ＡＲＰ攻擊對網絡安全的危害及對策研究

李靜媛

摘要:近年來很多網絡遭受ARP病毒的侵犯,ARP欺騙是一種典型的欺騙攻擊類型,它利用了ARP協議存在的安全隱患,并使用一些專門的攻擊工具,使得這種攻擊變得普及并有較高的成功率。文中通過分析ARP協議的工作原理,探討遭受ARP攻擊時表現癥狀及原因,提出了ARP攻擊檢測與處理的辦法和幾種常規可行的解決方案。

關鍵字:ARP攻擊;網絡安全;對策

近年來,許多網絡用戶訪問互聯網時斷時續,出現上網速慢、上網不穩定的情況。究其原因,很可能是機器受到一種名為ARP欺騙木馬程序(病毒)的攻擊(ARP是“Address Resolution Protocol”“地址解析協議”的縮寫)。ARP攻擊往往導致計算機網絡連接正常,卻無法打開網頁;或由于ARP欺騙的木馬程序(病毒)發作時發出大量的數據包,導致用戶上網不穩定,甚至網絡中斷,使網絡安全受到極大的威脅,如何有效的防范ARP攻擊是網絡管理的重要內容。

1 ARP協議工作原理

ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在網絡中實際傳輸的是“幀”,幀里面是有目標主機的MAC地址的。在以太網中,一個主機和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址就是通過地址解析協議獲得的,所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議主要負責將網絡中的32位IP地址轉換為對應的48位物理地址,即網卡的MAC地址,比如IP地址位192.168.10.5網卡MAC地址為00-05-0F-ED-1D-5B。整個轉換過程是一臺主機先向目標主機發送包含有IP地址和MAC地址的數據包,通過MAC地址兩個主機就可以實現數據傳輸了。

在每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表里的IP地址與MAC地址是一一對應的。我們以主機A向主機B發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀里面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網絡上發送一個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,網絡上其它主機關不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應,并返回MAC地址,這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表。

2遭受ARP攻擊時表現癥狀及原因

常見的ARP攻擊主要包括網關劫持和雙向的ARP欺騙。網關劫持是指攻擊主機仿冒網關發出ARP響應包,誘騙其它客戶機以為攻擊主機是網關,從而找不到真正的網關而無法上網。這種攻擊最常見的是網絡中某一臺電腦中了ARP病毒,導致整個網絡或者中毒電腦所在的網段不能上網,如果病毒在局域網中迅速擴散,大量的中毒電腦不斷發送ARP廣播包還可能導致整個網絡中斷。

2.1遭受ARP攻擊時表現的主要癥狀

網絡內用戶會突然掉線,過一段時間后又恢復正常。 使用即時通訊工具軟件(如QQ、MSN)時頻繁斷網,IE瀏覽器頻繁出錯。使用身份認證上網的用戶,出現能夠通過認證,但是無法上網的情況。計算機上網速度比正常時緩慢許多。

2.2遭受ARP攻擊時表現的主要原因

原因之一:當局域網內某臺主機感染了ARP病毒時,會向本局域網內所有主機發送ARP欺騙攻擊,讓原本流向網絡中心的流量改道流向病毒主機,并通過病毒主機代理上網,因客戶端具有防代理功能,造成受害者無法通過病毒主機上網。另由于病毒發作時發出大量數據包會將網絡擁塞,大家會感覺上網速度越來越慢。中毒者同樣如此,受其自身處理能力的限制,感覺運行速度很慢時,可能會采取重新啟動,此時病毒短時間停止工作,大家會感到網絡恢復正常。如此反復,就造成網絡時斷時續。

原因之二:局域網內有某些用戶使用了ARP欺騙程序發送ARP欺騙數據包,致使被攻擊的電腦出現突然不能上網,過一段時間又能上網,反復掉線的現象。

3 ARP攻擊檢測及處理

3.1 ARP攻擊診斷方法

如果發現網絡不正常,可以通過如下操作進行診斷:

點擊“開始”按鈕->選擇“運行”->輸入“arp -d”->點擊“確定”按鈕,然后重新嘗試上網,假如能恢復正常,則說明此次掉線可能是受ARP欺騙所致。同時按住鍵盤上的“ ctrl ”和“ alt ”鍵再按“ del ”鍵,選擇“任務治理器”,點選“進程”標簽。察看其中是否有一個名為“ vktserv.exe ”的進程。假如有,則說明已經中毒。

3.2ARP攻擊處理方法

中ARP病毒者:下載360衛士ARP防火墻,下載地址:http://www.360.cn/down/soft_down11.html。在進程中假如有“vktserv”進程,右鍵點擊此進程后選擇“結束進程”,然后在c:windowssystem32路徑找到vktserv.exe文件刪除,在“控制面板”-“治理工具”-“服務”中,找到vktserv服務禁用,重起機器。

受攻擊者

假如已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,計算機可暫時恢復上網,注:arp -d命令用于清除并重建本機arp表。arp -d命令并不能抵御ARP欺騙,執行后仍有可能再次遭受ARP攻擊。假如已經有網關的正確MAC地址,在不能上網時,手工將網關IP和正確MAC綁定,可確保計算機不再被攻擊影響。手工綁定可在MS-DOS窗口下運行以下命令: arp -s 網關IP 網關MAC,但系統重啟后失效。

4 ARP攻擊的防治對策

4.1 用戶端綁定

在用戶端計算機上綁定交換機網關的IP和MAC地址。

首先,要求用戶獲得交換機網關的IP地址和MAC地址,用戶在DOS提示符下執行 arp -a命令,具體如下:

C:Documents and Settingsuser>arp -a

Interface: 192.168.10.50x2

Internet AddressPhysical Address Type

192.168.10.254 00-05-0F-ED-1D-5Bdynamic

其中192.168.10.254和00-05-0F-ED-1D-5B分別為網關的IP 地址和MAC地址,因用戶所在的區域、樓體和交換機不同,其對應網關的IP地址和MAC地址也不相同。

編寫一個批處理文件arp.bat,實現將交換機網關的MAC地址和網關的IP地址的綁定,內容如下:

@echo off

arp -d

arp -s192.168.10.25400-05-0F-ED-1D-5B

用戶應該按照第一步中查找到的交換機網關的IP地址和MAC地址,填入arp -s后面即可,同時需要將這個批處理軟件拖到“windows--開始--程序--啟動”中,以便用戶每次開機后計算機自動加載并執行該批處理文件,對用戶起到一個很好的保護作用。

4.2 網管交換機端綁定

在核心交換機上綁定用戶主機的IP地址和網卡的MAC地址,同時在邊緣交換機上將用戶計算機網卡的MAC地址和交換機端口綁定的雙重安全綁定方式。IP和MAC地址的綁定。在核心交換機上將所有局域網絡用戶的IP地址與其網卡MAC地址一一對應進行全部綁定。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取。MAC地址與交換機端口的綁定。根據局域網絡用戶所在的區域、樓體和用戶房間所對應的交換機端口號,將用戶計算機網卡的MAC地址和交換機端口綁定。此方案可以防止非法用戶隨意接入網絡端口上網。網絡用戶如果擅自改動本機網卡的MAC地址,該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現上網,自然也就不會對局域網造成干擾了。

4.3采用VLAN技術隔離端口

局域網的網絡管理員可根據本單位網絡的拓卜結構,具體規劃出若干個VLAN,當管理員發現有非法用戶在惡意利用ARP欺騙攻擊網絡,或因合法用戶受病毒ARP病毒感染而影響網絡時,網絡管理員可利用技術手段首先查找到該用戶所在的交換機端口,然后將該端口劃一個單獨的VLAN將該用戶與其它用戶進行物理隔離,以避免對其它用戶的影響。當然也可以利用將交換機端口Disable掉來屏蔽該用戶對網絡造成影響,從而達到安全防范的目的。

4.4 使用ARP防護軟件

針對ARP欺騙攻擊的軟件在網絡中很多。多數軟件單單針對ARP欺騙攻擊的某一方面特性進行制作抵御軟件的原理,這些軟件在ARP防范領域有一些影響。同時大家還可以安裝防病毒軟件,安裝ARP漏洞補丁等方法,來防范ARP攻擊。

參考文獻

[1]孔祥翠等,校園局域網防ARP病毒的研究和解決[J].計算機安全,2008,(4).

[2]華師傅資訊,dos命令行網絡與系統應用疑難解析與技巧1500例[M]中國鐵道出版社 2008-10

[3]宋文官 網絡技術與應用[M] 高等教育出版設 2005-12.