蘇寧

摘要：分析ARP病毒對(duì)聯(lián)網(wǎng)計(jì)算機(jī)實(shí)驗(yàn)室PC機(jī)的危害和攻擊方式，通過指出各防御方式的利弊，分析各種ARP病毒防御方式的可行性。

關(guān)鍵詞：ARP病毒；ARP協(xié)議；MAC地址

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)20-4855-02

The Campus Network ARP Attack Analysis and Defense Explore

SU Ning

（City College of Dongguan University of Technology，Dongguan 523106,China）

Abstract: Analysis of ARP virus hazards and attacks on a networked computer lab PC, to analyze the feasibility of the approach of a variety of ARP virus defense by pointing out the pros and cons of each defense style.

Key words: ARP virus; ARP protocol; MAC address

近年來(lái)隨著基于TCP/IP的以太網(wǎng)架構(gòu)不斷發(fā)展與成熟，計(jì)算機(jī)實(shí)驗(yàn)室基本采用了該種架構(gòu)進(jìn)行局域網(wǎng)聯(lián)網(wǎng)。此架構(gòu)在ISO模型中的二層數(shù)據(jù)鏈接層的尋址方式一般采用ARP協(xié)議，由于早期的設(shè)計(jì)并沒有考慮到該層的安全性，導(dǎo)致ARP協(xié)議只能滿足尋址功能，而不能抵御欺騙性攻擊。由此在二層容易產(chǎn)生各種類型的安全漏洞，對(duì)七層模型中的三層以上的應(yīng)用產(chǎn)生了嚴(yán)重的影響。如今各種大容量移動(dòng)介質(zhì)的量產(chǎn)與普及，使得基于ARP協(xié)議的各種病毒無(wú)孔不入。校園網(wǎng)中的計(jì)算機(jī)實(shí)驗(yàn)室由于PC機(jī)集中，數(shù)量多，往往最容易受到ARP病毒的攻擊。由此給實(shí)驗(yàn)室管理員帶來(lái)了巨大的工作量，并影響了師生正常開展各做實(shí)驗(yàn)。該文根據(jù)實(shí)驗(yàn)室的管理經(jīng)驗(yàn)分析ARP病毒的原理，并結(jié)合校園網(wǎng)的一些技術(shù)提出一些解決方法。

1 ARP簡(jiǎn)介與ARP病毒攻擊方式

1.1 ARP的原理和作用

ARP全稱為Address Resolution Protocol，是ISO七層模型中的二層地址解析協(xié)議，

是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP協(xié)議的主要功能具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層地址解析為數(shù)據(jù)鏈路層的物理地址，目前計(jì)算機(jī)實(shí)驗(yàn)室中的聯(lián)網(wǎng)PC一般采用以太網(wǎng)架構(gòu)，數(shù)據(jù)鏈路層的物理地址一般為MAC地址。

在正常的局域網(wǎng)中，一般一個(gè)IP地址只對(duì)應(yīng)一個(gè)MAC地址，該MAC地址為全世界唯一的物理地址，在硬件出廠時(shí)已經(jīng)固化，不允許修改。以太網(wǎng)中的二層交換機(jī)通過廣播方式學(xué)習(xí)MAC地址，并與端口對(duì)應(yīng)，形成一張MAC地址與端口的對(duì)應(yīng)表，以中興2826S交換機(jī)為例，該表如圖1。這樣局域網(wǎng)內(nèi)同個(gè)網(wǎng)段的交換機(jī)能夠通過這張表找到相應(yīng)的MAC地址所在的端口。

圖1

如果以太網(wǎng)的PC機(jī)不在網(wǎng)個(gè)網(wǎng)段，由于二層廣播包無(wú)法穿越三層，所以在匯聚層三層交換機(jī)中會(huì)將MAC地址對(duì)應(yīng)上IP地址，形成ARP地址表，以方便使用三層路由協(xié)議進(jìn)行路由。如圖2。

以太網(wǎng)正是采用這種一一對(duì)應(yīng)的方式，讓互聯(lián)網(wǎng)的計(jì)算機(jī)中能夠?qū)ふ业狡湮恢?，并進(jìn)行數(shù)據(jù)傳輸。MAC地址和IP地址的組合就有如家里的門牌號(hào)，讓數(shù)據(jù)如信件一樣能找到對(duì)應(yīng)的門戶傳輸?shù)轿弧?/p>

1.2 ARP病毒的攻擊方式

根據(jù)以上的介紹，我們知道了ARP協(xié)議在數(shù)據(jù)傳輸中的重要性，值得注意的是，MAC地址雖然是唯一并且固化，但沒有任何加密方式，采用明文傳輸，可在傳輸過程中被修改，且二層交換機(jī)的地址表是可以學(xué)習(xí)變化的緩存。這就是ARP協(xié)議中的安全漏洞，一旦地址在傳輸過程中被篡改，那么直接造成數(shù)據(jù)的目的地發(fā)生改變，可以利用此獲得他人數(shù)據(jù)，嚴(yán)重的可讓他人數(shù)據(jù)無(wú)法傳輸。

利用以上漏洞，在校園網(wǎng)計(jì)算機(jī)實(shí)驗(yàn)室中最常見的ARP病毒攻擊方式主要集中在地址欺騙，而地址欺騙分為兩種，一種是對(duì)ARP表進(jìn)行欺騙；另一種是對(duì)局域網(wǎng)中的PC機(jī)進(jìn)行網(wǎng)關(guān)欺騙。

第一種ARP的欺騙原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它利用感染病毒的PC機(jī)對(duì)三層交換機(jī)或路由器通知一系列錯(cuò)誤的或者不存在的局域網(wǎng)MAC地址，并按照一定的頻率進(jìn)行，使真實(shí)的地址信息無(wú)法通過更新保存在ARP地址表，造成正常的PC機(jī)無(wú)法收到信息。

第二種ARP欺騙原理是網(wǎng)關(guān)欺騙。受欺騙的對(duì)象是PC機(jī)而不是網(wǎng)關(guān)，所有基于TCP/IP協(xié)議的以太網(wǎng)架構(gòu)中的PC機(jī)都有一個(gè)網(wǎng)關(guān)IP地址，該網(wǎng)關(guān)地址對(duì)應(yīng)著固定的MAC地址，在需要數(shù)據(jù)發(fā)送或者接入時(shí)，都首先從該網(wǎng)關(guān)發(fā)送出去或接入。而此種欺騙方式正是利用感染病毒的PC機(jī)本身修改了自己的網(wǎng)關(guān)MAC地址，這樣一來(lái)可以讓受病毒感染的計(jì)算機(jī)成為傀儡，數(shù)據(jù)將首先發(fā)送至不可信的地址，或者直接無(wú)法發(fā)送。

除了以上兩種主要的攻擊方式外，近年來(lái)，也偶有發(fā)現(xiàn)新型的ARP病毒采用非欺騙方式阻塞網(wǎng)絡(luò)，其原理利用病毒首先擴(kuò)散傳染局域網(wǎng)內(nèi)的PC機(jī)，然后在某一固定時(shí)段采用廣播方式不停向交換機(jī)請(qǐng)求尋址，使到全網(wǎng)段的PC機(jī)同時(shí)向網(wǎng)關(guān)發(fā)出巨量尋址請(qǐng)求，使得網(wǎng)關(guān)交換機(jī)或者路由的硬件資源耗盡而斷網(wǎng)。

2 ARP病毒的防御方式

多年來(lái)，針對(duì)以上的ARP病毒攻擊方式實(shí)驗(yàn)室管理員也采用了各種方法進(jìn)行防御，常見的方法有：

最常見的方法是在PC端安裝各種ARP病毒防治軟件，這對(duì)于一些對(duì)網(wǎng)絡(luò)技術(shù)太了解的管理員是較方便的方法。其原理多是首先尋找病毒特征碼殺滅病毒，然后利用互聯(lián)網(wǎng)數(shù)據(jù)的轉(zhuǎn)發(fā)查找真正的網(wǎng)關(guān)，然后通過靜態(tài)綁定網(wǎng)關(guān)的方式進(jìn)行病毒抵御。該方式在初期還是比較有效的，但是隨著后來(lái)ARP病毒的變種，這種個(gè)人版的病毒庫(kù)的更新往往跟不上病毒的更新速度，從而起不到殺滅的作用。而有一些ARP病毒所欺騙的MAC地址也是能夠作為網(wǎng)關(guān)出互聯(lián)網(wǎng)的“假網(wǎng)關(guān)”，其目的在于捕獲染病毒計(jì)算機(jī)的數(shù)據(jù)。此種類型的病毒，ARP病毒防治軟件起不到作用。還有一些ARP病毒與病毒防治軟件搶“優(yōu)先權(quán)”，防毒軟件可能五分鐘檢查一次網(wǎng)關(guān)的正確性，但是病毒每秒鐘就欺騙數(shù)百次，防毒軟件在不能找到病毒本體時(shí)，往往對(duì)該進(jìn)病毒束手無(wú)策。因?yàn)檫@種病毒會(huì)高占用系統(tǒng)資源，而防毒軟件的設(shè)計(jì)對(duì)資源的占用是有一定限度的。

第二種是手工綁定網(wǎng)關(guān)。對(duì)于大多數(shù)實(shí)驗(yàn)室使用的多數(shù)是WINDOWS系統(tǒng)，WINDOWS系統(tǒng)中采用arp–s命令可以靜態(tài)綁定網(wǎng)關(guān)，對(duì)于大量PC機(jī)的實(shí)驗(yàn)室，這無(wú)疑增加了實(shí)驗(yàn)室管理員的工作量。近年來(lái)也有利用各種文件分發(fā)工具，在服務(wù)端對(duì)PC端自動(dòng)分發(fā)帶有arp -s批處理文件，將該處理文件放至啟動(dòng)文件夾，達(dá)到啟動(dòng)綁定靜態(tài)網(wǎng)關(guān)的作用。此種方式一定程度防止了本地PC機(jī)的ARP網(wǎng)關(guān)欺騙，但是對(duì)于阻塞網(wǎng)絡(luò)的病毒，欺騙三層交換機(jī)或路由的病毒仍然起不到作用。

第三種方式是做“交換機(jī)端口—MAC地址—IP地址”三綁定，并起用了二層交換機(jī)的端口隔離功能。這種方式的原理就是將實(shí)驗(yàn)室局域網(wǎng)內(nèi)所有PC機(jī)三個(gè)代表特征全部進(jìn)行綁定，每一個(gè)端口對(duì)應(yīng)一個(gè)MAC地址，每個(gè)MAC地址對(duì)應(yīng)一個(gè)IP地址。如此一來(lái)，病毒便無(wú)法進(jìn)行欺騙同。由于采用了端口隔離功能，病毒也無(wú)法在內(nèi)網(wǎng)進(jìn)行廣播式傳播。此種方式無(wú)疑是最有效的防御方式。但我們也自然會(huì)想到，該種方式在少量PC機(jī)下是很容易實(shí)現(xiàn)的，但如果PC機(jī)的數(shù)量特別多則需要巨大的人工工作量，且端口隔離功能也使局域網(wǎng)內(nèi)的資源共享功能完全喪失，常用的系統(tǒng)網(wǎng)絡(luò)克隆也無(wú)法進(jìn)行。結(jié)合實(shí)驗(yàn)室管理的實(shí)際情況，該種方式雖有效但采用的人極少。

第四種方式是近年來(lái)由設(shè)備廠家研發(fā)的DHCP Snooping技術(shù)。由于現(xiàn)在小型家用路由的泛濫使用，導(dǎo)致一些不懂網(wǎng)絡(luò)技術(shù)的用戶，將小型家用路由器錯(cuò)接駁到大型局域網(wǎng)中當(dāng)交換機(jī)使用的形象頻頻發(fā)生。這些錯(cuò)接進(jìn)大型局域網(wǎng)的路由器在局域網(wǎng)內(nèi)非法分發(fā)IP地址，給網(wǎng)絡(luò)管理員帶來(lái)了無(wú)盡的煩惱。早期DHCP Snooping技術(shù)的設(shè)計(jì)正是為了防范局域網(wǎng)內(nèi)的非法DHCP服務(wù)器，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。隨著DHCP Snooping技術(shù)的廣泛使用，網(wǎng)絡(luò)管理員發(fā)現(xiàn)該技術(shù)的綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息，與防御ARP病毒的最有效方法類似。當(dāng)交換機(jī)開啟了DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。目前該技術(shù)與交換機(jī)的DAI配合，非常有效地防止了ARP病毒的傳播，同時(shí)也不會(huì)給實(shí)驗(yàn)室管理員帶來(lái)多大的工作壓力，對(duì)實(shí)驗(yàn)室的正常網(wǎng)絡(luò)使用也沒有任任何影響。此種方式可以說(shuō)是目前防御ARP病毒的最有效方法，但其缺點(diǎn)在于所有接入設(shè)備必須都是可網(wǎng)管并且支持DHCP Snooping功能的交換設(shè)備，對(duì)于大規(guī)模的實(shí)驗(yàn)室，其建設(shè)成本也是相對(duì)較大的。

3結(jié)束語(yǔ)

通過以上分析，我們了解到ARP病毒的幾種攻擊方式和危害。結(jié)合各種計(jì)算機(jī)實(shí)驗(yàn)室的不同實(shí)際情況，我們應(yīng)該權(quán)衡利弊，采用不同的應(yīng)對(duì)防御方式，將ARP病毒的危害減少到最小程度。

參考文獻(xiàn)：

[1]王湘渝,邱春榮.基于ARP攻擊與防范課程實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索,2009(5).

[2]李俊民,郭艷麗.網(wǎng)絡(luò)安全與黑客安全寶典[M].北京:電子工業(yè)出版社,2010.

[3]葛瑋,謝堅(jiān),劉斌.基于終端的計(jì)算機(jī)網(wǎng)絡(luò)防御體系技術(shù)小析[J].江西電力職業(yè)技術(shù)學(xué)院學(xué)報(bào),2011(1).