防范ARP攻击

摘要:蠕虫病毒伴随着Internet的发展传播速度越来越快、破坏能力也越来越强,目前ARP攻击技术已经被越来越多的病毒所采用,成为病毒发展的一个新趋势。特别是近期局域网ARP病毒攻击事件出现群体高发期,宁夏马莲台发电厂时常出现网络频繁中断现象。调查发现,主要是因为个别用户计算机感染某种ARP病毒导致。笔者结合自己的一些网络管理经验,对ARP病毒攻击进行了分析和总结,并提出了相应的防范措施。

关键词:网络;ARP病毒攻击;MAC;防范

中图分类号:TP311 文献标识码:A文章编号:1009-3044(2010)22-6203-02

Prevention ARP Attack

CHEN Rui-hua

(Ningxia Maliantai Electric Power Factory, Lingwu 750411, China)

Abstract: Along with Internet worm virus development. Transmission speed faster and faster, growing stronger and stronger ability to destroy the current ARP attacks on technology has been adopted by a growing number of viruses has become a new trend in virus development. In particular the recent attack on the LAN ARP virus, groups of high emergence period, Ningxia Maliantai Electric Power Factory frequent interruptions from time to time encountered network. The survey found that was mainly due to the individual user's computer infected with some kind of ARP virus caused. I combined some of own network management experience, ARP virus attack analyzed and summarized, and the corresponding preventive measures.

Key words: network; ARP virus attack; MAC; prevention

宁夏马莲台电厂的网络是典型的三层交换,采用了思科的设备,核心层是一台Cisco 6500 ,汇聚层是两台Cisco 6500,分别连接生产楼和生活区的设备,在生产区楼里如集控室、化验楼、燃供楼、检修间、除灰楼、小车库都挂着Cisco 3550作为接入层。全厂一共有200多台计算机通过交换机连成一个局域网。

1 网络故障现象

局域网内的计算机出现外部网站访问速度缓慢,甚至无法打开的现象,客户端用户频繁出现断网并发现IP冲突。最严重的时候出现部分生产楼网络瘫痪。

2 故障分析

2.1 故障原因查找

在开始不能上网的计算机上运行arp Ca,说明:10.216.96.3是网关地址,后面的00-00-0c-07-0a-01是网关的物理地址。此物理地址默认情况下是不会发生改变的,如果发现物理地址不是此地址说明自己已经受到了arp病毒的攻击 。

查找过程:

1) 执行arp Ca 列出了:

10.216.96.1800-0F-EA-11-00-5E

10.216.96.3 00-0F-EA-11-00-5E(网关)

由于之前我们已经知道网关的正确物理地址是00-00-0c-07-0a-01,此时却变成了00-0F-EA-11-00-5E,说明10.216.96.18正在利用arp进行欺骗,冒充网关。

2) 执行arp Cd清除ARP列表信息。重新运行arp Ca看数据类表的可疑IP地址是否存在,不存在说明此IP地址正常;存在,说明该机器肯定有ARP病毒。

3) 使用tracert命令

在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert 61.135.179.148(外网IP地址)。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。

3.2ARP攻击原理分析

ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗,和对内网PC的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址,并按照一定的频率不断更新学习进行,使真实的地址信息无法通过更新保存在路由器中,造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制,当局域网内某台主机已经感染ARP欺骗的木马程序,就会欺骗局域网内所有主机和路由器,让所有上网的流量都必须经过病毒主机。

3 调查结论

通过以上查找分析,局域网内有计算机感染ARP 病毒,中毒的机器的网卡不断发送虚假的ARP数据包,告诉网内其他计算机网关的MAC地址是中毒机器的MAC地址,是其他计算机将本来发送网关的数据发送到中毒机器上,导致整个局域网都无法上网,严重乃至整个网络的瘫痪。我们知道局域网中的数据流向是:网关本机;如果网络有ARP 欺骗之后,数据的流向是:网关攻击者本机,因此攻击者能随意窃听网络数据,截获局域网中任一台机器收发的邮件,WEB浏览信息等,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。

4 防范所采取措施

4.1 用户端防范措施:

安装arp防火墙或者开启局域网ARP防护,比如360安全卫士等arp病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。

如果在没有防范软件安装的情况下,也可以通过编写简单的批处理程序来绑定网关来防止ARP欺骗,步骤如下:

1) 首先,获得安全网关的内网的MAC地址。以windows xp为例。点击“开始”“运行”输入cmd,点击“确定”后,将出现相关网络状态及连接信息,输入arp Ca,可以查看网关的MAC地址

2) 编写批处理文件arp.bat内容如下:

@echo off

arp Cd

arp Cs 10.216.96.3(安全网关) 00-09-ac-82-0d (网关的MAC地址)注:arp -s 是用来手动绑定网络地址(IP)对应的物理地址(MAC)

3) 编写完以后,点击“文件” “另存为”。注意,文件名一定要是*.bat,点击保存就可以。

4) 将这个批处理文件拖到“windows开始程序启动”中,最后重起电脑即可。

4.2 网管员采取的防范措施

1) 学会使用Sniffer抓包软件。

ARP病毒最典型的现象就是网络时通时断,用Sniffer抓包分析,会发现有很多的ARP包。

2) 在全网部署安装ARP防火墙服务端及客户端软件

3) 使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议,以往的链路层的MAC地址和ARP协议失效,因而ARP欺骗攻击在这种交换环境下起不了作用。

5 结束语

ARP欺骗在相当长的时间内还会继续存在,ARP欺骗也在不断的发展和变化中,希望广大网络管理员密切注意它,从而减少对我们网络的影响。

参考文献:

[1] 王奇.以太网中ARP欺骗原理与解决办法[J].网络安全技术与应用,2007,(2).

[2] 谢希仁.计算机网络[M].北京:人民邮电出版社,2006.

[3] 赵鹏.计算机网络系统中基于ARP协议的攻击与保护[J].网络安全技术与应用,2005,1:101.