淺談局域網(wǎng)ARP攻擊的危害及防范方法

1、要：自去年5月份開始出現(xiàn)的校內(nèi)局域網(wǎng)頻繁掉線等問題，對(duì)正常的教育教學(xué)帶來了極大的不便，可以說是談“掉”色變，造成這種現(xiàn)象的情況有很多，但目前最常見的是ARP攻擊了。本文介紹了 ARP攻擊的原理以及由此引發(fā)的網(wǎng)絡(luò)安全問題，并且結(jié)合實(shí)際情況，提出在校園網(wǎng)中實(shí)施多層次的防范方法，以解決因ARP攻擊而引發(fā)的網(wǎng)絡(luò)安全問題，最后介紹了一些實(shí)用性較強(qiáng)且操作簡單的檢測和抵御攻擊的有效方法。關(guān)鍵詞：ARP攻擊；網(wǎng)絡(luò)安全；防范方法您是否遇到局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常？您的網(wǎng)速是否時(shí)快時(shí)慢，極其不穩(wěn)定，但單機(jī)進(jìn)行光纖數(shù)據(jù)測試時(shí)一切正常？您是否時(shí)常聽到教職工的網(wǎng)上銀行、游戲及QQ賬號(hào)

2、頻繁丟失的消息？這些問題的出現(xiàn)有很大一部分要?dú)w功于ARP攻擊，我校局域網(wǎng)自去年5月份開始ARP攻擊頻頻出現(xiàn)，目前校園網(wǎng)內(nèi)已發(fā)現(xiàn)的“ARP攻擊”系列病毒已經(jīng)有了幾十個(gè)變種。據(jù)檢測數(shù)據(jù)顯示，APR攻擊從未停止過，為此有效的防范ARP形式的網(wǎng)絡(luò)攻擊已成為確保網(wǎng)絡(luò)暢通必要條件。一、ARP的基本知識(shí)1、什么是ARP？ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過

3、地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的，ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。2、ARP協(xié)議的工作原理正常情況下，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè) ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己 ARP列表中是否存在該 IP地址對(duì)應(yīng)的MAC地址，如果有就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，

4、就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包，查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè) ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址；源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如圖：彩影

5、軟件的ARP防火墻，目前最新版本是V版。 ARP防火墻采用系統(tǒng)內(nèi)核層攔截技術(shù)和主動(dòng)防御技術(shù)，包含六大功能模塊可解決大部分欺騙、ARP攻擊帶來的問題，從而保證通訊安全（保障通訊數(shù)據(jù)不被網(wǎng)管軟件/惡意軟件監(jiān)聽和控制）、保證網(wǎng)絡(luò)暢通。彩影ARP防火墻下載地址： 3、具有ARP防護(hù)功能的網(wǎng)絡(luò)設(shè)備由于ARP形式的攻擊而引發(fā)的網(wǎng)絡(luò)問題是目前網(wǎng)絡(luò)管理，特別是局域網(wǎng)管理中最讓人頭疼的攻擊，他的攻擊技術(shù)含量低，隨便一個(gè)人都可以通過攻擊軟件來完成ARP欺騙攻擊，同時(shí)防范ARP形式的攻擊也沒有什么特別有效的方法。目前只能通過被動(dòng)的亡羊補(bǔ)牢形式的措施了，本文介紹的方法希望對(duì)大家有所幫助。ARP 攻擊的原理A

6、RP 欺騙攻擊的包一般有以下兩個(gè)特點(diǎn)，滿足之一可視為攻擊包報(bào) 警:第一以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和 ARP 數(shù)據(jù)包的協(xié)議地址不匹配。或者，ARP 數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡 MAC 數(shù)據(jù)庫內(nèi)，或者與自己網(wǎng)絡(luò) MAC 數(shù)據(jù)庫 MAC/IP 不匹配。這些統(tǒng)統(tǒng)第一時(shí)間報(bào)警，查這些數(shù)據(jù)包 (以太網(wǎng)數(shù)據(jù)包)的源地址(也有可能 偽造)，就大致知道那臺(tái)機(jī)器在發(fā)起攻擊了?，F(xiàn)在有網(wǎng)絡(luò)管理工具比如網(wǎng)絡(luò)執(zhí)法官、 P2P 終結(jié)者也會(huì)使用同樣的方式來偽裝成網(wǎng)關(guān)，欺騙客戶端對(duì)網(wǎng)關(guān)的訪問，也就是會(huì)獲取發(fā)到網(wǎng)關(guān)的流量，從而實(shí)現(xiàn)網(wǎng)絡(luò)流量管理和網(wǎng)絡(luò)監(jiān)控等功能，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)管理帶來潛在的危害，就是可以很容易的獲

7、取用戶的密碼等相關(guān)信息。處理辦法通用的處理流程：1 .先保證網(wǎng)絡(luò)正常運(yùn)行方法一：編輯個(gè)*.bat 文件內(nèi)容如下：end讓網(wǎng)絡(luò)用戶點(diǎn)擊就可以了!辦法二：編輯一個(gè)注冊(cè)表問題，鍵值如下：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"mac"="arp ¬s 網(wǎng)關(guān) IP 地址 網(wǎng)關(guān) Mac 地址"然后保存成 Reg 文件以后在每個(gè)客戶端上點(diǎn)擊導(dǎo)入注冊(cè)表。 2 找到感染 ARP 病毒的機(jī)器。在電腦上 ping

8、一下網(wǎng)關(guān)的 IP 地址，然后使用 ARP a 的命令看得到的網(wǎng)關(guān)對(duì)應(yīng)的 MAC 地址是否與實(shí)際情況相符，如不符，可去查找與該 MAC 地址對(duì)應(yīng)的電腦。使用抓包工具，分析所得到的 ARP 數(shù)據(jù)報(bào)。有些 ARP 病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己，有些是發(fā)出虛假 ARP 回應(yīng)包來混淆網(wǎng)絡(luò)通信。第一種處理比較容易，第二種處理比較困難，如果殺毒軟件不能正確識(shí)別病毒的話，往往需要手工查找感染病毒的電腦和手工處理病毒，比較困難。使用 mac 地址掃描工具， nbtscan 掃描全網(wǎng)段 IP 地址和 MAC 地址對(duì)應(yīng)表，有助于判斷感染 ARP 病毒對(duì)應(yīng) MAC 地址和 IP 地址。按照上述辦法，綁定ip，由于

9、病毒不是一直發(fā)作，很難找到感染病毒的電腦，但病毒發(fā)作時(shí)，用arp -a命令發(fā)現(xiàn)網(wǎng)關(guān)的mac地址變了，根據(jù)mac地址終于找到問題的根源，關(guān)掉電腦，網(wǎng)絡(luò)正常?；蛘哐b個(gè)ARP防火墻。用彩影單機(jī)版三】ARP地址欺騙類病毒（以下簡稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。二、ARP病毒發(fā)作時(shí)的現(xiàn)象網(wǎng)絡(luò)掉線，但網(wǎng)絡(luò)連接正常，內(nèi)網(wǎng)的部分PC機(jī)不能上網(wǎng)，或者所有電腦不能上網(wǎng)，無法打開網(wǎng)頁或打開網(wǎng)頁慢，局域網(wǎng)時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等。三、ARP病

10、毒原理3.1 網(wǎng)絡(luò)模型簡介眾所周知，按照OSI (Open Systems Interconnection Reference Model 開放系統(tǒng)互聯(lián)參考模型) 的觀點(diǎn)，可將網(wǎng)絡(luò)系統(tǒng)劃分為7層結(jié)構(gòu)，每一個(gè)層次上運(yùn)行著不同的協(xié)議和服務(wù)，并且上下層之間互相配合，完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能，如圖1：圖1 OSI網(wǎng)絡(luò)體系模型然而，OSI的模型僅僅是一個(gè)參考模型，并不是實(shí)際網(wǎng)絡(luò)中應(yīng)用的模型。實(shí)際上應(yīng)用最廣泛的商用網(wǎng)絡(luò)模型即TCP/IP體系模型，將網(wǎng)絡(luò)劃分為四層，每一個(gè)層次上也運(yùn)行著不同的協(xié)議和服務(wù)，如圖2。圖2 TCP/IP四層體系模型及其配套協(xié)議上圖中，藍(lán)色字體表示該層的名稱，綠色字表示運(yùn)行在該層上的協(xié)

11、議。由圖2可見，我們即將要討論的ARP協(xié)議，就是工作在網(wǎng)際層上的協(xié)議。3.2 ARP協(xié)議簡介我們大家都知道，在局域網(wǎng)中，一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行通信，必須要知道目標(biāo)主機(jī) 的IP地址，但是最終負(fù)責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識(shí)別IP地址的，只能識(shí)別其硬件地址即MAC地址。MAC地址是48位的，通常表示為 12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用“-”或者冒號(hào)隔開，如：00-0B-2F-13-1A-11就是一個(gè)MAC地址。每一塊網(wǎng)卡都有其全球唯一的 MAC地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對(duì)方網(wǎng)卡的MAC地址進(jìn)行發(fā)送，這時(shí)就需要一個(gè)將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議，而這

12、個(gè)重要 的任務(wù)將由ARP協(xié)議完成。ARP全稱為Address Resolution Protocol，地址解析協(xié)議。所謂“地址解析”就是主機(jī)在發(fā)送數(shù)據(jù)包前將目標(biāo)主機(jī)IP地址轉(zhuǎn)換成目標(biāo)主機(jī)MAC地址的過程。ARP協(xié)議的基本功能就是 通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。 這時(shí)就涉及到一個(gè)問題，一個(gè)局域網(wǎng)中的電腦少則幾臺(tái)，多則上百臺(tái)，這么多的電腦之間，如何能準(zhǔn)確的記住對(duì)方電腦網(wǎng)卡的MAC地址，以便數(shù)據(jù)的發(fā)送呢？這就 涉及到了另外一個(gè)概念，ARP緩存表。在局域網(wǎng)的任何一臺(tái)主機(jī)中，都有一個(gè)ARP緩存表，該表中保存這網(wǎng)絡(luò)中各個(gè)電腦的IP地址和MAC地址的對(duì)照關(guān)系。 當(dāng)這

13、臺(tái)主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時(shí)候，會(huì)根據(jù)ARP緩存表里的對(duì)應(yīng)關(guān)系進(jìn)行發(fā)送。下面，我們用一個(gè)模擬的局域網(wǎng)環(huán)境，來說明ARP欺騙的過程。3.3 ARP欺騙過程四、ARP病毒新的表現(xiàn)形式由于現(xiàn)在的網(wǎng)絡(luò)游戲數(shù)據(jù)包在發(fā)送過程中，均已采用了強(qiáng)悍的加密算法，因此這類ARP 病毒在解密數(shù)據(jù)包的時(shí)候遇到了很大的難度?，F(xiàn)在又新出現(xiàn)了一種ARP病毒，與以前的一樣的是，該類ARP病毒也是向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽 裝成網(wǎng)關(guān)。但區(qū)別是，它著重的不是對(duì)網(wǎng)絡(luò)游戲數(shù)據(jù)包的解密，而是對(duì)于HTTP請(qǐng)求訪問的修改。HTTP是應(yīng)用層的協(xié)議，主要是用于WEB網(wǎng)頁訪問。還是以上面的局域網(wǎng)環(huán)境舉 例，如果局域網(wǎng)中一臺(tái)

14、電腦S要請(qǐng)求某個(gè)網(wǎng)站頁面，如想請(qǐng)求這個(gè)網(wǎng)頁，這臺(tái)電腦會(huì)先向網(wǎng)關(guān)發(fā)送HTTP請(qǐng)求，說：“我想登陸 網(wǎng)頁，請(qǐng)你將這個(gè)網(wǎng)頁下載下來，并發(fā)送給我?！边@樣，網(wǎng)關(guān)就會(huì)將頁面下載下來，并發(fā)送給S 電腦。這時(shí)，如果A這臺(tái)電腦通過向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，自身偽裝成網(wǎng)關(guān)，成為一臺(tái)ARP中毒電腦的話，這樣當(dāng)S電腦請(qǐng)求WEB網(wǎng)頁時(shí)，A電腦先 是“好心好意”地將這個(gè)頁面下載下來，然后發(fā)送給S電腦，但是它在返回給S電腦時(shí)，會(huì)向其中插入惡意網(wǎng)址連接！該惡意網(wǎng)址連接會(huì)利用MS06-014和 MS07-017等多種系統(tǒng)漏洞，向S電腦種植木馬病毒！同樣，如果D電腦也是請(qǐng)求WEB頁面訪問，A電腦同樣也會(huì)給D電腦返回帶毒的網(wǎng)

15、頁，這樣，如果一 個(gè)局域網(wǎng)中存在這樣的ARP病毒電腦的話，頃刻間，整個(gè)網(wǎng)段的電腦將會(huì)全部中毒！淪為黑客手中的僵尸電腦！案例圖4 被ARP病毒插入的惡意網(wǎng)址連接從圖4中可以看出，局域網(wǎng)中存在這樣的ARP病毒電腦之后，其它客戶機(jī)無論訪問什么網(wǎng)頁，當(dāng)返回該網(wǎng)頁時(shí)，都會(huì)被插入一條惡意網(wǎng)址連接，如果用戶沒有打過相應(yīng)的系統(tǒng)補(bǔ)丁，就會(huì)感染木馬病毒。五、ARP病毒電腦的定位方法下面，又有了一個(gè)新的課題擺在我們面前：如何能夠快速檢測定位出局域網(wǎng)中的ARP病毒電腦？面對(duì)著局域網(wǎng)中成百臺(tái)電腦，一個(gè)一個(gè)地檢測顯然不是好辦法。其實(shí)我們只要利用ARP 病毒的基本原理：發(fā)送偽造的ARP欺騙廣播，中毒電腦自身偽裝成網(wǎng)關(guān)的特性

16、，就可以快速鎖定中毒電腦。可以設(shè)想用程序來實(shí)現(xiàn)以下功能：在網(wǎng)絡(luò)正常的時(shí)候， 牢牢記住正確網(wǎng)關(guān)的IP地址和MAC地址，并且實(shí)時(shí)監(jiān)控著來自全網(wǎng)的ARP數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)有某個(gè)ARP數(shù)據(jù)包廣播，其IP地址是正確網(wǎng)關(guān)的IP地址，但是 其MAC地址竟然是其它電腦的MAC地址的時(shí)候，這時(shí)，無疑是發(fā)生了ARP欺騙。對(duì)此可疑MAC地址報(bào)警，在根據(jù)網(wǎng)絡(luò)正常時(shí)候的IPMAC地址對(duì)照表查 詢?cè)撾娔X，定位出其IP地址，這樣就定位出中毒電腦了。下面詳細(xì)說一下幾種不同的檢測ARP中毒電腦的方法。5.1 命令行法這種方法比較簡便，不利用第三方工具，利用系統(tǒng)自帶的ARP命令即可完成。上文已經(jīng) 說過，當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時(shí)候

17、，ARP病毒電腦會(huì)向全網(wǎng)不停地發(fā)送ARP欺騙廣播，這時(shí)局域網(wǎng)中的其它電腦就會(huì)動(dòng)態(tài)更新自身的ARP緩存表，將網(wǎng) 關(guān)的MAC地址記錄成ARP病毒電腦的MAC地址，這時(shí)候我們只要在其它受影響的電腦中查詢一下當(dāng)前網(wǎng)關(guān)的MAC地址，就知道中毒電腦的MAC地址了，查 詢命令為 ARP a，需要在cmd命令提示行下輸入。輸入后的返回信息如下： Internet Address Physical Address Type 00-50-56-e6-49-56 dynamic這時(shí)，由于這個(gè)電腦的ARP表是錯(cuò)誤的記錄，因此，該MAC地址不是真正網(wǎng)關(guān)的MAC地址， 而是中毒電腦的MAC地址！這時(shí)

18、，再根據(jù)網(wǎng)絡(luò)正常時(shí)，全網(wǎng)的IPMAC地址對(duì)照表，查找中毒電腦的IP地址就可以了。由此可見，在網(wǎng)絡(luò)正常的時(shí)候，保存 一個(gè)全網(wǎng)電腦的IPMAC地址對(duì)照表是多么的重要。可以使用nbtscan 工具掃描全網(wǎng)段的IP地址和MAC地址，保存下來，以備后用。5.2 工具軟件法現(xiàn)在網(wǎng)上有很多ARP病毒定位工具，其中做得較好的是Anti ARP Sniffer（現(xiàn)在已更名為ARP防火墻），下面我就演示一下使用Anti ARP Sniffer這個(gè)工具軟件來定位ARP中毒電腦。首先打開Anti ARP Sniffer 軟件，輸入網(wǎng)關(guān)的IP地址之后，再點(diǎn)擊紅色框內(nèi)的“枚舉MAC”按鈕，即可獲得正確網(wǎng)關(guān)的MAC地址，如圖5。圖5 輸入網(wǎng)關(guān)IP地址后，枚舉MAC接著點(diǎn)擊