毕业设计——ARP病毒分析及防护措施.doc

毕业设计ARP病毒分析及防护措施毕业设计ARP病毒分析及防护措施提纲：一、引言。二、ARP协议的工作原理。三、ARP病毒的解决方案。四、ARP病毒的防范措施。五、总结。一、1 引言近期国内很多网吧和我们学校的局域网爆发一种新的“ARP欺骗”木马病毒（Address Resolution Protocol 地址解析协议），病毒发作时其症状表现为计算机网络连接正常，能登陆成功却无法打开网页；或由于ARP欺骗的木马程序（病毒）发作时发出大量的数据包，导致网络运行不稳定，频繁断网、 IE 浏览器频繁出错以及一些常用软件出现故障等问题，使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。ARP欺骗木马十分猖狂，危害也特别大，各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情，带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。二、2 ARP协议的工作原理1、ARP协议原理分析在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。主机 IP地址 MAC地址A 01-01-01-01-01-01B 02-02-02-02-02-02C 03-03-03-03-03-03D 04-04-04-04-04-04我们以主机A()向主机B()发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“的MAC地址是02-02-02-02-02-02”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了04-04-04-04-04-04这个地址上。如果进行欺骗的时候，把C的MAC地址骗为04-04-04-04-04-04，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。ARP协议是属于链路层的协议，在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP协议的。ARP协议的数据结构：Typedefstructarphdrunsignedshortarp_hrd;/*硬件类型*/unsignedshortarp_pro;/*协议类型*/unsignedchararp_hln;/*硬件地址长度*/unsignedchararp_pln;/*协议地址长度*/unsignedshortarp_op;/*ARP操作类型*/unsignedchararp_sha6;/*发送者的硬件地址*/unsignedlongarp_spa;/*发送者的协议地址*/unsignedchararp_tha6;/*目标的硬件地址*/unsignedlongarp_tpa;/*目标的协议地址*/ARPHDR,*PARPHDR;为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。假设我们的计算机IP地址是，要执行这个命令：ping。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤：1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表；3、如果存在该IP-MAC对应关系，那么跳到步骤9；如果不存在该IP-MAC对应关系，那么接续下面的步骤；4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址；5、当主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址；6、本地获得主机的IP-MAC地址对应关系，并保存到ARP缓存中；7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去；使用arp-a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的记录。知道了ARP协议的作用，就能够很清楚地知道，数据包的向外传输很依靠ARP协议，当然，也就是依赖ARP缓存。要知道，ARP协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。同时需要注意的是，ARP协议只使用于本网络。2、ARP协议的缺陷ARP协议是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管（其实也不知道）是否是合法的应答，只要收到目标MAC是自己的ARP reply包或arp广播包（包括ARP request和ARP reply），都会接受并缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人”。常见ARP欺骗形式1、假冒ARP reply包（单播）XXX，I have IP YYY and my MAC is ZZZ！2、假冒ARP reply包（广播）Hello everyone！ I have IP YYY and my MAC is ZZZ！向所有人散布虚假的IP/MAC3、假冒ARP request（广播）I have IP XXX and my MAC is YYY.Who has IP ZZZ？ tell me please！表面为找IP ZZZ的MAC，实际是广播虚假的IP、MAC映射（XXX，YYY）4、假冒ARP request（单播）已知IP ZZZ的MACHello IP ZZZ！ I have IP XXX and my MAC is YYY.5、假冒中间人欺骗主机（MAC为MMM）上启用包转发向主机AAA发假冒ARP Reply：AAA，I have IP BBB and my MAC is MMM，向主机BBB发假冒ARP Reply：BBB，I have IP AAA and my MAC is MMM 由于ARP Cache的老化机制，有时还需要做周期性连续欺骗。三、ARP病毒的解决方案【解决思路】1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。2、设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。5、使用proxy代理IP的传输。6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。8、管理员定期轮询，检查主机上的ARP缓存。9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。【解决方案】1、中毒者：断开网络，使用ARP病毒专杀工具查杀病毒。这里以趋势科技ARP病毒专杀工具为例，趋势科技ARP病毒专杀工具下载地址为：/download.asp/(ARP)TSC.rar下载后解压缩，运行包内TSC.exe文件，不要关让它一直运行完，最后查看report文档便知是否中毒。2、被害者：使用ARP防火墙等软件抵御ARP攻击。运行ARP防火墙。输入本网段的网关ip地址后，点击获取网关MAC地址，检查网关IP地址和MAC地址无误后，点击自动保护。若不知道网关IP地址，可通过以下操作获取：点击开始按钮-选择运行-输入cmd点击确定-输入ipconfig按回车，Default Gateway后的IP地址就是网关地址。（ 00-04-4D-04-3E-82）。ARP防火墙软件会在提示框内出现病毒主机的MAC地址。下图是ARP防火墙的操作界面3、运营商可采用Super VLAN或PVLAN技术所谓Super VLAN也叫VLAN聚合，这种技术在同一个子网中化出多个Sub VLAN，而将整个IP子网指定为一个VLAN聚合（Super VLAN），所有的Sub VLAN都使用Super VLAN的默认网关IP地址，不同的Sub VLAN仍保留各自独立的广播域。子网中的所有主机只能与自己的默认网关通信。如果将交换机或IP DSLAM设备的每个端口化为一个Sub VLAN，则实现了所有端口的隔离，也就避免了ARP欺骗。PVLAN即私有VLAN（Private VLAN） ，PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。PVLAN和SuperVLAN技术都可以实现端口隔离，但实现方式、出发点不同。PVLAN是为了节省VLAN，而SuperVlan的初衷是节省IP地址。4、单位局域网可采用IP与MAC绑定在PC上IP+MAC绑，网络设备上IP+MAC+端口绑。但不幸的是Win 98/me、未打arp补丁的win 2000/xp sp1（现在大多都已经打过了）等系统 使用arp -s所设置的静态ARP项还是会被ARP欺骗所改变。如果网络设备上只做IP+MAC绑定，其实也是不安全的，假如同一二层下的某台机器发伪造的arp reply（源ip和源mac都填欲攻击的那台机子的）给网关，还是会造成网关把流量送到欺骗者所连的那个（物理）端口从而造成网络不通。对于采用了大量傻瓜交换机的局域网，用户自己可以采取支持arp过滤的防火墙等方法。推荐Look nStop防火墙，支持arp协议规则自定义。最后就是使用ARPGuard，但它只是保护主机和网关间的通讯。四、ARP病毒的防范措施关于ARP病毒具体防范措施，电脑用户只需执行以下六个步骤，即可有效防范ARP病毒：1、 做好IPMAC地址的绑定工作（即将IP地址与硬件识别地址绑定），在交换机和客户端都要绑定，这是可以使局域网免疫ARP病毒侵扰的好办法。2、 全网所有的电脑都打上MS06-014和MS07-017这两个补丁，这样可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。MS06-014 中文版系统补丁下载地址： /china/technet/security/bulletin/MS06-014.mspxMS07-017 中文版系统补丁下载地址：/china/technet/security/bulletin/MS07-017.mspx3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置管理模板系统关闭自动播放已启用所有驱动器确定。4、在网络正常时候保存好全网的IPMAC地址对照表，这样在查找ARP中毒电脑时很方便。5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。6、部署KV网络版的杀毒软件，定期升级病毒库，定期全网杀毒以下是四种利用自制批处理文件来防御ARP攻击的方法。1、 把下面语句编成BAT处理文件就可以搞定echooff:读取本机Mac地址ifexistipconfig.txtdelipconfig.txtipconfig/allipconfig.txtifexistphyaddr.txtdelphyaddr.txtfindPhysicalAddressipconfig.txtphyaddr.txtfor/fskip=2tokens=12%Min(phyaddr.txt)dosetMac=%M:读取本机ip地址ifexistIPAddr.txtdelIPaddr.txtfindIPAddressipconfig.txtIPAddr.txtfor/fskip=2tokens=15%Iin(IPAddr.txt)dosetIP=%I:绑定本机IP地址和MAC地址arp-s%IP%Mac%:读取网关地址ifexistGateIP.txtdelGateIP.txtfindDefaultGatewayipconfig.txtGateIP.txtfor/fskip=2tokens=13%Gin(GateIP.txt)dosetGateIP=%G:读取网关Mac地址ifexistGateMac.txtdelGateMac.txtarp-a%GateIP%GateMac.txtfor/fskip=3tokens=2%Hin(GateMac.txt)dosetGateMac=%H:绑定网关Mac和IParp-s%GateIP%GateMac%arp-s网关IP网关MACexit这个批处理要查询本机的ARP缓存表，看里面是不是有网关的IP和MAC，有则能成功绑定，但是没有的话就绑不定了。不过可以改进一下，达到双绑的目的，比如加上arp-s网关IP网关MAC一行就可以了。2、以下这个也不能实现真正意义的双绑，只能绑定本机IP和MACechoofffor/fdelims=:tokens=2%ain(ipconfig/all|findPhysicalAddress)dosetlocal_mac=%afor/fdelims=:tokens=2%ain(ipconfig/all|findIPAddress)dosetlocal_ip=%afor/fdelims=:tokens=2%ain(ipconfig/all|findDefaultGateway)dosetgate_ip=%afo*/*%*in(getmac/nh/s%local_ip%)dosetgate_mac=%aarp-s%local_ip%local_mac%arp-s%gate_ip%gate_mac%（这个地方有问题，改进中）经测试，此批处理不能绑定网关IP和MAC，只能绑定本机IP和MAC3、把下面语句编成BAT处理文件可以绑定本机IP和MACECHOOFFSETLOCALENABLEDELAYEDEXPANSIONfor/ftokens=2delims=%iin(nbtstat-a%COMPUTERNAME%)docallsetlocal=!local!%ifor/ftokens=3%iin(netstat-r|find)dosetgm=%ifor/ftokens=1,2%iin(arp-a%gm%|find/i/vinter)dosetgate=%i%jarp-s%gate%arp-s%local%arp-s网关IP网关MAC这个批处理可以绑定网关IP和MAC，但是还是有缺陷，要依赖于本机上存在的ARP缓存！改进方法为在最后加一个arp-s网关IP和MAC。4、原理和第一个一样,只是改进了一点点。这个P通过ping网关三次得到了网关的MAC其实以上的批都可以通过这个来搞定网关的IP和MAC，但是如果开机的时候正在发生ARP欺骗的话这样你绑的IP和MAC就是错的，不能上网了。echooff:清除所有的ARP缓存arpd:读取本地连接配置ipconfig/allipconfig.txt:读取内网网关的IPfor/ftokens=13%Iin(findDefaultGatewayipconfig.txt)dosetGatewayIP=%I:ING三次内网网关ping%GatewayIP%-n3:读取与网关arp缓