會搶ＩＰ的局域網(wǎng)殺手

校園網(wǎng)里被人搶IP這樣的事情屢見不鮮，令人郁悶；辦公局域網(wǎng)被人掛上木馬，損失不可估算。這兩類看起來風(fēng)馬牛不相及的事，卻都和一個系統(tǒng)命令有關(guān)……

遭遇“局域網(wǎng)殺手”

盛夏的炎熱常常讓人煩躁不安，辦公室的局域網(wǎng)也好像中暑一樣，常常莫名其妙地斷線，甚至有的電腦還被感染了病毒木馬。同事們沒有任何辦法解決，于是請了一個安全專家來幫忙看看。經(jīng)過這位高手的檢查分析后，發(fā)現(xiàn)原來是因為我們的辦公網(wǎng)感染TARP病毒，它有“局域網(wǎng)殺手”之稱。

這類ARP病毒一般不會主動傳播，但是發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾整個局域網(wǎng)的正常運行，其危害比另一類局域網(wǎng)毒瘤——蠕蟲病毒還要大。

更為嚴(yán)重的是近期網(wǎng)上流行的ARP病毒變種出現(xiàn)了新特征，它會把自身偽裝成網(wǎng)關(guān)，在所有用戶請求訪問的網(wǎng)頁中添加惡意代碼，導(dǎo)致用戶訪問任何網(wǎng)站，都會被種植木馬病毒等惡意程序!

揭開殺手的面紗

ARP全稱為AddressResolution Protocol，意為地址解析協(xié)議。ARP的作用，就是在發(fā)送數(shù)據(jù)包前將目標(biāo)主機IP地址轉(zhuǎn)換成其MAC地址。

Windows XP自帶有ARP命令程序，在命令提示符下可以用這個命令來完成ARP綁定。打開命令提示符窗口，輸入“arp-a”，可以查看當(dāng)前電腦上的ARP映射表。

可以看到當(dāng)前的ARP表的類型是“dynamic”，通過“arp-sw.x.y.z aa_bb-cc-dd-ee-ff”命令來添加靜態(tài)ARP實現(xiàn)綁定。其中，第一欄是路由器的IP地址，aa-bb-ce—dd-ee-ff是路由器的MAC地址，例如：arp-s 192.168.1.100-02-b3-3c-16-95。ARP病毒正是利用系統(tǒng)的這些命令，將多個IP地址映射到同一個MAC地址，因此造成網(wǎng)路斷線這樣的情況常常發(fā)生。

搶IP也是它的錯

除TARP病毒外，還有軟件利用ARP來攻擊，比如曾經(jīng)流行過的用于搶帶寬或限制別人上網(wǎng)的《網(wǎng)絡(luò)執(zhí)法官》、《網(wǎng)絡(luò)剪刀手》和《局域網(wǎng)終結(jié)者》等。這類軟件其實屬于局域網(wǎng)管理輔助軟件，它們采用網(wǎng)絡(luò)底層協(xié)議穿透防火墻對主機進(jìn)行監(jiān)控。管理員可以每臺主機指定一個IP地址，當(dāng)它采用超出范圍的IP地址時，軟件就會判定該主機為“非法用戶”，并對非法用戶實行IP沖突、與關(guān)鍵主機隔離、與其他所有主機隔離等管理方式。下面以《長角牛網(wǎng)絡(luò)監(jiān)控機》(原名《網(wǎng)絡(luò)執(zhí)法官》)為例看看它是怎么做到的。

Step1運行程序后，先要對掃描范圍進(jìn)行確認(rèn)，比如網(wǎng)卡內(nèi)容、子網(wǎng)IP地址和掃描范圍等。如果發(fā)現(xiàn)存在錯誤，可以自己手工進(jìn)行重新設(shè)置。點擊“添加/修改”按鈕將掃描范圍添加到監(jiān)控列表中，點擊“確定”就可以通過程序?qū)φ麄€局域網(wǎng)進(jìn)行管理操作。要注意的是，試用版本程序僅在每次啟動后2至30分鐘里具備管理功能。

Step2在主界面“本網(wǎng)用戶”標(biāo)簽中，可以查看到本網(wǎng)中存活的遠(yuǎn)程主機。選中要進(jìn)行控制的主機，點擊右鍵中的“屬性”命令，可以看到遠(yuǎn)程主機的基本情況，包括網(wǎng)卡地址、用戶注釋、IP地址、首次上線等信息。點擊“設(shè)置權(quán)限”按鈕，對遠(yuǎn)程主機進(jìn)行權(quán)限設(shè)置。

Step3權(quán)限設(shè)置包括自由用戶、受限用戶、禁止用戶等三種類型：自由用戶不受任何限制，可以意使用網(wǎng)絡(luò)資源；受限用戶的權(quán)限等受到一定的限制；禁止用戶的所有網(wǎng)絡(luò)權(quán)限都被徹底限制。

《長角牛網(wǎng)絡(luò)監(jiān)控機》管理方式主要包括“IP沖突”和“斷開與所有主TCP/IP連接”兩種，其實這就是ARP攻擊使用的兩種方式。其中的“IP沖突”就是利用ARP攻擊造成主機無法進(jìn)行正常的網(wǎng)絡(luò)通信，而“斷開與所有主機TCP/IP連接”則無法和服務(wù)器進(jìn)行數(shù)據(jù)交流。這樣以后當(dāng)遠(yuǎn)程主機出現(xiàn)某些問題的時候，管理員就可以年利用這樣的方式進(jìn)行管理操作。

安全防范重于泰山

在沒有經(jīng)過ARP攻擊之前，數(shù)據(jù)流向是在網(wǎng)關(guān)和本機之間傳播。在被ARP攻擊之后，數(shù)據(jù)流向在網(wǎng)關(guān)、攻擊者、本機這三者之間傳播，本機與網(wǎng)關(guān)之間的所有通訊數(shù)據(jù)都將流經(jīng)攻擊者，所以我們“任人宰割”的命運就在所難免了。

老是讓ARP病毒這樣折騰肯定不行，其實有專門防ARP攻擊的《ARP防火墻》(下載地址http://www.antiarp.com)，很多網(wǎng)絡(luò)防火墻軟件中也包含了抵擋ARP攻擊的功能。它們能夠攔截虛假ARP數(shù)據(jù)包，通告網(wǎng)關(guān)本機正確的MAC地址。

先來看看《ARP防火墻》的“主動防御和追蹤”功能。我們已經(jīng)了解到，ARP攻擊一般會發(fā)送兩種類型的攻擊數(shù)據(jù)包，即向本機發(fā)送虛假的ARP數(shù)據(jù)包和向網(wǎng)關(guān)發(fā)送虛假的ARP數(shù)據(jù)包。

對于前一種攻擊包，ARP防火墻可以百分之百地成功攔截。但是由于網(wǎng)關(guān)系統(tǒng)通常不受我們的控制，所以對于后一種攻擊我們無法攔截。這個時候“主動防御”功能就可以起到作用，它會自動通知網(wǎng)關(guān)本機正確的MAC地址應(yīng)該是什么，而不理睬那些由ARP攻擊發(fā)送的虛假MAC地址。通過“安全配置”標(biāo)簽中的命令，還可以對其他可能造成主機不穩(wěn)定的因素進(jìn)行防范操作。

ARP本是系統(tǒng)命令，卻被經(jīng)常用來攻擊。這就好比一把“廚刀”，被惡人拿到手里也會產(chǎn)生威脅。通過本文，相信大家都對它有了一定的了解，而且掌握了對付它的方法。