ARP病毒攻击及局域网防范

1、ISSN1009-3044第7卷第年9月)26期(2011电脑知识与技术ComputerKnowledgeandTechnology蔡艳1，蔡豪2，李娜3（1.河南教育学院信息技术系，河南郑州450046；2.长春工业大学计算机科学与工程学院，吉林长春130012；3.华中师范大学计算机系，湖北武汉430079）摘要：ARP协议由于自身的缺陷，在实际应用当中，会导致ARP欺骗和ARP病毒攻击，给网络的安全造成一定的危害。该文分析了ARP协议工作原理，展示了ARP协议的工作过程以及协议存在的漏洞，并分析了ARP病毒原理和基于ARP病毒攻击的实现过程；给出了基于ARP的病毒的局域网防范策略。关键词

2、：ARP协议；ARP欺骗；MAC；ARP病毒中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)26-6341-03ARPVirusAttackandPreventionfortheLocalNetworkCAIYan1,CAIHao2,LINa3(1.InformationTechnologyDepartment,HenanInstituteofEducation,Zhengzhou450046,China;2.SchoolofComputerScienceandEn-gineering,ChangchunUniversityofTechnology,Changchu

3、n130012.China;3.DepartmentComputerScience,HuazhongNormalUniversi-ty,Wuhan430079,China)Abstract:AddressResolutionProtocolduetoitsownshortcomings,whichinpracticewouldleadtoARPdeception,ARPvirusattackandnetworksecurity.ThispaperanalyzestheworkingprincipleoftheARPprotocol,demonstratetheworkingprocessoft

4、heARPprotocol,aswellasloopholesintheagreement,ananalysisofARPvirus,andtheprocessofARPvirusattacks;thispaperalsogiveARPviruspreven-tionstrategyforthelocalareanetwork.Keywords:addressresolutionprotocol;ARPdeception;MAC;ARPvirusARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。它工作在TCP/IP协议族中网络层上，主要是用来实现IP地址

5、和对应设备的物理地址之间的相互转换，从而达到通过IP地址来访问网络设备的目的。由于本身存在一些设计上的缺陷，网络中的非法入侵者利用这些缺陷，通过篡改IP与MAC之间的对应关系，非法获取并替换他人的MAC，以达到非法监听和获取他人在网络上所传输的信息的目的，这种网络攻击方式称为ARP病毒入侵。ARP病毒的出现已经成为网络攻击中的一种主要形式，该病毒一般属于木马(Trojan)病毒，该病毒发作时会向全网段发送伪造的ARP数据包，干扰网络的正常运行，因此它的危害比一般病毒严重得多1。本文将通过对ARP病毒的工作原理和攻击过程的分析，最后给出相应的局域网防范策略。1ARP协议工作原理在每台主机上都存在

6、着一张记录IP地址与MAC地址映射关系的ARP缓存列表，ARP的主要操作都是围绕这张表进行。在网络数据传输过程中，ARP的解析过程可分为同一网段内和不同网段间两种情况进行。1.1同一网段内的ARP解析过程1)当一台主机要与别的主机通信时，首先初始化通信请求；当该IP地址确定为本地局域网IP地址时，源主机通过查询本机ARP缓存表，判断是否存在目的IP地址与MAC地址映射记录；如果存在，则直接这个MAC地址写入MAC帧，然后将数据发往目的主机。2)如果本机ARP缓存表中没有IP映射的MAC地址，本机ARP进程将向局域网内广播发送一个封装了目的IP地址和源主机MAC地址的ARP请求包，等待目的主机应

7、答。3)局域网中所有主机在收到这个请求包后，判断请求包中的目的IP地址是否与自己的IP地址一致，如果一致就接收，否则就丢弃此数据包；如果主机接收了该请求包，首先更新自己的ARP缓存表，将源主机IP和MAC添加到自己的ARP缓存表中。然后发送一个ARP应答包给源主机，告诉源主机自己是它需要找的MAC地址。4)在源主机收到应答包之后，提取MAC相关信息，将该IP和MAC的映射更新到ARP缓存表中，然后把这个MAC地址写入MAC帧，将数据发往目的主机，便完成了通信连接。1.2不同网段间的ARP解析过程1)初始化通信请求，得知目标IP属于一个不同网段主机；源主机就会将数据发送到缺省网关的IP。ARP进

8、程在本机ARP缓存中查找符合与网关的IP映射的MAC地址。若找到，源主机将数据发往网关的MAC地址上，由网关根据路由选择最终将数据包发送到目标主机。收稿日期：2011-07-04作者简介：蔡艳（1985-），女，河南郑州人，河南教育学院信息技术系，助教，主要从事计算机网络技术应用、网络安全研究。本栏目责任编辑：冯蕾网络通讯及安全6341ComputerKnowledgeandTechnology电脑知识与技术第7卷第26期(2011年9月)2)若没找到该网关的记录，ARP将广播一个包含网关IP地址而不是目标主机IP地址的ARP请求。路由器用自己的硬件地址响应源主机的ARP请求。源主机则将数据包

9、送到路由器，路由器在其路由表中查找该网关，然后运用ARP获得此网关的MAC，并将数据包发往网关的MAC地址上，以传送到目标主机的网络，最终达到目标主机。2ARP协议安全缺陷ARP协议的缺陷有如下两点：1)一台主机的IP地址映像到另一台主机的ARP缓存后，它就会被当作可信任的计算机。但并没有提供检验IP-MAC地址对应表真实性的机制。大多数主机保存了通过ARP得到的映射表，不考虑其有效性，也不维护一致性。ARP表可能把几个IP地址映射到同一物理地址上。2)ARP的请求是以广播的形式进行发送的，这样此网段中的所有主机都可以收到ARP请求。攻击者在收到ARP请求后，就可以伪装ARP应答，伪装成真正要

10、通信的主机，进行假冒和欺骗。3)任何响应都是合法的，ARP应答无需认证。ARP协议是局域网协议，设计之初，出于传输效率的考虑，在数据链路层没有做安全上的防范，在使用ARP协议交换MAC时无需认证。ARP协议是无状态的，任何主机即使在没有请求的时候也可以做出应答。ARP协议并未规定，主机在未受到查询时不能发送ARP应答包，这是ARP协议的一个安全隐患。许多系统会接受未请求的ARP响应，并用来更新其高速缓存。3ARP病毒ARP病毒主要存在于局域网中；感染ARP病毒的计算机开机后一般会自动连续发出伪造的ARP响应包，通过伪造IP地址和MAC地址从而更改目标主机ARP缓存表中的IP-MAC的映射记录，

11、意图截获所在网络内其他计算机的通信信息，同时因存在大量的ARP响应包而导致网络堵塞2。表1各个主机对应的IP、MAC地址等信息3.1ARP病毒攻击的原理如表1所示，处于同一局域网的三台主机A、S、D的IP及对应的MAC地址列表；主机A代表攻击方，进行ARP病毒攻击，主机S代表源主机，主机D代表目的主机，源主机S本来是向主机D发送数据。假设主机A已经知道主机S和主机D的IP地址，为达到欺骗的目的，主机A可以伪造一个ARP应答帧改变主机S表2源主机S发送的ARP请求帧的ARP缓存；也可以伪造一个ARP请求帧改变主机D的ARP缓存。下面分别对这两种ARP病毒攻击方式进行分析。表3主机A伪造的ARP应

12、答帧假设主机S发送一个ARP请求帧，如表2所示，询问主机D的物理地址。由于ARP请求帧是以广播方式发送的，因此主机A也可以收到这个请求。为了达到欺骗主机S的目的，在主机D向主机S发送了一个ARP应答帧后，主机A也向主机S发送了一个ARP应答帧，如表3所示，用来更改主机S的ARP缓存表中主机D的IP地址所对应的硬件地址。主机A发送的ARP应答帧(在主机D发送ARP应答帧后发送)更改了主机S的ARP缓存表，使主机S误认为主机D的硬件地址为00:E0:81:08:6F:2C，而实际上这个地址是局域网中主机A的MAC地址，这样就造成主机S与主机D无法正常通信。在主机S发送如表2所示的ARP请求帧后，主

13、机A也可以收到主机S的ARP请求帧，并且再发送一个几乎与主机S所发送的ARP请求帧相同的帧，如表4所示。主机A发送的ARP请求帧(在主机S发送ARP请求帧后发送)更改了主机D的ARP缓存表，使主机D误认为主机S的硬件地址为00:50:8D:82:60:0D，而实际上这个地址是局域网中主机A表4主机A伪造的ARP请求帧的MAC地址，这样就造成主机S与主机D无法正常通信。进一步地，主机A可以将自己插入主机S和主机D的通信路径之间，充当中间人的角色，这样主机A就可以监听主机S和主机D之间的通信。攻击过程如下：主机A更改主机S与主机D的ARP缓存，使得主机S向主机D发送数据时，使用的是D的IP地址与A

14、的MAC地址，并且D向S发送数据时，使用的是S的IP地址与A的MAC地址，因此，所有S与D之间传输的数据都将经过A，再由A分别转发给S和D。如果攻击者将目标主机ARP缓存中的MAC地址改为根本就不存在的地址，那么目标主机向外发送的所有以太网数据帧都会丢失，使得上层应用忙于处理这种异常而无法响应外来请求，从而导致目标主机产生拒绝服务。如今，修改网卡的MAC地址已成为可能，那么，攻击者可以首先对目标主机实施拒绝服务攻击，使其不能对外界做出任何反应。然后攻击者就可以将自己的IP地址与MAC地址分别改为目标主机的IP地址与MAC地址，这样攻击者的主机变成了与目标主机一样的副本，称为克隆攻击。特别地,当

15、目标主机是一台DHCP服务器时，克隆攻击的结果是黑客冒充合法的DHCP服务器，然后利用冒充的DHCP服务器，为DHCP客户端分配一个经过修改的DNS服务器地址，在用户毫无察觉的情况下被引导至预先配置好的假金融网站或电子商务网站，进而骗取用户的账号和密码。4局域网ARP病毒防范一般而言，ARP病毒攻击存在两种可能：一种是对路由器ARP缓存表的攻击，另一种是对局域网内计算机ARP缓存表的攻击，6342网络通讯及安全本栏目责任编辑：冯蕾第7卷第26期(2011年9月)ComputerKnowledgeandTechnology电脑知识与技术或者两种攻击同时进行。ARP攻击发生后，局域网内计算机和路由

16、器之间发送的数据会被发送到错误的MAC地址上。4.1感染ARP病毒后的主要表现形式ARP病毒属于一种欺骗木马类病毒，主要发生在局域网内部，而且时常在某一个网段内发作，局域网感染ARP病毒后主要表现为：1）局域网的某个网段中，大多数计算机不能正常上网，网络连接时断时续，上网速度非常缓慢；2）局域网整个网络运行不稳定，利用ping命令ping网关时不通，或者丢包现象很严重；3）IE浏览器频繁出错，网页打不开或者打开速度非常慢，不能够正常地上网浏览；4）断开网络后，隔一段时间重新连接，或者利用arp-d命令删除ARP缓存表后，可暂时恢复上网3。4.2ARP病毒的简单查杀方法41）更新正版防病毒软件，

17、对内存和硬盘全面杀毒；随时更新操作系统，打上各种漏洞补丁。2)在受到ARP病毒攻击时，按下列操作：“开始”-“所有程序”-“附件”-“c：提示符”状态下输入“arpd”恢复正常上网，并及时下载关于ARP的防护软件，保护本地计算机正常运行。3)不要随便共享文件或文件夹。即使要使用共享，应先设置好权限，一般指定帐号或特定机器才能访问。4）不要随便打开不明来历的电子邮件，尤其是邮件附件。5）使用移动存储介质如U盘、移动硬盘等进行数据访问时，先对其进行病毒检查。4.3设置静态ARP缓存ARP病毒攻击的最根本原理是改变IP与MAC地址的对应关系5。所以，可以采取静态MAC地址表法防范。主机或交换机的IP

18、-MAC地址映射表使用手工维护，输入之后不再动态更新，显然可以避免ARP病毒的攻击。ARP病毒攻击形式有攻击路由器ARP表和攻击计算机ARP表两种，因此静态IP-MAC地址映射也有路由器ARP表的静态映射和计算机本地ARP表的静态映射。双向设置静态映射是必需的，如果只设置了静态路由器的ARP表而没有设置静态计算机的ARP表，局域网内计算机被恶意修改ARP表后就不会把数据包发送到路由器上，而是发送到一个错误的MAC地址，造成无法访问路由器并逐渐形成网络堵塞。这里需要注意一点，双向设置静态映射其实需要设置三个，即局域网内计算机需要设置本机IP地址和对应的MAC地址、网关的IP地址和对应的MAC地址

19、，然后还要在路由器上设置客户机的IP地址和对应的MAC地址的静态映射。但是，这种方法的缺陷也很明显，在移动或经常变化的网络环境中，这种手工维护MAC表的方式不适用，而且它也要求网络硬件支持这种配置方式。另外，采用此方式设置静态ARP缓存，管理员需要定期轮询，检查主机上的ARP缓存。4.4改进ARP协议首先不再把网络安全信任关系建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上，这是解决ARP病毒的根本。但是在网络运营效率及成本方面这个理想模型还很难实现。此外，针对ARP本身的漏洞，郑文兵6等人提出了一种防范ARP欺骗攻击的新算法，该算法设置了两个线性表：请求表和应答表，分别保存已发送的ARP请求和已收到的ARP应答的信息。该算法规定接受ARP消息的顺序为先发送请求报文后接收应