局域网ARP病毒攻击与防范探析

1、 -93-引言计算机病毒伴随着Internet的发展,传播速度越来越快、破坏能力也越来越强。局域网A R P 病毒攻击事件时常出现,造成网络频繁中断,病毒发作时计算机网络连接正常,能登陆成功,却无法打开网页,极大地影响了用户的正常使用。调查发现,主要是因为个别用户计算机感染A R P 病毒所导致。笔者结合自己的一些网络管理经验,对A R P 病毒攻击进行了分析和总结,提出了一些相应的解决方法和防范措施。1 ARP 协议及工作原理A R P 协议:即地址解析协议,实现通过IP 地址得知其物理地址。在TCP/IP 网络环境下,每个主机都分配了一个32位的IP 地址,这种互联网地址是在网际范围标识主

2、机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址,这样就存在把IP 地址变成物理地址的地址转换问题。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP 地址转换成为48位以太网地址,这就需要在互连层有一组服务协议将I P 地址转换为相应的物理地址,这组协议就是A R P 协议。M A C 地址一起都告诉了主机B ,下次主机A再向主机B或者主机B向主机A发送信息时,就可以直接从各自的ARP缓存表里查找到了。ARP 缓存表采用老化机制(即设置了生存时间TTL,在一段时间内(一般1520分钟如果表中的某一行没有使用,就会被删除,这样可以大大减少AR

3、P 缓存表的长度,加快查询速度。2 遭受ARP 攻击后现象ARP 欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中计算机是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关,重启机器或在MS-DOS 窗口下运行命令arp-d后又可恢复上网等现象。ARP 欺骗木马只需在局域网内成功感染一台电脑,就可能导致整个局域网许多用户都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时,除了导致用户上网出现时断时续的现象外,还会窃取用户密码,如盗取QQ 密码、盗取各种网络游戏密

4、码和账号、盗窃网上银行账号进行非法交易活动等。3 故障原因查找分析3.1A R P 缓存表查看方法A R P 缓存表是可以查看的,也可以添加和修改。在M S -D O S 命令窗口下运行“arp-a ”命令,就可以查看ARP 缓存表中的内容。用“arp-d”命令可以删除ARP 表中所有的内容;用“arp-d+空格+”可以删除指定I P 所在行的内容;用“arp-s”可以手动在ARP 表中指定I P 地址与M A C 地址的对应关系。3.2A R P 病毒攻击查找过程执行arpa,列出了:执行arp-d,清除ARP 缓存列表信息。重新运行arpa,看可疑IP 地址是否存在,不存在说明此IP 地址

5、正常,存在则说明该机器有A R P 病毒。通过以上查找分析,局域网内有计算机感染A R P 病毒,中毒机器的网卡会不断发送虚假的A R P 数据包,告诉网内其它计算机网关的M A C 地址是中毒机器的M A C 地址,使其它计算机将本来发送网关的数据从而发送到中毒机器上,导致整个局域网都无法上网,乃至整个网络的瘫痪。我们知道局域网中的数据流向是网关本机,如果网络有ARP欺骗之后,数据的流向是网关攻击者本机,因此攻击者能随意窃听网络数据信息。4 解决方法及防范措施合理划分VLAN,彻底阻止盗用IP、M A C 地址,杜绝A R P 的攻击。使用可防御A R P 攻击的三层交换机,绑定端口M A

6、C -I P 。限制A R P 流量,及时发现并自动阻断A R P 攻击端口。安装A R P 防火墙或者开启局域网A R P 防护,比如360安全卫士等,并且实时下载安装系统漏洞补丁,关闭不必要的服务等,减少病毒的攻击。经常更新杀毒软件病毒库,允许的情况下可设置为每天定时自动更新。如果没有安装防范软件,则可以通过编写简单的批处理程序来绑定网关,从而防止A R P 欺骗。步骤如下:首先,获得网关的M A C 地址。以WindowsXP 为例,点击“开始”“运行”输入“cmd”“确定”输入“arp -a ”,查看网关的M A C 地址;第二步,编写批处理文件arp.bat,内容如下:echooff arp-d第三步,编写完后另存为.bat 文件,并将这个批处理文件拖到Windows 开始程序的“启动”中,重起电脑即可。5 结束语A R P 协议制定时间比较早,对于A R P 病毒攻击最根本的解决措施就是使用IPv6协议,因为IPv6定义了邻机发现协议(NDP,把ARP 纳入NDP 并运行于因特网控制报文协议(ICMP上,使ARP 更具有一般性,包括更多的内容,而且不用为每种链路层协议定义一种A