论文部分内容阅读
摘要:文章主要阐述了ARP协议的原理及工作过程,详细的分析了ARP木马如何利用协议自身造成欺骗,提出了针对性的防范措施和处理该病毒的方法。
关键词:ARP病毒 MAC地址 网络安全
该木马病毒是利用ARP协议自身的缺陷,通过虚拟局域网网关地址,骗取主机的MAC地址,截获网络其他计算机的通信信息,使数据包不能正确转发,造成通信故障,中毒症状表现为用户频繁断网,重新连接网络后又恢复正常。这对网络的安全是个很大的威胁。
ARP协议工作原理
(一)ARP协议
ARP地址解析协议,用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。由于在网络通信中,二层的以太网交换设备不能识别32位的IP地址,这就需要先通过DNS协议先获取对方主机的IP地址,再使用ARP协议得到对方主机的MAC地址,才能进行网络通信。
(二)ARP的工作过程
源主机通过ping目的主机的IP,向目的主机发送数据包,如果在ARP缓存表中可以查到目的主机的IP-MAC对应记录,则可以直接转为MAC后发送;如果查不到目的主机信息,则通过ARP广播请求每一台主机,只有具有此IP地址的目的主机收到广播后,会发送一个包含自己MAC信息的数据包,由源主机的数据链路层把收到的IP-MAC对应,动态地更新到ARP缓存。
ARP木马的攻击分析
(一)ARP欺骗使网络中断
ARP木马通过伪造假的IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发送伪造的ARP响应包,就能修改目的主机的ARP缓存中IP-MAC的条目,就会造成网络中断或中间人攻击。
(二)ARP伪造IP造成IP冲突
网络中每台主机都有唯一的IP标识,如果出现相同IP地址的主机时,就会产生IP地址冲突。而利用ARP欺骗就可以伪造这个reply,使目的主机一直被地址冲突困扰。一台主机A在连接网络时向ARP发送自己的数据包并广播自己的IP地址,如果网络中存在相同IP的主机B会通过ARP来reply该地址,频繁发送ARP欺骗数据包,这样两台主机都会收到IP冲突的警告。
(三)ARP木马作为“中间人”盗取信息
一种欺骗是向目的主机发送假的ARP数据包,包含网关的IP和伪造的MAC地址,这样目的主机根据收到的ARP包更新自己的ARP缓存表,这样目的主机根据这个错误地址发的数据包都会被这个假的网关所截取,造成信息丢失。另一种欺骗是向网关发送伪造的ARP数据包,发送方用目的主机的IP和伪造的MAC地址,这样网关上的ARP记录就是错误的,所以网关根据这个地址发送给目的主机的数据包就会被ARP病毒截取,造成目的主机能够发送数据到网关,但是收不到网关的数据。如果ARP木马同时欺诈双方,就可以作为中间人获取双方信息,这就造成了对网络安全极大的威胁。
ARP木马的检测
(一)使用ARP-a命令发现ARP攻击
每台装有TCP/IP协议的计算机中都会存在一个ARP缓存表,使用arp-a命令就可以查看本主机的ARP缓存内容,所以每执行一个PNG命令,ARP缓存就会增加一个目的IP地址的记录;如果数据包是发送到不同网段,缓存表会存在一条网关的IP-MAC地址的一一对应的记录,如表1所示:
由表1可见,目的主机的IP所对应的MAC地址与真正的MAC地址不符,说明本机已遭受ARP攻击。
(二)内网测试ARP木马
由于ARP主要攻击对象是网关,所以我们同样可以查看网关的ARP缓存,如果有多个IP都指向同一个MAC地址,就说明存在ARP欺骗攻击,并且这个MAC地址所对应的主机就是ARP攻击源。样数据包没有丢失可以暂时认为没有遭到ARP攻击,然后可用其他方法继续检测。如果输入ping IP命令后显示如表2,在丢了几个包后又连上,那么很可能是中了ARP病毒,这时候再通过ARP-a命令对照查找ARP表,确定是否中了ARP木马。
(三)检测本机的ARP木马
同时按住“Ctrl+Alt+Del”键,打开任务管理器,看进程中是否有MIR0.dat进程,如果有,就说明本机中了ARP病毒,可以立刻结束该进程。
(四)监听数据报文
当局域网中存在ARP攻击时,一般不会单独的攻击某一台机器,而是针对整个局域网,ARP攻击源一般会向本网段内所有主机发送ARP请求报文,因此可利用抓包工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
防治ARP木马的安全措施
(一)划分VLAN
在交换机上划分VLAN,这样在一定程度上可以减少ARP的查找范围和攻击的范围。来自vlan1的数据包只允许进入port1,并可转发到交换机switch的网关主机上,而不会将数据包传到其他vlan中。
(二)MAC地址绑定
把交换机端口和MAC地址绑定,限制含有非法MAC地址的数据包通过,这样就很好的阻止了ARP欺骗。802.1X的出现降低了实现的难度。有条件的话最好把每台机器都执行“arp-s网关IP地址网关MAC地址”,手动绑定网关地址。校园网可以建立网关和网内所有机器的MAC地址对应表,生成ARP命令批处理文件,置于公共服务器,这样每个中端在启用时调用,达到MAC地址绑定。
(三)静态ARP
由于ARP本身是动态的,所以在不断更新ARP缓存时容易遭到ARP木马的欺骗,如果把这种动态关系变成静态的,那么这种攻击将没有机会。静态ARP即通过静态的方法实现“IP-MAC”地址的映射。即在主机上建立静态ARP表,这种方法开销较大。
(四)计算机及时更新杀毒软件
由于很多ARP攻击不是人为造成的,而是一些感染了ARP木马病毒的计算机充当了ARP攻击源的角色,因此经常更新自己系统的补丁,升级杀毒软件的病毒库是保障计算机安全中十分必要的。
(五)使用专门的ARP防火墙预防ARP木马
由于ARP木马的特殊性,无法找到一个彻底根治的办法,只有加强防范措施。而一般的杀毒软件对普通病毒有效,但对ARP木马的防护效果就不那么明显。目前使用最广泛地专门的ARP防火墙,如AntiARP。开机后启动该程序,可以有效拦截ARP攻击。
对已感染ARP木马的计算机的处理
(一)杀毒
目前各大杀毒软件只能避免电脑主机成为攻击方,并不能抵御ARP防御。或者使用ARP专门的杀毒工具,网上有下载,运行后可以查出电脑是否感染ARP木马。
(二)使用专门的ARP软件查杀ARP攻击
首先查明本机的网关地址,在DOS下运行“ipconfig”,最后一列所对应的就是自己的网关地址。在运行AntiARP后检查网关地址和MAC地址是否对应,确认后选定“自动保护”。
(三)手动绑定默认网关和MAC地址
首先用“arp-a”查出默认网关和对应MAC地址,再用arp-d清除缓存,然后把默认网关和对应MAC进行绑定,通过命令arp -s IP地址对应MAC地址。这种处理在重启后就不起作用了,如果想要在开机就直接绑定需要用到bat文件。
写法:@echo off
Arp-d
Arp-s 网关IP地址网关MAC地址
保存为“arap.bat”
再将bat文件加入启动项,将这个批处理软件拖到“Windows-开始-程序-启动”中。
也可以加入注册表中:我的电脑-HKEY_LOCAL_MACH NE\SoftWare\Microsoft\Windows\CurrentVersion\Run,系统启动后就会自动执行arp命令绑定网关。
本文虽然分析出了ARP协议具有这种自身的缺陷使得病毒有生存的前提,但是我们必须肯定这种技术,ARP能够快速的将IP地址转换为MAC地址,所以仍然被广泛的用以太网。我们只能更加深入的对其研究,发挥其优点,弥补其缺点,找出切实可行的办法对付这种木马。其实最关键的大家应该提高防毒意识,加强对计算机病毒的检测,这样才能更好的控制病毒。
(作者单位:中南财经政法大学信息管理与信息系统专业)
参考文献
[1]刘远生.计算机网络安全[M].清华大学出版社,2006.
[2]李新明.ARP攻击原理及解决方法[J].益阳职业技术学院学报,2006(4).
关键词:ARP病毒 MAC地址 网络安全
该木马病毒是利用ARP协议自身的缺陷,通过虚拟局域网网关地址,骗取主机的MAC地址,截获网络其他计算机的通信信息,使数据包不能正确转发,造成通信故障,中毒症状表现为用户频繁断网,重新连接网络后又恢复正常。这对网络的安全是个很大的威胁。
ARP协议工作原理
(一)ARP协议
ARP地址解析协议,用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)。由于在网络通信中,二层的以太网交换设备不能识别32位的IP地址,这就需要先通过DNS协议先获取对方主机的IP地址,再使用ARP协议得到对方主机的MAC地址,才能进行网络通信。
(二)ARP的工作过程
源主机通过ping目的主机的IP,向目的主机发送数据包,如果在ARP缓存表中可以查到目的主机的IP-MAC对应记录,则可以直接转为MAC后发送;如果查不到目的主机信息,则通过ARP广播请求每一台主机,只有具有此IP地址的目的主机收到广播后,会发送一个包含自己MAC信息的数据包,由源主机的数据链路层把收到的IP-MAC对应,动态地更新到ARP缓存。
ARP木马的攻击分析
(一)ARP欺骗使网络中断
ARP木马通过伪造假的IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发送伪造的ARP响应包,就能修改目的主机的ARP缓存中IP-MAC的条目,就会造成网络中断或中间人攻击。
(二)ARP伪造IP造成IP冲突
网络中每台主机都有唯一的IP标识,如果出现相同IP地址的主机时,就会产生IP地址冲突。而利用ARP欺骗就可以伪造这个reply,使目的主机一直被地址冲突困扰。一台主机A在连接网络时向ARP发送自己的数据包并广播自己的IP地址,如果网络中存在相同IP的主机B会通过ARP来reply该地址,频繁发送ARP欺骗数据包,这样两台主机都会收到IP冲突的警告。
(三)ARP木马作为“中间人”盗取信息
一种欺骗是向目的主机发送假的ARP数据包,包含网关的IP和伪造的MAC地址,这样目的主机根据收到的ARP包更新自己的ARP缓存表,这样目的主机根据这个错误地址发的数据包都会被这个假的网关所截取,造成信息丢失。另一种欺骗是向网关发送伪造的ARP数据包,发送方用目的主机的IP和伪造的MAC地址,这样网关上的ARP记录就是错误的,所以网关根据这个地址发送给目的主机的数据包就会被ARP病毒截取,造成目的主机能够发送数据到网关,但是收不到网关的数据。如果ARP木马同时欺诈双方,就可以作为中间人获取双方信息,这就造成了对网络安全极大的威胁。
ARP木马的检测
(一)使用ARP-a命令发现ARP攻击
每台装有TCP/IP协议的计算机中都会存在一个ARP缓存表,使用arp-a命令就可以查看本主机的ARP缓存内容,所以每执行一个PNG命令,ARP缓存就会增加一个目的IP地址的记录;如果数据包是发送到不同网段,缓存表会存在一条网关的IP-MAC地址的一一对应的记录,如表1所示:
由表1可见,目的主机的IP所对应的MAC地址与真正的MAC地址不符,说明本机已遭受ARP攻击。
(二)内网测试ARP木马
由于ARP主要攻击对象是网关,所以我们同样可以查看网关的ARP缓存,如果有多个IP都指向同一个MAC地址,就说明存在ARP欺骗攻击,并且这个MAC地址所对应的主机就是ARP攻击源。样数据包没有丢失可以暂时认为没有遭到ARP攻击,然后可用其他方法继续检测。如果输入ping IP命令后显示如表2,在丢了几个包后又连上,那么很可能是中了ARP病毒,这时候再通过ARP-a命令对照查找ARP表,确定是否中了ARP木马。
(三)检测本机的ARP木马
同时按住“Ctrl+Alt+Del”键,打开任务管理器,看进程中是否有MIR0.dat进程,如果有,就说明本机中了ARP病毒,可以立刻结束该进程。
(四)监听数据报文
当局域网中存在ARP攻击时,一般不会单独的攻击某一台机器,而是针对整个局域网,ARP攻击源一般会向本网段内所有主机发送ARP请求报文,因此可利用抓包工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
防治ARP木马的安全措施
(一)划分VLAN
在交换机上划分VLAN,这样在一定程度上可以减少ARP的查找范围和攻击的范围。来自vlan1的数据包只允许进入port1,并可转发到交换机switch的网关主机上,而不会将数据包传到其他vlan中。
(二)MAC地址绑定
把交换机端口和MAC地址绑定,限制含有非法MAC地址的数据包通过,这样就很好的阻止了ARP欺骗。802.1X的出现降低了实现的难度。有条件的话最好把每台机器都执行“arp-s网关IP地址网关MAC地址”,手动绑定网关地址。校园网可以建立网关和网内所有机器的MAC地址对应表,生成ARP命令批处理文件,置于公共服务器,这样每个中端在启用时调用,达到MAC地址绑定。
(三)静态ARP
由于ARP本身是动态的,所以在不断更新ARP缓存时容易遭到ARP木马的欺骗,如果把这种动态关系变成静态的,那么这种攻击将没有机会。静态ARP即通过静态的方法实现“IP-MAC”地址的映射。即在主机上建立静态ARP表,这种方法开销较大。
(四)计算机及时更新杀毒软件
由于很多ARP攻击不是人为造成的,而是一些感染了ARP木马病毒的计算机充当了ARP攻击源的角色,因此经常更新自己系统的补丁,升级杀毒软件的病毒库是保障计算机安全中十分必要的。
(五)使用专门的ARP防火墙预防ARP木马
由于ARP木马的特殊性,无法找到一个彻底根治的办法,只有加强防范措施。而一般的杀毒软件对普通病毒有效,但对ARP木马的防护效果就不那么明显。目前使用最广泛地专门的ARP防火墙,如AntiARP。开机后启动该程序,可以有效拦截ARP攻击。
对已感染ARP木马的计算机的处理
(一)杀毒
目前各大杀毒软件只能避免电脑主机成为攻击方,并不能抵御ARP防御。或者使用ARP专门的杀毒工具,网上有下载,运行后可以查出电脑是否感染ARP木马。
(二)使用专门的ARP软件查杀ARP攻击
首先查明本机的网关地址,在DOS下运行“ipconfig”,最后一列所对应的就是自己的网关地址。在运行AntiARP后检查网关地址和MAC地址是否对应,确认后选定“自动保护”。
(三)手动绑定默认网关和MAC地址
首先用“arp-a”查出默认网关和对应MAC地址,再用arp-d清除缓存,然后把默认网关和对应MAC进行绑定,通过命令arp -s IP地址对应MAC地址。这种处理在重启后就不起作用了,如果想要在开机就直接绑定需要用到bat文件。
写法:@echo off
Arp-d
Arp-s 网关IP地址网关MAC地址
保存为“arap.bat”
再将bat文件加入启动项,将这个批处理软件拖到“Windows-开始-程序-启动”中。
也可以加入注册表中:我的电脑-HKEY_LOCAL_MACH NE\SoftWare\Microsoft\Windows\CurrentVersion\Run,系统启动后就会自动执行arp命令绑定网关。
本文虽然分析出了ARP协议具有这种自身的缺陷使得病毒有生存的前提,但是我们必须肯定这种技术,ARP能够快速的将IP地址转换为MAC地址,所以仍然被广泛的用以太网。我们只能更加深入的对其研究,发挥其优点,弥补其缺点,找出切实可行的办法对付这种木马。其实最关键的大家应该提高防毒意识,加强对计算机病毒的检测,这样才能更好的控制病毒。
(作者单位:中南财经政法大学信息管理与信息系统专业)
参考文献
[1]刘远生.计算机网络安全[M].清华大学出版社,2006.
[2]李新明.ARP攻击原理及解决方法[J].益阳职业技术学院学报,2006(4).