ARP病毒入侵原理及解决方案

ARP病毒入侵原理及解决方案*

张文亮

(咸宁学院网络管理中心,湖北咸宁437100)

摘要:通过局域网连接I NTERNET的用户,对于AR P病毒应该都不会陌生,并且基本上都深受其害.这个病毒在很大程度上降低了网络的性能,甚至瘫痪,导致用户无法正常使用网络.本文从该病毒入侵原理的角度来分析我们如何去防范该病毒,并给出具体的解决方案.

关键词:局域网;I NTERNET;ARP病毒

中图分类号:TP309.5文献标识码:A

0引言

ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(T ro j a n)病毒,不具备主动传播的特性,不会自我复制.但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多.其危害主要表现在:局域网内的部分或所有电脑不能上网;无法打开网页或打开网页慢;在打开的网页顶部和底部插入恶意广告;不断提示I P地址冲突(非I P共用产生的I P地址冲突);局域网时断时续并且网速较慢等.[1]

1ARP病毒入侵原理

ARP全称为A ddress Reso lution Protoco,l中文名称是地址解析协议.它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务.所谓/地址解析0就是主机在发送数据包前将目标主机I P地址(I P地址32位)转换成目标主机MAC地址(MAC地址48位)的过程.[2]ARP协议属于链路层的协议,以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(MAC 地址)来确定接口的,而不是根据32位的I P地址.内核(如驱动)必须知道目的端的MAC地址才能发送数据.当源主机需要传送数据给目标主机的时候,首先会在本机ARP缓存表(ARP缓存表是用来保存该网络中各个电脑的I P地址和MAC地址的对应关系的)中查询目标设备的MAC地址,如果在ARP缓存表中可以查询到目的主机对应的MAC地址,便立即把查询到的MAC地址作为目的主机地址,并将数据传送给该MAC地址所在的接口;如果在ARP缓存表中没有查询到目的主机对应的MAC地址,这个时候源主机就会向全网络发送一个ARP广播包,询问目的主机I P地址对应的MAC地址.这时,该网段的计算机以及网关都会收到该ARP广播包,当目的主机收到该包的时候,它会单独给源主机发送一个包并告诉源主机自己的MAC地址,当源主机收到来自目的主机的应答包后,便会将目的主机的I P地址和MAC地址的对应关系写入自己的ARP缓存表,从而继续完成数据的传送.[3]

这种数据传送机制似乎很完美,但ARP病毒欺骗却利用了ARP协议本身的特点和漏洞对网内主机实施了攻击.上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中哪台电脑,其发送的ARP数据包都是正确的.而ARP病毒恰好利用了这一点,利用感染了ARP 病毒的主机在网内肆意发布伪造的ARP包,告诉网内的其他主机自己的MAC地址才是它们寻找的目标地址,企图冒充目标主机甚至冒充网关.从而实施欺骗过程,破坏网络的正常运行.[4]例如:如图1,主机A需要访问网络中某网站www.xyz. co m,首先A会请求网关,将www.xyz.co m的内容下载下来并传送给自己.如果此时网内有感染ARP病毒的主机B,当A发送请求包给网关的时

*收稿日期:2008-03-20候,B会给网内的主机发送ARP广播包,该包的内容是:/我是网关,我的MAC地址是:BB-BB-BB -BB-BB-BB.0当A收到来自B的广播包后,A 的请求包就被B所截获,B就充当了网关的角色.此时A是否能收到来自www.xyz.co m的数据就完全取决于主机B.主机B会先通过真正的网关下载www.xyz.co m的内容,然后传送给主机A.所以主机B的网络状况直接影响到主机A访问网络的延时时间,甚至会中断.所以用户才会感觉到网络时断时续或者彻底中断.

图1

2ARP病毒的表现形式

ARP协议作为链路层协议,是一种很特殊也很重要的协议.因此ARP病毒的发作也给网络的正常传输带来了各种各样破坏.其表现形式基本上分为以下几点:

2.1网络频繁掉线

网络频繁掉线主要表现为用户在使用网络的过程中,网页打开速度慢、时断时续甚至根本打不开以及其它的网络应用处于断线状态.这种现象是因为感染ARP病毒的主机一旦收到ARP请求包后,便向源主机发送伪造的ARP包,导致源主机无法与真正的目的主机通讯.当伪造的ARP包中包含错误的网关信息时,源主机会误认为中毒主机就是网关,便会通过中毒主机连接,如果中毒主机性能很差,无法胜任/网关临时代理0功能,就会表现为用户网络连通,但延时太大,所以用户上网才会觉得慢、时断时续,甚至根本无法连接网络.

2.2弹出恶意广告

ARP病毒在伪装网关的基础上,还会对HTTP 请求访问进行修改.HTTP是应用层的协议,主要是用于W EB网页访问.当源主机请求网关访问某个网站的时候,中毒主机仍然会担任/网关临时代理0之职,仍然会给源主机下载所请求的web网站内容,但不同的是,在将w eb内容传送给源主机的同时(图示1第六步),会在下载的w eb内容中插入恶意网址连接,该恶意网址连接会利用MS06-014和M S07-017等多种系统漏洞,向源主机种植木马病毒.将进一步破坏用户系统以及网络环境.

2.3提示I P地址冲突

ARP病毒还会造成用户I P地址冲突,并不断的提示,干扰用户正常使用网络.正常情况下,当主机A在连接网络(或更改I P地址)的时候就会向网络发送ARP包广播自己的I P地址,也就是freearp.如果网络中存在相同I P地址的主机B,那么B就会通过ARP来reply该地址,当A接收到这个rep l y后,A就会跳出I P地址冲突的警告,当然B也会有警告.但如果网内存在ARP欺骗病毒,那么中毒主机便可以伪造这个ARP rep l y,ARP rep l y 的内容就是/我的地址和主机A一样0,主机A就误认为自己的I P和别人冲突了,就会不断的出现

I P地址冲突警告,也就无法与网络通信.

2.4欺骗网关,彻底断网

前面几点我们讲的都是ARP病毒欺骗主机的情况.现在我们讲ARP病毒最严重的一种破坏方式,即:欺骗网关.中毒主机向网关发送伪造的ARP应答数据包,其中发送方的I P地址为目标主机的I P地址,而MAC地址则为一个伪造的地址.这样,路由器的ARP表中就产生了一条错误的I P -MAC记录,网关发送给目标的数据包都是使用了错误的MAC地址.这种情况下,目标能够发送数据到网关,却不能接收到来自网关的任何数据.导致主机彻底处于断线状态.

2.5其它

随着ARP病毒的扩散日益严重,很多黑客利用了ARP病毒的特性结合其他木马病毒对用户实施更严重的攻击与破坏.例如:目前对用户破坏比较大的一种病毒是/磁碟机新变种0病毒.一旦感染这个病毒,首先它会在指定的网站下载ARP病毒,然后不间断的对网内的其他用户实施ARP攻击,并且中毒的计算机基本上失去了病毒防护能力,将所有的与病毒防护有关的软件实施禁用;无法显示隐藏文件;在进程中多了几个以管理员为用户名的进程:LSASS.exe、S M SS.exe等,并无法结束这些进程.此类病毒查杀难度很大,用户计算机基本上处于瘫痪状态.此类病毒最有效的清除办法就是利用专杀工具反复查杀.

3ARP病毒的解决及防范

ARP病毒是基于链路层协议的病毒,是一种特殊的病毒.目前解决该病毒的方案主要是以防为主.以下从两个角度来谈关于ARP病毒的防范措施.

咸宁学院学报第28卷3.1用户的角度

3.1.1绑定防范ARP病毒

当受到ARP病毒攻击的情况下,用户可以利用主机I P地址和MAC地址绑定和网关MAC地址绑定来避免ARP病毒修改ARP缓存表[5].具体命令为:arp-s a.a.a.a(IP地址)00-00-00-00 -00-00(MAC地址).可以将该命令制作成批处理命令,设置在启动项里面.当系统启动时,会自动运行,起到保护作用.一旦受到ARP攻击,源主机收到伪造的ARP包,但是无法修改ARP缓存表中绑定的内容,就不会影响源主机与网关以及外部通信了.

3.1.2利用第三方软件控制

对于一般用户而言,最有效、最简单的方式就是采用第三方防ARP病毒软件进行防范.目前用户用得最多的就是瑞星防火墙、360安全卫士、Anti ARP Sniffer防火墙等.它们都具备拦截ARP攻击或者拦击ARP攻击其他用户的功能.这些软件配合使用基本上可以控制不被ARP病毒侵入.

3.2网络管理员的角度

对于一个中、大型的网络而言,用户太多,要求每个用户都做到ARP病毒的防范,似乎不大可能.哪怕只有一台计算机没有做好防范措施,也会对网络造成很大的影响,所以从用户的角度去抑制或清除该病毒始终是不够彻底的.要彻底的解决这个病毒,还是应该从网络管理的角度着手.

3.2.1及时查找并处理病毒源

网络管理员可以对指定的网络实施监控,发现ARP病毒并配合用户处理病毒.例如以cisco产品为核心主干的交换网络中,可以通过查看交换机日志发现ARP病毒源.比如以下几条日志: 6w2d:%I P-4-DUP ADDR:Duplicate ad-dress192.168.3.1on V l a n58,sourced by0001. 76.50c2

6w2d:%I P-4-DUP ADDR:Duplicate ad-dress192.168.3.1on V l a n58,sourced by0001. 76.50c2

6w2d:%I P-4-DUP ADDR:Duplicate ad-dress192.168.3.1on V l a n58,sourced by0001. 76.50c2

这个日志记录所表达的意思就是:在v l a n58这个局域网中,发现重复的m ac地址映射,引起该重复地址冲突的计算机MAC为:0001.76.50c2.也就是说这台计算机在对外实施ARP欺骗,造成与路由器ARP表记录不一致,并发出警报.那么我们可以通过以上日志中的MAC地址寻找到对应的主机位置,管理员可以直接关闭其网络中断病毒源或者指导该m ac对应的计算机用户查杀该病毒.

网络管理员还可以利用第三方软件对网络进行实时监控、扫描,发现ARP病毒以及锁定病毒源.

3.2.2在交换机端口上应用I P-MAC绑定

以cisco2950交换机为例,在交换机端口上实施MAC地址与端口绑定和I P地址与端口的绑定相结合,从而达到在端口上应用I P与MAC地址绑定的功能.一旦绑定之后,交换机的ARP表就固定了,无论接收到来自任何计算机的ARP欺骗都无法修改交换机的ARP表,同时也就保证了路由的准确性.以此来避免ARP病毒各式各样的攻击、欺骗.具体实施如下:

Sw itch(confi g)M ac access-list ex tended MAC0 #定义一个MAC地址访问控制列表并且命名该列表名为MAC0

Sw itch(confi g)per m it host0011.09d2.39b2f any

#定义MAC地址为0011.09d2.39b2的主机可以访问任意主机

Sw itch(config)per m it any host0011.09d2.39b2 #定义所有主机可以访问MAC地址为0011. 09d2.39b2的主机

Sw itch(confi g)Ip access-list ex tended I P0

#定义一个I P地址访问控制列表并且命名该列表名为I P0

Sw itch(confi g)Per m it192.168.1.10.0.0.0 any

#定义I P地址为192.168.0.1的主机可以访问任意主机

Per m it any192.168.1.10.0.0.0

#定义所有主机可以访问I P地址为192.168.

1.1的主机

Sw itch(confi g-if)i n terface Fa0/20

#进入配置具体端口的模式

Sw itch(config-if)m ac access-g roupMAC0in #在该端口上应用名为MAC0的访问列表(即前面我们定义的访问策略)

Sw itch(confi g-if)Ip access-group I P0in

#在该端口上应用名为I P0的访问列表(即前

65

第3期张文亮ARP病毒入侵原理及解决方案面我们定义的访问策略)

Sw itch(con fi g)no m ac access-li s t ex tended MAC0

#清除名为MAC0的访问列表

Sw itch(config)no Ip access-g r oup I P0in

#清除名为I PO的访问列表

这个方案可以彻底的避免ARP病毒的攻击,但在大型的网络里面,要做到这点,需要前期做很完整、准确的资料收集工作.然后对收集到的数据通过以上配置应用到各个用户端口.这个方案对网络设备的要求也比较高,要保证网络的每个节点都要架设c isco网络交换设备,相应的就需要很大的投资.

4总结

ARP病毒如果要彻底的解决,首先要保证局域网内的任何一台计算机不能感染ARP病毒,也不可以存在带来ARP病毒的其他木马病毒.所以ARP病毒的防范不是简单的只防ARP病毒,还需要防范其它更多的木马病毒.随着网络应用的日益扩大,形形色色的网络病毒泛滥,肆意破坏网络环境.因此网络安全、病毒防范对于网络用户而言应该放在首要的位置,也应该是一项长期的工作,要养成一种好的上网习惯,才能给自己以及他人营造一个安全、可靠、高效的网络环境.真正的做到网络安全、人人有责.

参考文献:

[1]邓吉,柳靖.黑客攻防实战详解)))安全技术大系

[M].北京:电子工业出版社,2006.

[2]史蒂文斯(W.R ichard Stevens).TCP/IP详解(卷1:协

议)[M].北京:机械工业出版社,1991.

[3]多伊尔,卡罗尔.TCP/IP路由技术(第一卷)[M].第2

版.北京:人民邮电出版社,2007.

[4]科默(Come r,D.E.).用TCP/I P进行网际互连(第一

卷):原理、协议与结构[M].第5版.北京:电子工业出版社,2007.

[5]福罗赞(Fo rouzan.B.A.).TCP/IP协议族[M].第3

版.北京:清华大学出版社,2006.

Invasi on M echanis m s and Solutions of ARP-V irus

ZHANG W en-li a ng

(Center of Net w or k M anage m en,t X iann i n g Un i v ersity,X iann i n g437100,Ch i n a)

Abst ract:The I nternet users who are jo i n ed through the LAN m ay not feel strange to ARP v irus,and are basically hurt deeply by i.t This v irus reduces the net w ork perfo r m ance to a great exten,t and even m akes the net w or k paralysed,causing users to be unab le to use the net w or k nor m ally.Fr o m the angle of the pri n ciple on v ir us i n vad i n g,this paper ana l y zes ho w w e take precauti o ns aga i n st th is v irus,and prov i d es t h e concrete solu-ti o n.

K ey w ords:LAN;I N TERNET;ARP vir us

66咸宁学院学报第28卷