arp缓存更新的机制.doc

趋势科技（中国）技术支持中心 仅供内部及授权客户或合作伙伴参考预防和处理ARP攻击病毒1前言：病毒原理和行为说明22预防在先，重要的规避措施43第一步，监控攻击行为和源头42.1.第三方IDS或者有IDS功能的防火墙42.2.第三方工具42.3.趋势OfficeScan客户端防火墙74第二步，恢复网络75第三步，分析并提取ARP攻击源可疑样本7此文档的位置：/corporate/techsupport/如何联系我们：/cn/about/contact-us/overview.htm邮箱：技术支持电话： 800-820-8839 未开通800 服务地区的用户请拨打趋势科技技术支持中心2006-08-20第9页1 前言：病毒原理和行为说明此类病毒利用的是ARP Spoofing攻击原理。在局域网中，是通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包，对ARP高速缓存机制的攻击。每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录（条目）的生存时间一般为60秒，起始时间从被创建时开始算起。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A可不知道被伪造了）。当攻击源大量向局域网中发送虚假的ARP信息后，就会造成局域网中的机器ARP缓存的崩溃。Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的，那么让整个Switch的端口表都改变，对Switch进行MAC地址欺骗的Flood，不断发送大量假MAC地址的数据包，Switch就更新MAC-PORT缓存，如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了，那么Switch就会进行泛洪发送给每一个端口，让Switch基本变成一个HUB，向所有的端口发送数据包，要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃，如下下面交换机中日志所示：Internet 0 000b.cd85.a193 ARPA Vlan256Internet 0 000b.cd85.a193 ARPA Vlan256Internet 54 0 000b.cd85.a193 ARPA Vlan256Internet 3 0 000b.cd85.a193 ARPA Vlan256Internet 3 0 000b.cd85.a193 ARPA Vlan256Internet 3 0 000b.cd85.a193 ARPA Vlan256Internet 5 0 000b.cd85.a193 ARPA Vlan256Internet 4 0 000b.cd85.a193 ARPA Vlan256当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。在路由器的“系统历史记录”中看到大量如下的信息：MAC Chged 24MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。2 预防在先，重要的规避措施建议用户在可实施的情况根据以下的建议，对网络环境进行重新配置，以避免ARP攻击在网络环境中发生。a) 不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。 b) 设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。c) 除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。d) 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。e) 使用proxy代理IP的传输。f) 使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。g) 管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。h) 管理员定期轮询，检查主机上的ARP缓存。 3 第一步，监控攻击行为和源头当然，不是所有的网络里面都可以有效的规避此类病毒行为的发作，这个时候可以建立相应的预警机制，使管理员在第一时间发现此类攻击行为，并得知攻击源。有多种工具和方式，以下几种方法罗列供参考，可视自己的网络设备条件酌情使用。2.1. 第三方IDS或者有IDS功能的防火墙打开IDS或者防火墙关于检测ARP 欺骗（Spoofing）攻击的设置，并设置触发措施来通知到管理员，从而在第一时间得知ARP欺骗攻击，并得知攻击源的Mac地址。详细方法请参考相关的IDS和防火墙的说明或者技术支持2.2. 第三方工具使用AntiArpSniffer定位ARP攻击源。在你的网络里面，找一台机器运行此工具，并定期来监控此工具的检测情况。工具下载地址：/soft/AntiArpSniffer3.zipa) 功能简介：帮助侦测定位网络中Arp攻击的来源，并保证遭受Arp攻击的网络中的主机在执行该工具的自动保护功能后能正常的与网关通信b) 使用说明：防御ARP欺骗 开启Anti ARP Sniffer,输入网关IP地址，点击枚取MAC如你网关填写正确将会显示出网关的MAC地址。 点击 自动保护 即可保护当前网卡与网关的正常通信。追踪ARP攻击者：当局域网内有人试图与本机进行ARP欺骗，其数据会被Anti ARP Sniffer记录。在欺骗数据详细记录表中选择需要追踪的行，然后点击追捕欺骗机，就能查找到攻击源。2点击按钮查找攻击源1点击相应的记录 2.3. 趋势OfficeScan客户端防火墙趋势科技OfficeScan客户端防火墙不久将具备监控并预防ARP欺骗的功能，请关注近期的产品通知。4 第二步，恢复网络通过以上方法可以快速发现此类攻击行为，并得知攻击源的MAC地址。这个时候你有两种方法来快速恢复网络。如果你的二层交换机支持单个端口的配置，那么封锁此网卡连接的交换机的端口。否则，你需要通过资产管理资料，找到这台机器的物理位置，拔调此机器的网线。某些网络可能难以通过MAC地址找到机器的物理位置，这个时候需要用一些迂回的方式，比如大家都不能联网的时候，有一台机器可以，那么一般来说这个机器就是攻击源了。通过以上两种方式隔离此机器后，等ARP缓存更新后，其他机器即可正常联网。一般来说MS Windows高速缓存中的每一条记录包括ARP的生存时间一般为60秒。5 第三步，分析并提取ARP攻击源可疑样本在攻击源机器上，可疑样本收集及处理：1. 收集信息给趋势科技技术支持中心：使用SIC以及Hijackthis收集，ARP攻击源系统日志进行分析，查找其中的可疑项目。如遇有无法收集有效信息的情况（病毒采用Rootkit技术进行自身的隐藏），使用Icesword（Rootkit检测工具）检查是否有隐藏项目，在Icesword中隐藏的进程、文件和服务会以红色显示。2.