论文部分内容阅读
[摘 要]本文通过对ARP病毒攻击的原理、危害以及攻击的方式的分析,提出了局域网ARP病毒攻击的防范策略。
[关键词]局域网;ARP病毒;防范
中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2014)18-0068-01
1.引言
ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。其功能主要是为局域网内网络设备提供IP地址向硬件地址的转化,其设计建立在局域网内网络设备之间相互信任的基础上,由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击,给局域网的安全造成了严重威胁。
2.ARP病毒攻击的原理及危害
ARP欺骗攻击一般有以下两个特点,第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配;第二,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包的源地址,就大致知道那台机器在发起攻击了。病毒机通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成网关,这样往外发送的数据,就发到了病毒机上,然后病毒再通过本身的发送功能发送截到的信息给黑客,达到窃取数据的目的。
ARP欺骗可以造成内部网络的混乱,某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。中毒主机伪造成网络上的一台正常主机(IP),使所有原来应该送到正常主机的报文,全部送到中毒主机上,导致正常主机无法访问网络(此攻击类似于IP冲突,但是系统不会提示IP冲突)。此攻击同一时刻只影响网络中一台正常主机。此种攻击出现时,可以在三层交换机的ARP表中看到一个MAC地址对应了多个IP地址。这个MAC地址就是中毒主机的MAC地址。中毒主机伪造成网关,将网关的MAC地址改为网络中不存在的MAC地址或者中毒主机本身的MAC地址。这样在与中毒主机同一个VLAN中的主机在跨VLAN通迅时,报文指向了错误的网关,无法通迅,此攻击在同一时刻影响一个VLAN。此攻击出现时可以在不能上网的主机的ARP中看到网关地址对应的MAC为中毒主机的MAC地址或网络中不存在的MAC地址。
3.局域網ARP病毒攻击的方式
3.1 IP地址冲突
ARP病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。大量的攻击数据包能令受害主机耗费大量的系统资源。IP地址冲突可以分为一下两种:(1)单播型的IP地址冲突,数据链路层记录的目的物理地址为被攻击主机的物理地址。这样使得该ARP数据包只能被受攻击主机所接收。而不被局域网内其他主机所接收,实现隐蔽式攻击。(2)广播型的IP地址冲突,数据链路层记录的目的物理地址为广播地址。这样使得局域网内的所有主机都会接收到该ARP数据包,虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址,但是由于该ARP数据包为广播数据包,这样受攻击主机也会收到。
3.2 ARP泛洪攻击
攻击主机持续把伪造的MAC-IP映射对发给受攻击的主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征为通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据而耗尽网络带宽,另局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断;用虚假的地址信息沾满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信。
3.3 ARP欺骗供给
当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充路由伪造来的,即IP地址为C的IP,而MAC地址是路由的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经路由的了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个C的MAC地址在A上被改变成路由的MAC地址,这样就会造成A所发送到路由的数据会被发送到C。
4.局域网ARP病毒攻击的防范策略
4.1 及时找到感染ARP病毒的机器
在电脑上ping一下网关的IP地址,然后使用ARP-a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。然后使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。最好使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。
4.2 安装ARP杀毒软件和防火墙
目前,有一些安装在系统上的ARP专杀软件和病毒防火墙产品可以通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,它能够保障单机与网关之间数据流向不经过第三者。此类软件的功能通常包括:在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全;自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;主动与网关保持通讯,通告网关正确的MAC地址,保持网络畅通及通讯安全。虽然这些ARP病毒防火墙与专杀杀软件能够保证系统自身ARP表的正确性,然而只要他访问的服务器被攻击者实施“Man-In-The-Middle”,同样会使得机器中毒。这一点更加说明了整体防护对抵抗ARP攻击的重要性。
4.3 MAC地址集中管理
MAC地址与IP地址的绑定是最简单有效的ARP攻击防御方法。然而,虽然这种设置在单机上非常容易实现,但是,在大型公众上网环境中使用静态IP地址和MAC地址的绑定会带来巨大的管理负荷。在大型公众上网网络中无法有效对每一台终端、服务器与网络设备都使用静态ARP表。首先,公众网络终端数量庞大,一般通常有几百台终端,加上交换机与网络设备后需要维护的ARP表有上千个之多,全部人工设置不现实。其次,DHCP网络动态地址分配以及各种负载均衡策略将无法适应MAC地址绑定。因此,解决公众网络上ARP攻击做统一的集中管理。然而,面对大型网络中上万条MAC to IP信息,以及复杂多变的网络结构,做到这一点并不容易。
4.4 采用VLAN技术隔离端口
局域网的网络管理员可根据需要,将网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。
5.结束语
综上所诉,ARP病毒攻击问题一直是困扰着局域网一个难题。但其并不是无法解决的,通过建立完善的预防机制,能够最大程度上抵制ARP欺骗攻击。
参考文献
[1] 邢少铭.浅析ARP攻击及防范[J].计算机与网络.2011(13).
[2] 王坚,梁海军.ARP欺骗原理及其防范策略探讨[J].计算机与现代化.2008,(2):90-101.
[关键词]局域网;ARP病毒;防范
中图分类号:TP393.1 文献标识码:A 文章编号:1009-914X(2014)18-0068-01
1.引言
ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。其功能主要是为局域网内网络设备提供IP地址向硬件地址的转化,其设计建立在局域网内网络设备之间相互信任的基础上,由此产生了许多ARP欺骗攻击方法。许多木马和病毒利用ARP协议这一设计上的漏洞在局域网内进行ARP欺骗攻击,给局域网的安全造成了严重威胁。
2.ARP病毒攻击的原理及危害
ARP欺骗攻击一般有以下两个特点,第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配;第二,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包的源地址,就大致知道那台机器在发起攻击了。病毒机通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成网关,这样往外发送的数据,就发到了病毒机上,然后病毒再通过本身的发送功能发送截到的信息给黑客,达到窃取数据的目的。
ARP欺骗可以造成内部网络的混乱,某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,一般来说IP地址的冲突我们可以通过多种方法和手段来避免,而ARP协议工作在更低层,隐蔽性更高。中毒主机伪造成网络上的一台正常主机(IP),使所有原来应该送到正常主机的报文,全部送到中毒主机上,导致正常主机无法访问网络(此攻击类似于IP冲突,但是系统不会提示IP冲突)。此攻击同一时刻只影响网络中一台正常主机。此种攻击出现时,可以在三层交换机的ARP表中看到一个MAC地址对应了多个IP地址。这个MAC地址就是中毒主机的MAC地址。中毒主机伪造成网关,将网关的MAC地址改为网络中不存在的MAC地址或者中毒主机本身的MAC地址。这样在与中毒主机同一个VLAN中的主机在跨VLAN通迅时,报文指向了错误的网关,无法通迅,此攻击在同一时刻影响一个VLAN。此攻击出现时可以在不能上网的主机的ARP中看到网关地址对应的MAC为中毒主机的MAC地址或网络中不存在的MAC地址。
3.局域網ARP病毒攻击的方式
3.1 IP地址冲突
ARP病毒制造者制造出局域网上有另一台主机与受害主机共享一个IP的假象。大量的攻击数据包能令受害主机耗费大量的系统资源。IP地址冲突可以分为一下两种:(1)单播型的IP地址冲突,数据链路层记录的目的物理地址为被攻击主机的物理地址。这样使得该ARP数据包只能被受攻击主机所接收。而不被局域网内其他主机所接收,实现隐蔽式攻击。(2)广播型的IP地址冲突,数据链路层记录的目的物理地址为广播地址。这样使得局域网内的所有主机都会接收到该ARP数据包,虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址,但是由于该ARP数据包为广播数据包,这样受攻击主机也会收到。
3.2 ARP泛洪攻击
攻击主机持续把伪造的MAC-IP映射对发给受攻击的主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征为通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据而耗尽网络带宽,另局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断;用虚假的地址信息沾满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信。
3.3 ARP欺骗供给
当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充路由伪造来的,即IP地址为C的IP,而MAC地址是路由的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经路由的了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个C的MAC地址在A上被改变成路由的MAC地址,这样就会造成A所发送到路由的数据会被发送到C。
4.局域网ARP病毒攻击的防范策略
4.1 及时找到感染ARP病毒的机器
在电脑上ping一下网关的IP地址,然后使用ARP-a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。然后使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。最好使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。
4.2 安装ARP杀毒软件和防火墙
目前,有一些安装在系统上的ARP专杀软件和病毒防火墙产品可以通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,它能够保障单机与网关之间数据流向不经过第三者。此类软件的功能通常包括:在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全;自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;主动与网关保持通讯,通告网关正确的MAC地址,保持网络畅通及通讯安全。虽然这些ARP病毒防火墙与专杀杀软件能够保证系统自身ARP表的正确性,然而只要他访问的服务器被攻击者实施“Man-In-The-Middle”,同样会使得机器中毒。这一点更加说明了整体防护对抵抗ARP攻击的重要性。
4.3 MAC地址集中管理
MAC地址与IP地址的绑定是最简单有效的ARP攻击防御方法。然而,虽然这种设置在单机上非常容易实现,但是,在大型公众上网环境中使用静态IP地址和MAC地址的绑定会带来巨大的管理负荷。在大型公众上网网络中无法有效对每一台终端、服务器与网络设备都使用静态ARP表。首先,公众网络终端数量庞大,一般通常有几百台终端,加上交换机与网络设备后需要维护的ARP表有上千个之多,全部人工设置不现实。其次,DHCP网络动态地址分配以及各种负载均衡策略将无法适应MAC地址绑定。因此,解决公众网络上ARP攻击做统一的集中管理。然而,面对大型网络中上万条MAC to IP信息,以及复杂多变的网络结构,做到这一点并不容易。
4.4 采用VLAN技术隔离端口
局域网的网络管理员可根据需要,将网络规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可先找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN,将该用户与其它用户进行隔离,以避免对其它用户的影响,当然也可以利用将交换机的该端口关掉来屏蔽该用户对网络造成影响。
5.结束语
综上所诉,ARP病毒攻击问题一直是困扰着局域网一个难题。但其并不是无法解决的,通过建立完善的预防机制,能够最大程度上抵制ARP欺骗攻击。
参考文献
[1] 邢少铭.浅析ARP攻击及防范[J].计算机与网络.2011(13).
[2] 王坚,梁海军.ARP欺骗原理及其防范策略探讨[J].计算机与现代化.2008,(2):90-101.