ARP病毒原理分析与防范措施

ARP病毒原理分析与防范措施考号：姓名：[内容提要]随着计算机网络的发展和普及。局域网已成为人们工作不可缺少的组成部分。同时由于网络协议存在很多安全漏洞，导致网络木马和病毒的快速传播。近年来很多网络遭受ARP病毒的侵犯，ARP欺骗是一种典型的欺骗攻击类型，它利用了ARP协议存在的安全隐患，并使用一些专门的攻击工具，使得这种攻击变得普及并有较高的成功率。ARP病毒有很大危害性。它能够发送大量的伪造数据包，占用网络带宽；还会通过伪造网关，造成成全部计算机无法正常上网；还可以通过截取网关数据包方式．直取获取用户名，密码等信息。本文在详细分析了ARP协议的工作原理、存在的漏洞、ARP欺骗的方式、ARP故障现象的基础上，提出了相应的防范措施。[关键词]ARP协议、协议安全漏洞、ARP欺骗、ARP故障、防范措施一、引言当今社会，网络技术已经深入到人们生活的各个方面。随着网络的不断普及，各公司，各高校，各企事业单位都建立起了自己的局域网，然而随着网络系统的日益庞大，信息安全问题也日益突出。近年来，许多互联网用户在访问互联网时出现了网络变慢，时断时续，甚至出现无法上网，或着重要信息丢失等情况。这给我们的工作、学习、生活带来了很大的不便。究其原因，是电脑中了PwSteal．1emir或其他变中的病毒，属于木马程序或者蠕虫类病毒。Windows95/98/Me/NT/2000/XP/2003将受这种病毒的影响，该病毒通过对路由器的ARP表或者内网PC网关等方式对局域网进行攻击，常导致整个局域网全部机器暂时掉线，不能上网，或者重要信息泄露等现象。称这种通过ARP进行网络欺骗的病毒为ARP病毒。二、ARP协议2.1ARP协议概述网络的主要目的就是实现设备通信。在TCP／IP通信中，局域网中的数据包必须同时有目的MAC地址和目的IP地址，MAC地址是以太网卡硬件地址，它在生产时就被存储在网卡中，是全球唯一的；IP地址是由软件分配的，根据实际需要是可以更改的。使用TCP／IP协议的地址解析协议(AddressResolutionProtocol，ARP)可以自动获得MAC地址，该协议是一种将IP转化成与IP对应的网卡的物理地址的一种协议，或者说ARP协议是一种将IP地址转化成MAC地址的一种协议。它靠维持保存在内存中的一张表来使IP得以在网络上被目标机器识别。ARP协议的一个基本内容是利用目标设备的lP地址，查出目标设备的MAC地址，以保证其通信的顺利进行。在局域网中，实际传输的是帧(数据包)，帧中包含目标主机的MAC地址。主机与主机进行直接通信，必须要知道目标主机的MAC地址。这个MAC地址是通过地址解析协议即ARP协议来获得的。“地址解析”是指主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP工作时，发送一个含有所希望的IP地址的以太网广播数据包。目的地主机，或另一个代表该主机的系统，以一个含有lP和以太网地址（MAC地址）对的数据包作为应答。发送者将这个地址高速缓存起来，以节约不必要的ARP通信。2.2ARP协议的工作原理每台安装有TCP／IP协议的计算机里都有一个ARP缓存表，表里的IP地址与MAC地址一一对应，如表1所示。表1ARP缓存表以主机A(192．168．1．1)向主机B(192．168．1．2)发送数据为例。发送数据时，主机A会在自己的ARP缓存表中查找是否有主机B的IP—MAC条目。如果找到，直接把B对应的MAC地址写入帧中发送就可以了，否则，A就会在网络上发送一个ARP请求广播包，目标MAC地址是“FF—FF—FF—FF—FF—FF’，这表示向同一网段内的所有主机发出这样的询问：“嗨1192．168．1．2，你的MAC地址是什么?”。按照ARP协议实现机制，网络上其他主机并不响应此ARP询问，只有主机B接收到这个请求后，才向主机A做出这样的回应：“我是192．168．1．2，我的MAC地址是bb—bb—bb—bb—bb—bb”。这样，主机A就知道了主机B的MAC地址。A同时将B的MAC地址加入到自己的ARP缓存表中，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存存放的是最近使用的IP地址到MAC地址之间的映射记录。WindowsAR陵存表中每一条记录的生存时间默认为60秒。每次发送数据包，ARP协议先从缓存中查找IP—MAC条目，找到就立刻使用，找不到就发送ARP请求广播包。缓存中的动态IP-MAC条目是根据ARP响应包而动态更新的。ARP协议在发送和没有发送ARP请求的情况下都能接收ARP应答，只要网络上有ARP应答包发送到本机，本机就会立即更新缓存中的相应动态IP—MAC条目。ARP协议的工作过程如图1所示：图1ARP的工作过程ARP的工作原理如图2所示：图2ARP的工作原理图2.3ARP协议的缺陷ARP作为一个局域网协议，是建立在各个主机之间相互信任的基础上的，因此存在安全漏洞。(1)主机地址映射表是基于高速缓存，动态更新的。由于正常的主机间的MAC地址刷新都是有时限的，这样恶意用户如果在下次交换前成功地修改了被欺骗机器上的地址缓存，就可进行假冒或拒绝服务攻击。(2)ARP协议是一个无状态的协议。只要主机接收到ARP应答帧，就会对本地的ARP缓存进行更新，将应答帧中的IP地址和MAC地址存储在ARP高速缓存中，并不要求主机必须先发送ARP请求后才能接收ARP应答，同时，从不对其进行检验。(3)在通讯中，ARP缓存的优先级最高，总是最先从ARP缓存中找与IP地址对应MAC地址。上述缺陷很容易被黑客利用，发生伪造别人IP地址实现ARP欺骗的事件。三、ARP病毒攻击原理3.1ARP病毒概述ARP病毒也叫ARP地址欺骗类病毒，它发作时会向全网发送伪造的ARP应答数据包，通常会造成网络掉线，局域网内部分或全部计算机不能上网，或者网络连接时断时续并且网速变慢等现象，严重影响到企业局域网的安全运行。该病毒以木马形式传播，不具备主动传播的方式，不会自主复制，但对于一般的杀毒软件很难查杀，且其发作时，会发送伪造的ARP数据包，严重干扰整个网络的正常运行和信息安全，其危害甚至超过了一些蠕虫病毒。局域网内出现ARP病毒感染的症状，一般都是由于ARP欺骗木马病毒攻击造成的。引起问题的原因一般是因为局域网内部用户上网浏览某些个人网站，或者是其他非官方网站后，随意下载携带ARP病毒的软件造成的。3.2ARP欺骗原理ARP欺骗原理即为通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与口地址对应关系取代正确的对应关系。如果攻击者定时向目标设备发送错误的口地址和MAC地址的对应关系，而且时间间隔比ARP缓存的超时间隔要小的话，目标主机就会一直维持着一张含有错误信息的ARP缓存表。3.3ARP病毒攻击方式ARP攻击是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸、切断局域网上主机的网络连接等。3.3.1IP地址冲突制造出局域网卜有另一台丰机与受害主机共享一个IP的假象。由于违反了唯一性要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害丰机耗费大量的系统资源。对于windows操作系统，只要接收到一个ARP数据包，不管该ARP数据包符不符合要求，只要该ARP数据包所记录的源IP地址同本地丰机相同但MAC地址不同，windows系统就会弹出IP地址冲突的警告对话框。根据IP地址冲突的攻击特征描述，这种类型的ARP攻击主要有以下几种：(1)单播型的IP地址冲突链路层所记录的目的物理地址为被攻击主机的物理地址，这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。(2)广播型的IP地址冲突链路层所记录的目的物理地址为广播地址。这样使得局域网内的所有主机都会接受到该ARP数据包，虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址，但是由于该ARP数据包为广播数据包，这样受攻击主机也会接收到从而弹出IP地址冲突的警告对话框。3.3.2ARP泛洪攻击攻击主机持续把伪造的MAc—IP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占蚓络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含：(1)通过不断发送伪造的ARP广播数据报使得交换机忙于处理广播数据报耗尽网络带宽。(2)令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。(3)用虚假的地址信息占满主机的ARP高速缓存空间。造成丰机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的。它是以破坏网络为目的，属于损人不利己的行为。3.3.3溢出攻击ARP溢出攻击的特征主要有：(1)所发送的伪造MAC—IP映射对的IP地址是非本地网的虚拟不存在的IP地址但MAc地址是固定的，由于当操作系统接收到一个源IP地址在ARP高速缓存表中不存在的ARP数据包时，就会在缓1竽表中创建一个对应MAc—IP的入口项。(2)所发送的伪造MAc—IP映射对的IP地址是非本地网的虚拟不存在的IP地址而且MAc地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的cAM表溢出。由于交换机是通过学习进入各端几数据帧的源MAc地址来构建cAM表，将各端口和端口所连接主机的MAC地址的对应关系进行记录，因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAc地址ARP数据包，就会破坏端口与MAC的对应关系，并导致CAM表溢出。在这种情形之下，缺少防范措施的交换机就会以广播的模式处理报文，形成泛洪向所有接口转发通信信息流。最终使得交换机变成HuB，将交换式的网络变成广播式的网络，使得网络带宽急剧下降。3.3.4欺骗攻击（1）拒绝服务攻击拒绝服务攻击就是使目标主机不能响应外界请求，从而不能对外提供服务的攻击方法。如果攻击者将目标蕾饥ARP缓存中的MAc地址全部改为根本就不存在的地址，那么目标主机向外发送的所有以太网数据帧会丢失，使得上层应用忙于处理这种异常而尤法响应外来请求，也就导致目标主机产生拒绝服务。（2）中间人攻击中间人攻击就是攻击者将自己的主机插入两个目标丰机通信路径之间，使他的主机如同两个目标主机通信路径上的一个中继，这样攻击者就可以监听两个目标主机之间的通信。如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击，那么攻击者就可以截取Intemet与这个目标主机的之间的全部通信。（3）多主机欺骗篡改被攻击主机群中关于网络内某一台主机x的ARP记录，被攻击的主机群为网络中的多台主机而非一台主机。主机x为网关或网络内任何一台非网关的正在运行主机。被篡改后的MAc地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAc地址。T时刻，主机A关于主机x的ARP记录被篡改；T+N时刻，主机B关于主机X的ARP记录被篡改；……T+M时刻，主机z关于主机x的ARP记录被篡改；例如攻击主机要仿冒网关就会向局域网内的主机群发送ARP数据包，以自身MAc地址来冒充真正的网关，使受骗主机群的ARP缓冲区的MAC地址错误地更新为攻击源的MAc地址，导致受骗主机群向假网关发送通信信息，而不是通过路由器或交换途径寻找真正的网关并发送通信信息。这时攻击主机可以把自己设置成一台路由器负责对数据包转发，从而达到仿冒网关的目的。这是一种比较常见的欺骗形式，这种欺骗方式町以控制同一网关下的所有主机对网络的访问。网吧内经常发生游戏密码被盗现象就是因为遭受到仿冒网关的ARP攻击。（4）全子网轮询欺骗篡改被攻击主机x中关于网络内多台主机的ARP记录，这台被攻击的主机为网关或网络内任何一台非网关的主机，被篡改后的MAC地址可以为网络内正在运行的主机MAC地址或随机伪造的不存在主机的MAc地址。T时刻，主机x关于手机A的ARP记录被篡改；T+N时刻，主机x关于主机B的ARP记录被篡改；……T+M时刻，主机x关于主机z的ARP记录被篡改；（5）网络监