孫 博

針對(duì)校園網(wǎng)ARP病毒攻擊的分析及防范

孫 博

ARP病毒是一種偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，從而使網(wǎng)絡(luò)癱瘓的一種病毒。通過對(duì)ARP病毒的攻擊原理進(jìn)行分析，可以總結(jié)出一套檢測它的方法，并整理出一些平時(shí)在校園網(wǎng)維護(hù)中對(duì)其有效的防范方法，從而提高校園網(wǎng)的安全性。

校園網(wǎng)；ARP病毒；攻擊原理；檢測和防范

在校園網(wǎng)規(guī)模不斷擴(kuò)大、使用人數(shù)不斷增加的今天，各種網(wǎng)絡(luò)安全問題不斷凸現(xiàn)出來。其中，ARP病毒攻擊所引起的網(wǎng)絡(luò)故障極大地影響了校園網(wǎng)的正常運(yùn)行。由于ARP病毒傳播速度很快、變種眾多，且國內(nèi)外網(wǎng)絡(luò)安全廠商一時(shí)都沒有提出有效的解決方案，所以ARP病毒攻擊是目前校園網(wǎng)管理和維護(hù)中需要迫切解決的一大難題。

校園網(wǎng)絡(luò)中的關(guān)鍵設(shè)備，如路由器、三層交換機(jī)、裝有TCP/IP協(xié)議的電腦等都提供ARP緩存表，用來提高通信速度。ARP病毒攻擊通過偽造的MAC地址與局域網(wǎng)中的IP地址對(duì)應(yīng)，并修改路由器或電腦中的ARP緩存表，使得具有合法MAC地址的電腦無法與IP地址對(duì)應(yīng)，從而無法通過路由器連接網(wǎng)絡(luò)。在掉線重啟路由器或交換機(jī)之后，ARP緩存表會(huì)自動(dòng)刷新，網(wǎng)絡(luò)會(huì)重新恢復(fù)正常。但在短時(shí)間內(nèi)，ARP病毒又會(huì)發(fā)動(dòng)攻擊使得網(wǎng)絡(luò)再度癱瘓，如此反復(fù)。一些沒有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員很容易被這種現(xiàn)象迷惑，以為是路由器或交換機(jī)設(shè)備故障，從而沒有及時(shí)處理而產(chǎn)生更嚴(yán)重的后果。

一、對(duì)ARP病毒攻擊原理的分析

ARP協(xié)議的主要功能是將局域網(wǎng)中的IP地址轉(zhuǎn)換成MAC地址，ARP病毒正是通過ARP協(xié)議的這一功能，偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，從而在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，進(jìn)行ARP重定向和嗅探攻擊，使局域網(wǎng)內(nèi)電腦的ARP表混亂。

迄今在校園網(wǎng)中發(fā)現(xiàn)的病毒程序，如PWsteal、lemir或其變種，屬于木馬/蠕蟲類病毒，windows操作系統(tǒng)都會(huì)受到影響。影響網(wǎng)絡(luò)暢通的ARP病毒攻擊有兩種方式：對(duì)三層路由交換機(jī)的ARP表欺騙以及對(duì)內(nèi)網(wǎng)網(wǎng)關(guān)的欺騙。第一種攻擊方式是病毒先截獲網(wǎng)關(guān)數(shù)據(jù)，再將一系列的錯(cuò)誤的內(nèi)網(wǎng)MAC信息不斷地發(fā)送給三層路由交換機(jī)，造成其發(fā)出錯(cuò)誤的MAC地址，導(dǎo)致正常的PC無法收到信息。第二種攻擊方式是病毒偽造網(wǎng)關(guān)，它先建立一個(gè)假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，造成PC無法正常連接網(wǎng)絡(luò)。

二、ARP病毒的危害

ARP病毒對(duì)于校園網(wǎng)的日常安全運(yùn)行造成了很大的阻礙，其危害性可以總結(jié)為以下幾點(diǎn)。

1.阻止其他用戶連接網(wǎng)絡(luò)，造成局域網(wǎng)癱瘓。將ARP欺騙包指向不能提供數(shù)據(jù)傳輸服務(wù)的、無效的MAC地址；或指向中毒的主機(jī)，但中毒主機(jī)不為用戶向“真網(wǎng)關(guān)”傳遞數(shù)據(jù)。這將導(dǎo)致局域網(wǎng)全網(wǎng)掉線，其他主機(jī)無法訪問網(wǎng)絡(luò)。

2.盜取用戶個(gè)人隱私數(shù)據(jù)，如賬號(hào)密碼等。將ARP欺騙包指向中毒主機(jī)的MAC地址，則局域網(wǎng)中被欺騙的主機(jī)會(huì)將數(shù)據(jù)傳送給中毒主機(jī)。中毒主機(jī)系統(tǒng)中的病毒可以通過嗅探這些數(shù)據(jù)的內(nèi)容，進(jìn)行包括破譯密文等處理，從而得到包括網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)銀行賬號(hào)密碼在內(nèi)的各種信息，直接或間接威脅到用戶的隱私和財(cái)產(chǎn)安全。這樣的病毒明顯具有木馬的性質(zhì)。

3.修改網(wǎng)關(guān)回傳數(shù)據(jù)，并插入惡意代碼。ARP欺騙造成的局域網(wǎng)上網(wǎng)斷線只是表面現(xiàn)象，更深層的危害在于，ARP欺騙造成了網(wǎng)絡(luò)數(shù)據(jù)的違規(guī)‘出站’和‘回傳’（即被欺騙主機(jī)將數(shù)據(jù)傳到了原本不應(yīng)該被信任的目標(biāo)）。攻擊者因此可以利用‘回傳’給他的數(shù)據(jù)，作出進(jìn)一步危害用戶安全的行為，包括利用數(shù)據(jù)中的信息發(fā)動(dòng)有針對(duì)性的‘進(jìn)站’攻擊（即向被欺騙主機(jī)發(fā)送帶有惡意攻擊性代碼的數(shù)據(jù)）。將ARP欺騙包指向中毒主機(jī)的MAC地址，中毒主機(jī)接收到被欺騙主機(jī)傳來的信息，并充當(dāng)“偽網(wǎng)關(guān)”，在被欺騙主機(jī)與“真網(wǎng)關(guān)”之間進(jìn)行數(shù)據(jù)交互。然而，“偽網(wǎng)關(guān)”得到由“真網(wǎng)關(guān)”傳來的數(shù)據(jù)后，在將數(shù)據(jù)傳回給被欺騙主機(jī)的過程中，在其中加插了惡意代碼，不知情的被欺騙主機(jī)接收了數(shù)據(jù)，主機(jī)系統(tǒng)中的應(yīng)用程序執(zhí)行了包括惡意代碼在內(nèi)的內(nèi)容，就直接導(dǎo)致用戶的計(jì)算機(jī)安全遭到破壞。

三、對(duì)ARP病毒的檢測

在了解了ARP病毒的攻擊原理之后，筆者在日常校園網(wǎng)的維護(hù)和管理中總結(jié)出兩個(gè)檢測ARP病毒的方法：1.分析網(wǎng)關(guān)ARP緩存表的方法。登陸局域網(wǎng)的上聯(lián)三層交換機(jī)查看其ARP緩存表，這么做的目的是因?yàn)锳RP病毒攻擊主要是針對(duì)網(wǎng)關(guān)進(jìn)行攻擊，所以在網(wǎng)關(guān)的ARP表中會(huì)保留錯(cuò)誤的MAC記錄。如果檢查ARP表時(shí)發(fā)現(xiàn)有很多IP都指向同一個(gè)MAC地址，那么此MAC地址對(duì)應(yīng)的主機(jī)就是ARP病毒源；如果網(wǎng)關(guān)ARP表正常，但存在多主機(jī)同一端口連接網(wǎng)關(guān)的，也可查出ARP病毒源。2.使用軟件抓包法。在校園網(wǎng)內(nèi)任意一臺(tái)電腦上運(yùn)行sniffer抓包軟件，如果發(fā)現(xiàn)某個(gè)IP不斷發(fā)送ARP請求包，那么一般這臺(tái)電腦就是ARP病毒源。

四、針對(duì)ARP病毒攻擊的防范

在了解了APR病毒的攻擊原理和攻擊方式后，如何對(duì)其進(jìn)行防范是校園網(wǎng)安全和暢通的關(guān)鍵。對(duì)于ARP病毒的防范我們可以從交換機(jī)和PC兩個(gè)層面入手。

交換機(jī)層面。目前多數(shù)新型號(hào)的交換機(jī)都支持APR入侵檢測功能，如H3C的$3600以上的交換機(jī)都加了此功能。它的工作原理是：將經(jīng)過交換機(jī)的所有ARP(請求與回應(yīng))報(bào)文重定向到CPU，利用DHCP Snooping表或手工配置的IP靜態(tài)綁定表，對(duì)ARP報(bào)文進(jìn)行合法性檢測。開啟ARP入侵檢測功能后，如果ARP報(bào)文中的源MAC地址、源IP地址、接收ARP報(bào)文的端口編號(hào)以及端口所在VLAN與DHCP Snooping表或手工配置的IP靜態(tài)綁定表表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)；否則認(rèn)為是非法的ARP報(bào)文，直接丟棄。除了開啟ARP入侵檢測功能之外，還應(yīng)該對(duì)ARP報(bào)文進(jìn)行限速控制，因?yàn)楫?dāng)某一個(gè)端口以高頻率發(fā)送ARP報(bào)文的時(shí)候會(huì)占用交換機(jī)大量的CPU資源，嚴(yán)重時(shí)甚至?xí)斐山粨Q機(jī)死機(jī)，所以千萬不要忽視這點(diǎn)。開啟某個(gè)端口的ARP報(bào)文限速功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的ARP報(bào)文數(shù)量超過設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)。此時(shí)，變換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免大量ARP報(bào)文攻擊設(shè)備。同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了ARP限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài)。

PC層面。PC層面我們只需要安裝一款A(yù)RP防火墻，現(xiàn)在的免費(fèi)殺毒軟件都自帶了ARP防火墻，如360安全衛(wèi)士等。

上面介紹了對(duì)于ARP攻擊的防范，那么在具體的校園網(wǎng)環(huán)境下該如何防范ARP病毒，以下我總結(jié)了幾條我校對(duì)于ARP病毒攻擊所采取的方法，可以有效地對(duì)其進(jìn)行防范。

1.對(duì)于連入校園網(wǎng)的每臺(tái)電腦的IP和MAC地址進(jìn)行綁定：在每臺(tái)電腦進(jìn)入DOS，輸入arp-s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC地址，回車后即完成了綁定。但是這個(gè)操作必須在每次系統(tǒng)啟動(dòng)時(shí)進(jìn)行操作，很麻煩。我們可以把此命令做成一個(gè)批處理文件，放在系統(tǒng)的啟動(dòng)里，批處理文件如下：

@echo off

arp-d

arp-s網(wǎng)關(guān)的IP網(wǎng)關(guān)的MAC地址

2.在接入層交換機(jī)的各個(gè)端口綁定對(duì)應(yīng)PC的IP/MAC地址。

3.安裝最新的殺毒軟件。安裝如瑞星或360等殺毒軟件升級(jí)到最新病毒庫并定期對(duì)機(jī)器進(jìn)行掃描，使用防止ARP攻擊的軟件如：ARPfix或AntiARP等。

4.處理病毒源。一旦發(fā)現(xiàn)ARP攻擊，在檢測到病毒源機(jī)器后對(duì)該機(jī)器進(jìn)行殺毒或重做系統(tǒng)操作，這樣可以有效的阻斷ARP病毒繼續(xù)對(duì)局域網(wǎng)中的其他機(jī)器進(jìn)行攻擊。

5.加強(qiáng)密碼管理。ARP病毒是一種木馬類病毒，對(duì)于用戶的信息如QQ密碼、網(wǎng)銀密碼等隱私信息都會(huì)被它竊取。所以我們必須給交換機(jī)的系統(tǒng)管理員設(shè)置足夠復(fù)雜的密碼，以防黑客輕易攻陷。也可以禁用一些不用的賬戶及來賓賬戶來起到加強(qiáng)安全的目的。

6.使用ARP病毒防火墻。

7.關(guān)閉不需要的服務(wù)?？梢赃m當(dāng)?shù)仃P(guān)閉網(wǎng)絡(luò)共享來起到阻斷ARP病毒傳播的作用，也包括C$、D$等管理共享。

8.對(duì)于移動(dòng)存儲(chǔ)設(shè)備的使用加強(qiáng)管理。U盤等移動(dòng)設(shè)備是病毒傳播的一個(gè)重要途徑，在打開U盤前要對(duì)其先進(jìn)行病毒掃描，不要運(yùn)行陌生的程序。

隨著校園網(wǎng)終端的不斷增多及信息流量的增加，筆者在管理和維護(hù)中遇到了各類問題，摸索出了一些可行的處理方法和防范措施。其中ARP病毒攻擊是比較棘手的網(wǎng)絡(luò)安全問題。在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天，對(duì)于網(wǎng)絡(luò)管理者提出了更高的要求，只有不斷的學(xué)習(xí)才能在管理中立于不敗之地。

[1]凌力.網(wǎng)絡(luò)協(xié)議及網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2007.

[2]王文壽，王珂.網(wǎng)管員必備寶典—網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2007.

[3]李俊民，郭艷麗.網(wǎng)絡(luò)安全與黑客安全寶典[M].北京：電子工業(yè)出版社，2010.

責(zé)任編輯：郭一鶴

G43

B

1671-6531（2012）02-0133-02

孫博/長春大學(xué)光華學(xué)院教育技術(shù)中心教師（吉林長春130117）。