基于局域网的ａｒｐ病毒的分析与防御

1/5基于局域网的病毒的分析与防御摘要本文针对目前网络中存在的ARP病毒,通过分析ARP协议以及ARP病毒实现攻击的原理,列举了ARP病毒的各种常见现象,并给出了具体的防御方法。关键词ARP协议ARP病毒IP地址随着计算机技术和INTERNET技术的不断推广应用,网络逐渐成为人们日常生活中不可缺少的部分。通过网络人们可以完成浏览信息、收发邮件、远程信息管理、与外界进行电子商务交易等活动。但是由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及网络边界的不可知性,网络中必然存在众多潜在的安全隐患。近年来,针对网络的攻击也在不断增加,其中利用ARP协议漏洞对网络进行攻击就是其中的一种重要方式。一、ARP病毒现象1局域网内频繁性地区域或整体掉线,重启计算机或网络设备后恢复正常。当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线。出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。2/5网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道。造成网络设备的承载过重,导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。LOCALHOST二、ARP病毒攻击方式1中间人攻击。中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间,使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。克隆攻击。攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应。然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址,这样攻击者的主机变成了与目标主机一样的副本。3/5三、ARP病毒攻击原理ARP欺骗的核心思想就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。下面就在理论上说明实施ARP欺骗的过程S代表源主机,也就是将要被欺骗的目标主机D代表目的主机,源主机本来是向它发送数据A代表攻击者,进行ARP欺骗。进一步假设A已知的D的IP地址,于是他暂时将自己的IP地址改为D的IP地址。当S想要向D发送数据时,假设目前他的ARP缓存中没有关于D的记录,那么他首先在局域网中广播包含的D的IP地址的ARP请求。但此时A具有与D相同的IP地址,于是分别来自A与D的ARP响应报文将相继到达S。此时,A是否能够欺骗成功就取决于S的操作系统处理重复ARP响应报文的机制。不妨假设该机制总是用后到达的ARP响应中的地址刷新缓存中的内容。那么如果A控制自己的ARP响应晚于D的ARP响应到达S,S就会将如下伪造映射D的IP地址A的MAC地址,保存在自己的ARP缓存中。在这个记录过期之前,凡是S发送给D的数据实际上都将发送给A。而S却毫不察觉。或者A在上述过程中,利用其它方法直接抑制来自D的ARP应答将是一4/5个更有效的方法而不用依赖于不同操作系统的处理机制。进一步,A可不依赖于上述过程,直接在底层伪造ARP响应报文来达到同样的目的。四、ARP病毒防御方法1使用可防御ARP攻击的三层交换机,绑定端口MACIP。限制ARP流量,及时发现并自动阻断ARP攻击端口。合理划分VLAN。彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。查找病毒源,对病毒源头的机器进行处理,杀毒或重新安装系统。解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。对于经常爆发病毒的网络,进行INTERNET访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从INTERNET下载到用户终端。如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。关闭一些不需要的服务。条件允许的可关闭一些没有必要的共享,也包括C、D等管理共享。完全单机的用户也可直接关闭SERVER服务。经常更新杀毒软件病毒库。设置允许的可设置为每天定时自动更新,安装并使用网络防火墙软件。给系统安装补丁程序通过WINDOWSUPDATE安装好系统补丁程序。5/5五、结束语由于ARP协议制定时间比较早,当时对这些协议缺陷考虑不周,使得ARP攻击的破坏性比较大,但其也有局限性,比如ARP攻击只局限在本地网络环境中。最根本的解决措施就是使用IPV6协议,因为在IPV定义了邻机发现协议NDP,把ARP纳入NDP并运行于因特网控制报文协议ICMP上,使ARP更具有一般性,包括更多的内容,而且不用为每种链路层协议定义一种ARP。参考文献1WRICHARDSTE