ARP病毒问题的处理.doc

什么是arp攻击？arp攻击是什么意思？arp协议的基本功能就是通过目标设备的ip地址，查询目标设备的mac地址，以保证通信的进行。 基于arp协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的arp数据包，数据包内包含有与当前设备重复的mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到arp攻击的计算机会出现两种现象： 1.不断弹出“本机的xxx段硬件地址与网络中的xxx段地址冲突”的对话框。 2.计算机不能正常上网，出现网络中断的症状。 因为这种攻击是利用arp请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击。arp病毒问题的处理arp病毒问题的处理说明:故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在msdos窗口下运行命令arp -d后，又可恢复上网一段时间。故障原因：这是apr病毒欺骗攻击造成的。引起问题的原因一般是由传奇外挂携带的arp木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的mac地址映射到网关的ip地址上，向局域网内大量发送arp包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。临时处理对策：步骤一. 在能上网时，进入ms-dos窗口，输入命令：arp a 查看网关ip对应的正确mac地址，将其记录下来。注：如果已经不能上网，则先运行一次命令arp d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp a。步骤二. 如果已经有网关的正确mac地址，在不能上网时，手工将网关ip和正确mac绑定，可确保计算机不再被攻击影响。手工绑定可在ms-dos窗口下运行以下命令： arp s 网关ip 网关mac例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp a后输出如下：c:documents and settings>arp -ainterface: 218.197.192.1 - 0x2internet address physical address type218.197.192.254 00-01-02-03-04-05 dynamic其中00-01-02-03-04-05就是网关218.197.192.254对应的mac地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该mac已经被替换成攻击机器的mac，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该mac记录下来，为以后查找做准备。手工绑定的命令为：arp s 218.197.192.254 00-01-02-03-04-05绑定完，可再用arp a查看arp缓存，c:documents and settings>arp -a interface: 218.197.192.1 - 0x2internet address physical address type218.197.192.254 00-01-02-03-04-05 static这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法：如果已有病毒计算机的mac地址，可使用nbtscan软件找出网段内与该mac地址对应的ip，即病毒计算机的ip地址，然后可报告校网络中心对其进行查封。arp攻击原理文主要以以太网为例，说明arp攻击的原理。以太网上的机器通过ip协议通信时，ip包从上层一直下传到数据链路层，数据链路层就要构造以太帧了，以太头中包括目的mac地址，源mac地址和协议，源地址是自己网卡的mac地址，可以得到，协议对于ip包来说是0x0800(网络序)，而目的mac地址呢？所知道的目前只是目的ip地址，arp协议就是把ip地址转换为ip地址的一个底层协议，一般人很少注意。为得到一个ip地址对应的mac地址，主机就会发出arp请求，属于以太广播包目的mac是ff:ff:ff:ff:ff:ff，协议0x0806，表示是arp协议，在rfc826中定义，rfc中是这样定义的ethernettransmissionlayer(notnecessarilyaccessibletotheuser)：48.bit: ethernet address of destination48.bit: ethernet address of sender16.bit: protocol type = ether_type$address_resolution ethernet packet data:16.bit: (ar$hrd) hardware address space (e.g., ethernet, packet radio net.)16.bit: (ar$pro) protocol address space. for ethernet hardware, this is from the set of typefields ether_typ$.8.bit: (ar$hln) byte length of each hardware address 8.bit: (ar$pln) byte length of each protocol address 16.bit: (ar$op) opcode (ares_op$request | ares_op$reply) nbytes: (ar$sha) hardware address of sender of thispacket, n from the ar$hln field.mbytes: (ar$spa) protocol address of sender of this packet, m from the ar$pln field.nbytes: (ar$tha) hardware address of target of this packet (if known).mbytes: (ar$tpa) protocol address of target. hardware address space协议类型字段表示要映射的协议地址类型。它的值与包含ip数据报的以太网数据帧中的类型字段的值相同，这是有意设计的,为0x0800即表示ip包。接下来的两个1字节的字段，硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。对于以太网上ip地址的arp请求或应答来说，它们的值分别为6和4。操作字段指出四种操作类型，它们是arp请求（值为1）、arp应答（值为2）、rarp请求（值为3）和arp应答（值为4）。接下来的四个字段是发送端的硬件地址（在本例中是以太网地址）、发送端的协议地址（ip地址）、目的端的硬件地址和目的端的协议地址。注意，这里有一些重复信息：在以太网?的数据帧报头中和arp请求数据帧中都有发送端的硬件地址。对于一个arp请求来说，除目的端硬件地址外的所有其他的字段都有填充值。当系统收到一份目的端为本机的arp请求报文后，它就把硬件地址填进去，然后用两个目的端地址分别替换两个发送端地址，并把操作字段置为2，最后把它发送回去。由于arp欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当arp欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。来源：电脑知识网 电脑视界网 2008-06-07 12:46:40本着“不冤枉好人，不放过一个坏人的原则”，先说说我的一些想法和理论依据。首先，大家肯定发送arp欺骗包肯定是一个恶毒的程序自动发送的，正常的tcp/ip网络是不会有这样的错误包发送的(板砖扔了过来啊，废话！)。这就假设，如果犯罪嫌疑人没有启动这个破坏程序的时候，网络环境是正常的，或者说网络的arp环境是正常的，如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信和可依靠的。好，接下来我们谈论如何在第一时间发现他的犯罪活动。 arp欺骗的原理如下： 假设这样一个网络，一个hub接了3台机器 hosta hostb hostc 其中 a的地址为：ip：192.168.10.1 mac: aa-aa-aa-aa-aa-aa b的地址为：ip：192.168.10.2 mac: bb-bb-bb-bb-bb-bb c的地址为：ip：192.168.10.3 mac: cc-cc-cc-cc-cc-cc 正常情况下 c:arp -a interface: 192.168.10.1 on interface 0x1000003 internet address physical address type 192.168.10.3 cc-cc-cc-cc-cc-cc dynamic 现在假设hostb开始了罪恶的arp欺骗： b向a发送一个自己伪造的arp应答，而这个应答中的数据为发送方ip地址是192.168.10.3（c的ip地址），mac地址是dd-dd-dd-dd-dd-dd（c的mac地址本来应该是cc-cc-cc-cc-cc-cc，这里被伪造了）。当a接收到b伪造的arp应答，就会更新本地的arp缓存（a可不知道被伪造了）。而且a不知道其实是从b发送过来的，a这里只有192.168.10.3（c的ip地址）和无效的dd-dd-dd-dd-dd-dd mac地址，没有和犯罪分子b相关的证据，哈哈，这样犯罪分子岂不乐死了。 现在a机器的arp缓存更新了： c:>arp -a interface: 192.168.10.1 on interface 0x1000003 internet address physical address type 192.168.10.3 dd-dd-dd-dd-dd-dd dynamic 这可不是小事。局域网的网络流通可不是根据ip地址进行，而是按照mac地址进行传输。现在192.168.10.3的mac地址在a上被改变成一个本不存在的mac地址。现在a开始ping 192.168.10.3，网卡递交的mac地址是dd-dd-dd-dd-dd-dd，结果是什么呢？网络不通，a根本不能ping通c！ 所以，局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的arp应答信息包，nnd，严重的网络堵塞就开始了！网吧管理员的噩梦开始了。我的目标和任务，就是第一时间，抓住他。不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷，掩盖了自己的罪行。但其实，以上方法也有留下了蛛丝马迹。尽管，arp数据包没有留下hostb的地址，但是，承载这个arp包的ethernet帧却包含了hostb的源地址。而且，正常情况下ethernet数据帧中，帧头中的mac源地址/目标地址应该和帧数据包中arp信息配对，这样的arp包才算是正确的。如果不正确，肯定是假冒的包，可以提醒！但如果匹配的话，也不一定代表正确，说不定伪造者也考虑到了这一步，而伪造出符合格式要求，但内容假冒的arp数据包。不过这样也没关系，只要网关这里拥有本网段所有mac地址的网卡数据库，如果和mac数据库中数据不匹配也是假冒的arp数据包。也能提醒犯罪分子动手了。 二、防范措施 1. 建立dhcp服务器(建议建在网关上，因为dhcp不占用多少cpu，而且arp欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的ip地址及其相关主机信息，只能由网关这里取得，网关这里开通dhcp服务，但是要给每个网卡，绑定固定唯一ip地址。一定要保持网内的机器ip/mac一一对应的关系。这样客户机虽然是dhcp取地址，但每次开机的ip地址都是一样的。 2. 建立mac数据库，把网吧内所有网卡的mac地址记录下来，每个mac和ip、地理位置统统装入数据库，以便及时查询备案。 3. 网关机器关闭arp动态刷新的过程，使用静态路邮，这样的话，即使犯罪嫌疑人使用arp欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。 网关建立静态ip/mac捆绑的方法是：建立/etc/ethers文件，其中包含正确的ip/mac对应关系，格式如下： 192.168.2.32 08:00:4e:b0:24:47 然后再/etc/rc.d/rc.local最后添加： arp -f 生效即可 4. 网关监听网络安全。网关上面使用tcpdump程序截取每个arp程序包，弄一个脚本分析软件分析这些arp协议。a