軟件,安裝ARP漏洞補(bǔ)丁等方法,來防范ARP攻擊。

參考文獻(xiàn)

[1]孔祥翠等,校園局域網(wǎng)防ARP病毒的研究和解決[J].計算機(jī)安全,2008,(4).

[2]華師傅資訊,dos命令行網(wǎng)絡(luò)與系統(tǒng)應(yīng)用疑難解析與技巧1500例[M]中國鐵道出版社 2008-10

[3]宋文官 網(wǎng)絡(luò)技術(shù)與應(yīng)用[M] 高等教育出版設(shè) 2005-12.