浅谈局域网ARP攻击的危害及防范方法

1、要：自去年5月份开始出现的校内局域网频繁掉线等问题，对正常的教育教学带来了极大的不便，可以说是谈“掉”色变，造成这种现象的情况有很多，但目前最常见的是ARP攻击了。本文介绍了 ARP攻击的原理以及由此引发的网络安全问题，并且结合实际情况，提出在校园网中实施多层次的防范方法，以解决因ARP攻击而引发的网络安全问题，最后介绍了一些实用性较强且操作简单的检测和抵御攻击的有效方法。关键词：ARP攻击；网络安全；防范方法您是否遇到局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常？您的网速是否时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常？您是否时常听到教职工的网上银行、游戏及QQ账号

2、频繁丢失的消息？这些问题的出现有很大一部分要归功于ARP攻击，我校局域网自去年5月份开始ARP攻击频频出现，目前校园网内已发现的“ARP攻击”系列病毒已经有了几十个变种。据检测数据显示，APR攻击从未停止过，为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。一、ARP的基本知识1、什么是ARP？ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过

3、地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的，ARP协议对网络安全具有重要的意义。2、ARP协议的工作原理正常情况下，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，

4、就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如图：彩影

5、软件的ARP防火墙，目前最新版本是V版。 ARP防火墙采用系统内核层拦截技术和主动防御技术，包含六大功能模块可解决大部分欺骗、ARP攻击带来的问题，从而保证通讯安全（保障通讯数据不被网管软件/恶意软件监听和控制）、保证网络畅通。彩影ARP防火墙下载地址： 3、具有ARP防护功能的网络设备由于ARP形式的攻击而引发的网络问题是目前网络管理，特别是局域网管理中最让人头疼的攻击，他的攻击技术含量低，随便一个人都可以通过攻击软件来完成ARP欺骗攻击，同时防范ARP形式的攻击也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了，本文介绍的方法希望对大家有所帮助。ARP 攻击的原理A

6、RP 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报 警:第一以太网数据包头的源地址、目标地址和 ARP 数据包的协议地址不匹配。或者，ARP 数据包的发送和目标地址不在自己网络网卡 MAC 数据库内，或者与自己网络 MAC 数据库 MAC/IP 不匹配。这些统统第一时间报警，查这些数据包 (以太网数据包)的源地址(也有可能 伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、 P2P 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获

7、取用户的密码等相关信息。处理办法通用的处理流程：1 .先保证网络正常运行方法一：编辑个*.bat 文件内容如下：end让网络用户点击就可以了!办法二：编辑一个注册表问题，键值如下：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"mac"="arp ¬s 网关 IP 地址 网关 Mac 地址"然后保存成 Reg 文件以后在每个客户端上点击导入注册表。 2 找到感染 ARP 病毒的机器。在电脑上 ping

8、一下网关的 IP 地址，然后使用 ARP a 的命令看得到的网关对应的 MAC 地址是否与实际情况相符，如不符，可去查找与该 MAC 地址对应的电脑。使用抓包工具，分析所得到的 ARP 数据报。有些 ARP 病毒是会把通往网关的路径指向自己，有些是发出虚假 ARP 回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。使用 mac 地址扫描工具， nbtscan 扫描全网段 IP 地址和 MAC 地址对应表，有助于判断感染 ARP 病毒对应 MAC 地址和 IP 地址。按照上述办法，绑定ip，由于

9、病毒不是一直发作，很难找到感染病毒的电脑，但病毒发作时，用arp -a命令发现网关的mac地址变了，根据mac地址终于找到问题的根源，关掉电脑，网络正常。或者装个ARP防火墙。用彩影单机版三】ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。二、ARP病毒发作时的现象网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。三、ARP病

10、毒原理3.1 网络模型简介众所周知，按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能，如图1：图1 OSI网络体系模型然而，OSI的模型仅仅是一个参考模型，并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型，将网络划分为四层，每一个层次上也运行着不同的协议和服务，如图2。图2 TCP/IP四层体系模型及其配套协议上图中，蓝色字体表示该层的名称，绿色字表示运行在该层上的协

11、议。由图2可见，我们即将要讨论的ARP协议，就是工作在网际层上的协议。3.2 ARP协议简介我们大家都知道，在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机 的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为 12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的 MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这

12、个重要 的任务将由ARP协议完成。ARP全称为Address Resolution Protocol，地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是 通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就 涉及到了另外一个概念，ARP缓存表。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。 当这

13、台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。下面，我们用一个模拟的局域网环境，来说明ARP欺骗的过程。3.3 ARP欺骗过程四、ARP病毒新的表现形式由于现在的网络游戏数据包在发送过程中，均已采用了强悍的加密算法，因此这类ARP 病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒，与以前的一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪 装成网关。但区别是，它着重的不是对网络游戏数据包的解密，而是对于HTTP请求访问的修改。HTTP是应用层的协议，主要是用于WEB网页访问。还是以上面的局域网环境举 例，如果局域网中一台

14、电脑S要请求某个网站页面，如想请求这个网页，这台电脑会先向网关发送HTTP请求，说：“我想登陆 网页，请你将这个网页下载下来，并发送给我。”这样，网关就会将页面下载下来，并发送给S 电脑。这时，如果A这台电脑通过向全网发送伪造的ARP欺骗广播，自身伪装成网关，成为一台ARP中毒电脑的话，这样当S电脑请求WEB网页时，A电脑先 是“好心好意”地将这个页面下载下来，然后发送给S电脑，但是它在返回给S电脑时，会向其中插入恶意网址连接！该恶意网址连接会利用MS06-014和 MS07-017等多种系统漏洞，向S电脑种植木马病毒！同样，如果D电脑也是请求WEB页面访问，A电脑同样也会给D电脑返回带毒的网

15、页，这样，如果一 个局域网中存在这样的ARP病毒电脑的话，顷刻间，整个网段的电脑将会全部中毒！沦为黑客手中的僵尸电脑！案例图4 被ARP病毒插入的恶意网址连接从图4中可以看出，局域网中存在这样的ARP病毒电脑之后，其它客户机无论访问什么网页，当返回该网页时，都会被插入一条恶意网址连接，如果用户没有打过相应的系统补丁，就会感染木马病毒。五、ARP病毒电脑的定位方法下面，又有了一个新的课题摆在我们面前：如何能够快速检测定位出局域网中的ARP病毒电脑？面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP 病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性

16、，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候， 牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是 其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IPMAC地址对照表查 询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。5.1 命令行法这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。上文已经 说过，当局域网中发生ARP欺骗的时候

17、，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网 关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查 询命令为 ARP a，需要在cmd命令提示行下输入。输入后的返回信息如下： Internet Address Physical Address Type 00-50-56-e6-49-56 dynamic这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址， 而是中毒电脑的MAC地址！这时

18、，再根据网络正常时，全网的IPMAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存 一个全网电脑的IPMAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。5.2 工具软件法现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARP Sniffer（现在已更名为ARP防火墙），下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。首先打开Anti ARP Sniffer 软件，输入网关的IP地址之后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址，如图5。图5 输入网关IP地址后，枚举MAC接着点击