ARP病毒攻击及局域网防范

1、Computer Knowledge and Technology 电脑知识与技术网络通讯及安全本栏目责任编辑:冯蕾第7卷第26期(2011年9月ARP 病毒攻击及局域网防范蔡艳1,蔡豪2,李娜3(1.河南教育学院信息技术系,河南郑州450046;2.长春工业大学计算机科学与工程学院,吉林长春130012;3.华中师范大学计算机系,湖北武汉430079摘要:ARP 协议由于自身的缺陷,在实际应用当中,会导致ARP 欺骗和ARP 病毒攻击,给网络的安全造成一定的危害。该文分析了ARP 协议工作原理,展示了ARP 协议的工作过程以及协议存在的漏洞,并分析了ARP 病毒原理和基于ARP 病毒攻击的实

2、现过程;给出了基于ARP 的病毒的局域网防范策略。关键词:ARP 协议;ARP 欺骗;MAC ;ARP 病毒中图分类号:TP393文献标识码:A 文章编号:1009-3044(201126-6341-03ARP Virus Attack and Prevention for the Local NetworkCAI Yan 1,CAI Hao 2,LI Na 3(1.Information Technology Department,Henan Institute of Education,Zhengzhou 450046,China;2.School of Computer Science

3、and En -gineering,Changchun University of Technology,Changchun 130012.China;3.DepartmentComputer Science,Huazhong Normal Universi -ty,Wuhan 430079,ChinaAbstract:Address Resolution Protocol due to its own shortcomings,which in practice would lead to ARP deception,ARP virus attack and network security

4、.This paper analyzes the working principle of the ARP protocol,demonstrate the working process of the ARP protocol,as well as loopholes in the agreement,an analysis of ARP virus,and the process of ARP virus attacks;this paper also give ARP virus preven -tion strategy for the local area network.Key w

5、ords:address resolution protocol;ARP deception;MAC;ARP virusARP 协议是“Address Resolution Protocol ”(地址解析协议的缩写。它工作在TCP/IP 协议族中网络层上,主要是用来实现IP 地址和对应设备的物理地址之间的相互转换,从而达到通过IP 地址来访问网络设备的目的。由于本身存在一些设计上的缺陷,网络中的非法入侵者利用这些缺陷,通过篡改IP 与MAC 之间的对应关系,非法获取并替换他人的MAC ,以达到非法监听和获取他人在网络上所传输的信息的目的,这种网络攻击方式称为ARP 病毒入侵。ARP 病毒的出现

6、已经成为网络攻击中的一种主要形式,该病毒一般属于木马(Trojan病毒,该病毒发作时会向全网段发送伪造的ARP 数据包,干扰网络的正常运行,因此它的危害比一般病毒严重得多1。本文将通过对ARP 病毒的工作原理和攻击过程的分析,最后给出相应的局域网防范策略。1ARP 协议工作原理在每台主机上都存在着一张记录IP 地址与MAC 地址映射关系的ARP 缓存列表,ARP 的主要操作都是围绕这张表进行。在网络数据传输过程中,ARP 的解析过程可分为同一网段内和不同网段间两种情况进行。1.1同一网段内的ARP 解析过程1当一台主机要与别的主机通信时,首先初始化通信请求;当该IP 地址确定为本地局域网IP

7、地址时,源主机通过查询本机ARP 缓存表,判断是否存在目的IP 地址与MAC 地址映射记录;如果存在,则直接这个MAC 地址写入MAC 帧,然后将数据发往目的主机。2如果本机ARP 缓存表中没有IP 映射的MAC 地址,本机ARP 进程将向局域网内广播发送一个封装了目的IP 地址和源主机MAC 地址的ARP 请求包,等待目的主机应答。3局域网中所有主机在收到这个请求包后,判断请求包中的目的IP 地址是否与自己的IP 地址一致,如果一致就接收,否则就丢弃此数据包;如果主机接收了该请求包,首先更新自己的ARP 缓存表,将源主机IP 和MAC 添加到自己的ARP 缓存表中。然后发送一个ARP 应答包

8、给源主机,告诉源主机自己是它需要找的MAC 地址。4在源主机收到应答包之后,提取MAC 相关信息,将该IP 和MAC 的映射更新到ARP 缓存表中,然后把这个MAC 地址写入MAC 帧,将数据发往目的主机,便完成了通信连接。1.2不同网段间的ARP 解析过程1初始化通信请求,得知目标IP 属于一个不同网段主机;源主机就会将数据发送到缺省网关的IP 。ARP 进程在本机ARP 缓存中查找符合与网关的IP 映射的MAC 地址。若找到,源主机将数据发往网关的MAC 地址上,由网关根据路由选择最终将数据包发送到目标主机。收稿日期:2011-07-04Computer Knowledge and Tec

9、hnology电脑知识与技术Vol.7,No.26,September 2011.6341Computer Knowledge and Technology 电脑知识与技术本栏目责任编辑:冯蕾网络通讯及安全第7卷第26期(2011年9月2若没找到该网关的记录,ARP 将广播一个包含网关IP 地址而不是目标主机IP 地址的ARP 请求。路由器用自己的硬件地址响应源主机的ARP 请求。源主机则将数据包送到路由器,路由器在其路由表中查找该网关,然后运用ARP 获得此网关的MAC ,并将数据包发往网关的MAC 地址上,以传送到目标主机的网络,最终达到目标主机。2ARP 协议安全缺陷ARP 协议的缺陷有

10、如下两点:1一台主机的IP 地址映像到另一台主机的ARP 缓存后,它就会被当作可信任的计算机。但并没有提供检验IP-MAC 地址对应表真实性的机制。大多数主机保存了通过ARP 得到的映射表,不考虑其有效性,也不维护一致性。ARP 表可能把几个IP 地址映射到同一物理地址上。2ARP 的请求是以广播的形式进行发送的,这样此网段中的所有主机都可以收到ARP 请求。攻击者在收到ARP 请求后,就可以伪装ARP 应答,伪装成真正要通信的主机,进行假冒和欺骗。3任何响应都是合法的,ARP 应答无需认证。ARP 协议是局域网协议,设计之初,出于传输效率的考虑,在数据链路层没有做安全上的防范,在使用ARP

11、协议交换MAC 时无需认证。ARP 协议是无状态的,任何主机即使在没有请求的时候也可以做出应答。ARP 协议并未规定,主机在未受到查询时不能发送ARP 应答包,这是ARP 协议的一个安全隐患。许多系统会接受未请求的ARP 响应,并用来更新其高速缓存。3ARP 病毒ARP 病毒主要存在于局域网中;感染ARP 病毒的计算机开机后一般会自动连续发出伪造的ARP 响应包,通过伪造IP 地址和MAC 地址从而更改目标主机ARP 缓存表中的IP-MAC 的映射记录,意图截获所在网络内其他计算机的通信信息,同时因存在大量的ARP 响应包而导致网络堵塞2。3.1ARP 病毒攻击的原理如表1所示,处于同一局域网

12、的三台主机A 、S 、D 的IP 及对应的MAC 地址列表;主机A 代表攻击方,进行ARP 病毒攻击,主机S 代表源主机,主机D 代表目的主机,源主机S 本来是向主机D 发送数据。假设主机A 已经知道主机S 和主机D 的IP 地址,为达到欺骗的目的,主机A 可以伪造一个ARP 应答帧改变主机S的ARP 缓存;也可以伪造一个ARP 请求帧改变主机D 的ARP 缓存。下面分别对这两种ARP 病假设主机S 发送一个ARP 请求帧,如表2所示,询问主机D 的物理地址。由于ARP 请求帧是以广播方式发送的,因此主机A 也可以收到这个请求。为了达到欺骗主机S 的目的,在主机D 向主机S 发送了一个ARP

13、应答帧后,主机A 也向主机S 发送了一个ARP 应答帧,如表3所示,用来更改主机S 的ARP 缓存表中主机D 的IP 地址所对应的硬件地址。主机A 发送的ARP 应答帧(在主机D 发送ARP 应答帧后发送更改了主机S 的ARP 缓存表,使主机S 误认为主机D 的硬件地址为00:E0:81:08:6F:2C ,而实际上这个地址是局域网中主机A 的MAC 地址,这样就造成主机S 与主机D 无法正常通信。在主机S 发送如表2所示的ARP 请求帧后,主机A 也可以收到主机S 的ARP 请求帧,并且再发送一个几乎与主机S 所发送的ARP 请求帧相同的帧,如表4所示。主机A 发送的ARP 请求帧(在主机S

14、 发送ARP 请求帧后发送更改了主机D 的ARP 缓存表,使主机D 误认为主机S 的硬件地址为00:50:8D:82:60:0D ,而实际上这个地址是局域网中主机A 的MAC 地址,这样就造成主机S 与主机D 无法正常通信。进一步地,主机A 可以将自己插入主机S 和主机D 的通信路径之间,充当中间人的角色,这样主机A 就可以监听主机S 和主机D 之间的通信。攻击过程如下:主机A 更改主机S 与主机D 的ARP 缓存,使得主机S 向主机D 发送数据时,使用的是D 的IP 地址与A 的MAC 地址,并且D 向S 发送数据时,使用的是S 的IP 地址与A 的MAC 地址,因此,所有S与D 之间传输的

15、数据都将经过A ,再由A 分别转发给S 和D 。如果攻击者将目标主机ARP缓存中的MAC 地址改为根本就不存在的地址,那么目标主机向外发送的所有以太网数据帧都会丢失,使得上层应用忙于处理这种异常而无法响应外来请求,从而导致目标主机产生拒绝服务。如今,修改网卡的MAC 地址已成为可能,那么,攻击者可以首先对目标主机实施拒绝服务攻击,使其不能对外界做出任何反应。然后攻击者就可以将自己的IP 地址与MAC 地址分别改为目标主机的IP 地址与MAC 地址,这样攻击者的主机变成了与目标主机一样的副本,称为克隆攻击。特别地,当目标主机是一台DHCP 服务器时,克隆攻击的结果是黑客冒充合法的DHCP 服务器

16、,然后利用冒充的DHCP 服务器,为DHCP 客户端分配一个经过修改的DNS 服务器地址,在用户毫无察觉的情况下被引导至预先配置好的假金融网站或电子商务网站,进而骗取用户的账号和密码。4局域网ARP 病毒防范一般而言,ARP 病毒攻击存在两种可能:一种是对路由器ARP 缓存表的攻击,另一种是对局域网内计算机ARP 缓存表的攻击,表1各个主机对应的IP 、MAC 地址等信息表2源主机S 发送的ARP 请求帧表3主机A 伪造的ARP应答帧表4主机A 伪造的ARP 请求帧6342Computer Knowledge and Technology 电脑知识与技术网络通讯及安全本栏目责任编辑:冯蕾第7卷

17、第26期(2011年9月或者两种攻击同时进行。ARP 攻击发生后,局域网内计算机和路由器之间发送的数据会被发送到错误的MAC 地址上。4.1感染ARP 病毒后的主要表现形式ARP 病毒属于一种欺骗木马类病毒,主要发生在局域网内部,而且时常在某一个网段内发作,局域网感染ARP 病毒后主要表现为:1局域网的某个网段中,大多数计算机不能正常上网,网络连接时断时续,上网速度非常缓慢;2局域网整个网络运行不稳定,利用ping 命令ping 网关时不通,或者丢包现象很严重;3IE 浏览器频繁出错,网页打不开或者打开速度非常慢,不能够正常地上网浏览;4断开网络后,隔一段时间重新连接,或者利用arp -d 命

18、令删除ARP 缓存表后,可暂时恢复上网3。4.2ARP 病毒的简单查杀方法41更新正版防病毒软件,对内存和硬盘全面杀毒;随时更新操作系统,打上各种漏洞补丁。2在受到ARP 病毒攻击时,按下列操作:“开始”-“所有程序”-“附件”-“c :提示符”状态下输入“arp d ”恢复正常上网,并及时下载关于ARP 的防护软件,保护本地计算机正常运行。3不要随便共享文件或文件夹。即使要使用共享,应先设置好权限,一般指定帐号或特定机器才能访问。4不要随便打开不明来历的电子邮件,尤其是邮件附件。5使用移动存储介质如U 盘、移动硬盘等进行数据访问时,先对其进行病毒检查。4.3设置静态ARP 缓存ARP 病毒攻

19、击的最根本原理是改变IP 与MAC 地址的对应关系5。所以,可以采取静态MAC 地址表法防范。主机或交换机的IP-MAC 地址映射表使用手工维护,输入之后不再动态更新,显然可以避免ARP 病毒的攻击。ARP 病毒攻击形式有攻击路由器ARP 表和攻击计算机ARP 表两种,因此静态IP-MAC 地址映射也有路由器ARP 表的静态映射和计算机本地ARP 表的静态映射。双向设置静态映射是必需的,如果只设置了静态路由器的ARP 表而没有设置静态计算机的ARP 表,局域网内计算机被恶意修改ARP 表后就不会把数据包发送到路由器上,而是发送到一个错误的MAC 地址,造成无法访问路由器并逐渐形成网络堵塞。这里

20、需要注意一点,双向设置静态映射其实需要设置三个,即局域网内计算机需要设置本机IP 地址和对应的MAC 地址、网关的IP 地址和对应的MAC 地址,然后还要在路由器上设置客户机的IP 地址和对应的MAC 地址的静态映射。但是,这种方法的缺陷也很明显,在移动或经常变化的网络环境中,这种手工维护MAC 表的方式不适用,而且它也要求网络硬件支持这种配置方式。另外,采用此方式设置静态ARP 缓存,管理员需要定期轮询,检查主机上的ARP 缓存。4.4改进ARP 协议首先不再把网络安全信任关系建立在IP 基础上或MAC 基础上,理想的关系应该建立在IP+MAC 基础上,这是解决ARP 病毒的根本。但是在网络

21、运营效率及成本方面这个理想模型还很难实现。此外,针对ARP 本身的漏洞,郑文兵6等人提出了一种防范ARP 欺骗攻击的新算法,该算法设置了两个线性表:请求表和应答表,分别保存已发送的ARP 请求和已收到的ARP 应答的信息。该算法规定接受ARP 消息的顺序为先发送请求报文后接收应答报文,不符合此顺序要求的ARP 消息一律丢弃。由于对ARP 添加了安全性方面的考虑,并引入复杂数据结构,该方法执行速度比原来要慢。因此,对该方法的应用要综合考虑安全性和网络性能等多方面的因素。4.5网络路由分割目前,网络上已经使用高层交换的方式,基于IP 地址变换进行路由的第三层(第四层交换机逐渐被采用,第三层交换技术用的是IP 路由交换协议。以往的链路层的MAC 地址和ARP 协议已经不起作用,因而ARP 病毒攻击在这种交换环境下不起作用。4.6使用ARP 代理服务器7通过该服务器查找ARP 转换表来响应