ARP病毒入侵原理及解決方案-

1、第28卷第3期咸寧學院學報Vo.l28,No.3 2008年6月Journal of X ianni n g Universit y Jun.2008文章編號:1006-5342(200803-0063-04ARP病毒入侵原理及解決方案*張文亮(咸寧學院網(wǎng)絡(luò)管理中心,湖北咸寧437100摘要:通過局域網(wǎng)連接I NTERNET的用戶,對于AR P病毒應(yīng)該都不會陌生,并且基本上都深受其害.這個病毒在很大程度上降低了網(wǎng)絡(luò)的性能,甚至癱瘓,導致用戶無法正常使用網(wǎng)絡(luò).本文從該病毒入侵原理的角度來分析我們?nèi)绾稳シ婪对摬《?并給出具體的解決方案.關(guān)鍵詞:局域網(wǎng);I NTERNET;ARP病毒中圖分類號:TP

2、309.5文獻標識碼:A0引言ARP地址欺騙類病毒(以下簡稱ARP病毒是一類特殊的病毒,該病毒一般屬于木馬(T ro j a n病毒,不具備主動傳播的特性,不會自我復(fù)制.但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包,干擾全網(wǎng)的運行,因此它的危害比一些蠕蟲還要嚴重得多.其危害主要表現(xiàn)在:局域網(wǎng)內(nèi)的部分或所有電腦不能上網(wǎng);無法打開網(wǎng)頁或打開網(wǎng)頁慢;在打開的網(wǎng)頁頂部和底部插入惡意廣告;不斷提示I P地址沖突(非I P共用產(chǎn)生的I P地址沖突;局域網(wǎng)時斷時續(xù)并且網(wǎng)速較慢等.11ARP病毒入侵原理ARP全稱為A ddress Reso lution Protoco,l中文名稱是地址解析協(xié)議.它工作

3、在數(shù)據(jù)鏈路層,在本層和硬件接口聯(lián)系,同時對上層提供服務(wù).所謂/地址解析0就是主機在發(fā)送數(shù)據(jù)包前將目標主機I P地址(I P地址32位轉(zhuǎn)換成目標主機MAC地址(MAC地址48位的過程.2ARP協(xié)議屬于鏈路層的協(xié)議,以太網(wǎng)中的數(shù)據(jù)幀從一個主機到達網(wǎng)內(nèi)的另一臺主機是根據(jù)48位的以太網(wǎng)地址(MAC 地址來確定接口的,而不是根據(jù)32位的I P地址.內(nèi)核(如驅(qū)動必須知道目的端的MAC地址才能發(fā)送數(shù)據(jù).當源主機需要傳送數(shù)據(jù)給目標主機的時候,首先會在本機ARP緩存表(ARP緩存表是用來保存該網(wǎng)絡(luò)中各個電腦的I P地址和MAC地址的對應(yīng)關(guān)系的中查詢目標設(shè)備的MAC地址,如果在ARP緩存表中可以查詢到目的主機對應(yīng)

4、的MAC地址,便立即把查詢到的MAC地址作為目的主機地址,并將數(shù)據(jù)傳送給該MAC地址所在的接口;如果在ARP緩存表中沒有查詢到目的主機對應(yīng)的MAC地址,這個時候源主機就會向全網(wǎng)絡(luò)發(fā)送一個ARP廣播包,詢問目的主機I P地址對應(yīng)的MAC地址.這時,該網(wǎng)段的計算機以及網(wǎng)關(guān)都會收到該ARP廣播包,當目的主機收到該包的時候,它會單獨給源主機發(fā)送一個包并告訴源主機自己的MAC地址,當源主機收到來自目的主機的應(yīng)答包后,便會將目的主機的I P地址和MAC地址的對應(yīng)關(guān)系寫入自己的ARP緩存表,從而繼續(xù)完成數(shù)據(jù)的傳送.3*收稿日期:2008-03-20圖12ARP病毒的表現(xiàn)形式2.1網(wǎng)絡(luò)頻繁掉線網(wǎng)絡(luò)頻繁掉線主要

5、表現(xiàn)為用戶在使用網(wǎng)絡(luò)的過程中,網(wǎng)頁打開速度慢、時斷時續(xù)甚至根本打不開以及其它的網(wǎng)絡(luò)應(yīng)用處于斷線狀態(tài).這種現(xiàn)象是因為感染ARP病毒的主機一旦收到ARP請求包后,便向源主機發(fā)送偽造的ARP包,導致源主機無法與真正的目的主機通訊.當偽造的ARP包中包含錯誤的網(wǎng)關(guān)信息時,源主機會誤認為中毒主機就是網(wǎng)關(guān),便會通過中毒主機連接外網(wǎng),如果中毒主機性能很差,無法勝任/網(wǎng)關(guān)臨時代理0功能,就會表現(xiàn)為用戶網(wǎng)絡(luò)連通,但延時太大,所以用戶上網(wǎng)才會覺得慢、時斷時續(xù),甚至根本無法連接網(wǎng)絡(luò).2.2彈出惡意廣告ARP病毒在偽裝網(wǎng)關(guān)的基礎(chǔ)上,還會對HTTP 請求訪問進行修改.HTTP是應(yīng)用層的協(xié)議,主要是用于W EB網(wǎng)頁訪問.

6、當源主機請求網(wǎng)關(guān)訪問某個網(wǎng)站的時候,中毒主機仍然會擔任/網(wǎng)關(guān)臨時代理0之職,仍然會給源主機下載所請求的web網(wǎng)站內(nèi)容,但不同的是,在將w eb內(nèi)容傳送給源主機的同時(圖示1第六步,會在下載的w eb內(nèi)容中插入惡意網(wǎng)址連接,該惡意網(wǎng)址連接會利用MS06-014和M S07-017等多種系統(tǒng)漏洞,向源主機種植木馬病毒.將進一步破壞用戶系統(tǒng)以及網(wǎng)絡(luò)環(huán)境.2.3提示I P地址沖突ARP病毒還會造成用戶I P地址沖突,并不斷的提示,干擾用戶正常使用網(wǎng)絡(luò).正常情況下,當主機A在連接網(wǎng)絡(luò)(或更改I P地址的時候就會向網(wǎng)絡(luò)發(fā)送ARP包廣播自己的I P地址,也就是freearp.如果網(wǎng)絡(luò)中存在相同I P地址的主

7、機B,那么B就會通過ARP來reply該地址,當A接收到這個rep l y后,A就會跳出I P地址沖突的警告,當然B也會有警告.但如果網(wǎng)內(nèi)存在ARP欺騙病毒,那么中毒主機便可以偽造這個ARP rep l y,ARP rep l y 的內(nèi)容就是/我的地址和主機A一樣0,主機A就誤認為自己的I P和別人沖突了,就會不斷的出現(xiàn)I P地址沖突警告,也就無法與網(wǎng)絡(luò)通信.2.4欺騙網(wǎng)關(guān),徹底斷網(wǎng)前面幾點我們講的都是ARP病毒欺騙主機的情況.現(xiàn)在我們講ARP病毒最嚴重的一種破壞方式,即:欺騙網(wǎng)關(guān).中毒主機向網(wǎng)關(guān)發(fā)送偽造的ARP應(yīng)答數(shù)據(jù)包,其中發(fā)送方的I P地址為目標主機的I P地址,而MAC地址則為一個偽造

8、的地址.這樣,路由器的ARP表中就產(chǎn)生了一條錯誤的I P -MAC記錄,網(wǎng)關(guān)發(fā)送給目標的數(shù)據(jù)包都是使用了錯誤的MAC地址.這種情況下,目標能夠發(fā)送數(shù)據(jù)到網(wǎng)關(guān),卻不能接收到來自網(wǎng)關(guān)的任何數(shù)據(jù).導致主機徹底處于斷線狀態(tài).2.5其它隨著ARP病毒的擴散日益嚴重,很多黑客利用了ARP病毒的特性結(jié)合其他木馬病毒對用戶實施更嚴重的攻擊與破壞.例如:目前對用戶破壞比較大的一種病毒是/磁碟機新變種0病毒.一旦感染這個病毒,首先它會在指定的網(wǎng)站下載ARP病毒,然后不間斷的對網(wǎng)內(nèi)的其他用戶實施ARP攻擊,并且中毒的計算機基本上失去了病毒防護能力,將所有的與病毒防護有關(guān)的軟件實施禁用;無法顯示隱藏文件;在進程中多了

9、幾個以管理員為用戶名的進程:LSASS.exe、S M SS.exe等,并無法結(jié)束這些進程.此類病毒查殺難度很大,用戶計算機基本上處于癱瘓狀態(tài).此類病毒最有效的清除辦法就是利用專殺工具反復(fù)查殺.3ARP病毒的解決及防范64咸寧學院學報第28卷3.1用戶的角度3.2網(wǎng)絡(luò)管理員的角度對于一個中、大型的網(wǎng)絡(luò)而言,用戶太多,要求每個用戶都做到ARP病毒的防范,似乎不大可能.哪怕只有一臺計算機沒有做好防范措施,也會對網(wǎng)絡(luò)造成很大的影響,所以從用戶的角度去抑制或清除該病毒始終是不夠徹底的.要徹底的解決這個病毒,還是應(yīng)該從網(wǎng)絡(luò)管理的角度著手.網(wǎng)絡(luò)管理員還可以利用第三方軟件對網(wǎng)絡(luò)進行實時監(jiān)控、掃描,發(fā)現(xiàn)ARP

10、病毒以及鎖定病毒源.以cisco2950交換機為例,在交換機端口上實施MAC地址與端口綁定和I P地址與端口的綁定相結(jié)合,從而達到在端口上應(yīng)用I P與MAC地址綁定的功能.一旦綁定之后,交換機的ARP表就固定了,無論接收到來自任何計算機的ARP欺騙都無法修改交換機的ARP表,同時也就保證了路由的準確性.以此來避免ARP病毒各式各樣的攻擊、欺騙.具體實施如下:Sw itch(confi gM ac access-list ex tended MAC0 #定義一個MAC地址訪問控制列表并且命名該列表名為MAC0Sw itch(confi gIp access-list ex tended I P0

11、#定義一個I P地址訪問控制列表并且命名該列表名為I P0#定義所有主機可以訪問I P地址為的主機Sw itch(confi g-ifi n terface Fa0/20#進入配置具體端口的模式Sw itch(config-ifm ac access-g roupMAC0in #在該端口上應(yīng)用名為MAC0的訪問列表(即前面我們定義的訪問策略Sw itch(confi g-ifIp access-group I P0in#在該端口上應(yīng)用名為I P0的訪問列表(即前65第3期張文亮ARP病毒入侵原理及解決方案面我們定義的訪問策略Sw itch(con fi gno m ac

12、access-li s t ex tended MAC0#清除名為MAC0的訪問列表Sw itch(configno Ip access-g r oup I P0in#清除名為I PO的訪問列表4總結(jié)ARP病毒如果要徹底的解決,首先要保證局域網(wǎng)內(nèi)的任何一臺計算機不能感染ARP病毒,也不可以存在帶來ARP病毒的其他木馬病毒.所以ARP病毒的防范不是簡單的只防ARP病毒,還需要防范其它更多的木馬病毒.隨著網(wǎng)絡(luò)應(yīng)用的日益擴大,形形色色的網(wǎng)絡(luò)病毒泛濫,肆意破壞網(wǎng)絡(luò)環(huán)境.因此網(wǎng)絡(luò)安全、病毒防范對于網(wǎng)絡(luò)用戶而言應(yīng)該放在首要的位置,也應(yīng)該是一項長期的工作,要養(yǎng)成一種好的上網(wǎng)習慣,才能給自己以及他人營造一個安

13、全、可靠、高效的網(wǎng)絡(luò)環(huán)境.真正的做到網(wǎng)絡(luò)安全、人人有責.參考文獻:1鄧吉,柳靖.黑客攻防實戰(zhàn)詳解安全技術(shù)大系M.北京:電子工業(yè)出版社,2006.2史蒂文斯(W.R ichard Stevens.TCP/IP詳解(卷1:協(xié)議M.北京:機械工業(yè)出版社,1991.3多伊爾,卡羅爾.TCP/IP路由技術(shù)(第一卷M.第2版.北京:人民郵電出版社,2007.4科默(Come r,D.E.用TCP/I P進行網(wǎng)際互連(第一卷:原理、協(xié)議與結(jié)構(gòu)M.第5版.北京:電子工業(yè)出版社,2007.版.北京:清華大學出版社,2006.Invasi on M echanis m s and Solutions of ARP

14、-V irusZHANG W en-li a ng(Center of Net w or k M anage m en,t X iann i n g Un i v ersity,X iann i n g437100,Ch i n aAbst ract:The I nternet users who are jo i n ed through the LAN m ay not feel strange to ARP v irus,and are basically hurt deeply by i.t This v irus reduces the net w ork perfo r m ance to a great exten,t and even m akes the net w or k paralysed,causing users to be unab le to use the net w or k nor m ally.F