ＡＲＰ病毒攻擊技術分析與防御

[摘要] 本文詳細分析了ARP協(xié)議以及實現(xiàn)ARP攻擊的原理，列舉了ARP病毒的各種常見現(xiàn)象，并給出了具體的防御方法。

[關鍵詞] ARP協(xié)議 ARP病毒 分析 防御

一、ARP協(xié)議及攻擊原理分析

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫，局域網中，網絡中實際傳輸?shù)氖恰皫?，幀里面是有目標主機的MAC地址的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

每個主機都用一個ARP高速緩存存放最近IP地址到MAC硬件地址之間的映射記錄。MS Windows高速緩存中的每一條記錄（條目）的生存時間一般為60秒，起始時間從被創(chuàng)建時開始算起。在命令提示符下，輸入“arp -a”就可以查看ARP緩存表中的內容；用“arp -d”命令可以刪除ARP表中某一行的內容；用“arp -s”可以手動在ARP表中指定IP地址與MAC地址的對應。默認情況下，ARP從緩存中讀取IP-MAC條目，緩存中的IP-MAC條目是根據(jù)ARP響應包動態(tài)變化的。因此，只要網絡上有ARP響應包發(fā)送到本機，即會更新ARP高速緩存中的IP-MAC條目。攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。

ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和 MAC地址存儲在ARP緩存中。因此，B向A發(fā)送一個自己偽造的ARP應答，而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A可不知道被偽造了）。當攻擊源大量向局域網中發(fā)送虛假的ARP信息后，就會造成局域網中的機器ARP緩存的崩潰。

二、ARP病毒現(xiàn)象

1.網上銀行、游戲及QQ賬號的頻繁丟失

一些人為了獲取非法利益，利用ARP欺騙程序在網內進行非法活動，此類程序的主要目的在于破解賬號登陸時的加密解密算法，通過截取局域網中的數(shù)據(jù)包，然后以分析數(shù)據(jù)通訊協(xié)議的方法截獲用戶的信息。運行這類木馬病毒，就可以獲得整個局域網中上網用戶賬號的詳細信息并盜取。當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現(xiàn)在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網后，如果用戶已經登陸了游戲服務器，那么病毒主機就會經常偽造斷線的假象，那么用戶就得重新登錄游戲服務器，這樣病毒主機就可以盜號了。

2.局域網內頻繁性地區(qū)域或整體掉線，重啟計算機或網絡設備后恢復正常

當帶有ARP欺騙程序的計算機在網內進行通訊時，就會導致頻繁掉線，出現(xiàn)此類問題后重啟計算機或禁用網卡會暫時解決問題，但掉線情況還會發(fā)生。

3.網速時快時慢，極其不穩(wěn)定，但單機進行光纖數(shù)據(jù)測試時一切正常

當局域內的某臺計算機被ARP的欺騙程序非法侵入后，它就會持續(xù)地向網內所有的計算機及網絡設備發(fā)送大量的非法ARP欺騙數(shù)據(jù)包， 阻塞網絡通道，造成網絡設備的承載過重，導致網絡的通訊質量不穩(wěn)定。用戶會感覺上網速度越來越慢或時常斷線。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。

三、防御方法

1.使用可防御ARP攻擊的三層交換機，綁定端口MAC-IP，限制ARP流量，及時發(fā)現(xiàn)并自動阻斷ARP攻擊端口，合理劃分VLAN，徹底阻止盜用IP、MAC地址，杜絕ARP的攻擊。

2.查找病毒源，對病毒源頭的機器進行處理，殺毒或重新安裝系統(tǒng)。解決了ARP攻擊的源頭PC機的問題，可以保證內網免受攻擊。

3.對于經常爆發(fā)病毒的網絡，進行Internet訪問控制，限制用戶對網絡的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端，如果能夠加強用戶上網的訪問控制，就能極大的減少該問題的發(fā)生。

4.關閉一些不需要的服務，條件允許的可關閉一些沒有必要的共享，也包括、等管理共享。完全單機的用戶也可直接關閉Server服務。

5.經常更新殺毒軟件（病毒庫），設置允許的可設置為每天定時自動更新。安裝并使用網絡防火墻軟件，網絡防火墻在防病毒過程中也可以起到至關重要的作用，能有效地阻擋自來網絡的攻擊和病毒的入侵。

6.給系統(tǒng)安裝補丁程序，通過Windows Update安裝好系統(tǒng)補丁程序(關鍵更新、安全更新和Service Pack)。

參考文獻：

[1]周增國:局域網絡環(huán)境下ARP欺騙攻擊及安全防范策略[J]. 計算機與信息技術， 2006，(11)

[2]陳英馬洪濤:局域網內ARP協(xié)議攻擊及解決辦法[J].中國安全科學學報，2007，(07)

[3]張道軍吳銀芳袁海峰:校園網絡中ARP病毒的綜合治理[J].網絡安全技術與應用， 2007，(09)

[4]唐秀存王國欣:基于ARP欺騙內網滲透和防范[J].計算機與信息技術， 2007，(04)