針對校園網ARP病毒攻擊的分析及防范

孫 博

針對校園網ARP病毒攻擊的分析及防范

孫 博

ARP病毒是一種偽造IP地址和MAC地址實現ARP欺騙，從而使網絡癱瘓的一種病毒。通過對ARP病毒的攻擊原理進行分析，可以總結出一套檢測它的方法，并整理出一些平時在校園網維護中對其有效的防范方法，從而提高校園網的安全性。

校園網；ARP病毒；攻擊原理；檢測和防范

在校園網規模不斷擴大、使用人數不斷增加的今天，各種網絡安全問題不斷凸現出來。其中，ARP病毒攻擊所引起的網絡故障極大地影響了校園網的正常運行。由于ARP病毒傳播速度很快、變種眾多，且國內外網絡安全廠商一時都沒有提出有效的解決方案，所以ARP病毒攻擊是目前校園網管理和維護中需要迫切解決的一大難題。

校園網絡中的關鍵設備，如路由器、三層交換機、裝有TCP/IP協議的電腦等都提供ARP緩存表，用來提高通信速度。ARP病毒攻擊通過偽造的MAC地址與局域網中的IP地址對應，并修改路由器或電腦中的ARP緩存表，使得具有合法MAC地址的電腦無法與IP地址對應，從而無法通過路由器連接網絡。在掉線重啟路由器或交換機之后，ARP緩存表會自動刷新，網絡會重新恢復正常。但在短時間內，ARP病毒又會發動攻擊使得網絡再度癱瘓，如此反復。一些沒有經驗的網絡管理員很容易被這種現象迷惑，以為是路由器或交換機設備故障，從而沒有及時處理而產生更嚴重的后果。

一、對ARP病毒攻擊原理的分析

ARP協議的主要功能是將局域網中的IP地址轉換成MAC地址，ARP病毒正是通過ARP協議的這一功能，偽造IP地址和MAC地址實現ARP欺騙，從而在網絡中產生大量的ARP通信量使網絡阻塞，進行ARP重定向和嗅探攻擊，使局域網內電腦的ARP表混亂。

迄今在校園網中發現的病毒程序，如PWsteal、lemir或其變種，屬于木馬/蠕蟲類病毒，windows操作系統都會受到影響。影響網絡暢通的ARP病毒攻擊有兩種方式：對三層路由交換機的ARP表欺騙以及對內網網關的欺騙。第一種攻擊方式是病毒先截獲網關數據，再將一系列的錯誤的內網MAC信息不斷地發送給三層路由交換機，造成其發出錯誤的MAC地址，導致正常的PC無法收到信息。第二種攻擊方式是病毒偽造網關，它先建立一個假網關，讓被它欺騙的PC向假網關發送數據，造成PC無法正常連接網絡。

二、ARP病毒的危害

ARP病毒對于校園網的日常安全運行造成了很大的阻礙，其危害性可以總結為以下幾點。

1.阻止其他用戶連接網絡，造成局域網癱瘓。將ARP欺騙包指向不能提供數據傳輸服務的、無效的MAC地址；或指向中毒的主機，但中毒主機不為用戶向“真網關”傳遞數據。這將導致局域網全網掉線，其他主機無法訪問網絡。

2.盜取用戶個人隱私數據，如賬號密碼等。將ARP欺騙包指向中毒主機的MAC地址，則局域網中被欺騙的主機會將數據傳送給中毒主機。中毒主機系統中的病毒可以通過嗅探這些數據的內容，進行包括破譯密文等處理，從而得到包括網絡游戲、網絡銀行賬號密碼在內的各種信息，直接或間接威脅到用戶的隱私和財產安全。這樣的病毒明顯具有木馬的性質。

3.修改網關回傳數據，并插入惡意代碼。ARP欺騙造成的局域網上網斷線只是表面現象，更深層的危害在于，ARP欺騙造成了網絡數據的違規‘出站’和‘回傳’（即被欺騙主機將數據傳到了原本不應該被信任的目標）。攻擊者因此可以利用‘回傳’給他的數據，作出進一步危害用戶安全的行為，包括利用數據中的信息發動有針對性的‘進站’攻擊（即向被欺騙主機發送帶有惡意攻擊性代碼的數據）。將ARP欺騙包指向中毒主機的MAC地址，中毒主機接收到被欺騙主機傳來的信息，并充當“偽網關”，在被欺騙主機與“真網關”之間進行數據交互。然而，“偽網關”得到由“真網關”傳來的數據后，在將數據傳回給被欺騙主機的過程中，在其中加插了惡意代碼，不知情的被欺騙主機接收了數據，主機系統中的應用程序執行了包括惡意代碼在內的內容，就直接導致用戶的計算機安全遭到破壞。

三、對ARP病毒的檢測

在了解了ARP病毒的攻擊原理之后，筆者在日常校園網的維護和管理中總結出兩個檢測ARP病毒的方法：1.分析網關ARP緩存表的方法。登陸局域網的上聯三層交換機查看其ARP緩存表，這么做的目的是因為ARP病毒攻擊主要是針對網關進行攻擊，所以在網關的ARP表中會保留錯誤的MAC記錄。如果檢查ARP表時發現有很多IP都指向同一個MAC地址，那么此MAC地址對應的主機就是ARP病毒源；如果網關ARP表正常，但存在多主機同一端口連接網關的，也可查出ARP病毒源。2.使用軟件抓包法。在校園網內任意一臺電腦上運行sniffer抓包軟件，如果發現某個IP不斷發送ARP請求包，那么一般這臺電腦就是ARP病毒源。

四、針對ARP病毒攻擊的防范

在了解了APR病毒的攻擊原理和攻擊方式后，如何對其進行防范是校園網安全和暢通的關鍵。對于ARP病毒的防范我們可以從交換機和PC兩個層面入手。

交換機層面。目前多數新型號的交換機都支持APR入侵檢測功能，如H3C的$3600以上的交換機都加了此功能。它的工作原理是：將經過交換機的所有ARP(請求與回應)報文重定向到CPU，利用DHCP Snooping表或手工配置的IP靜態綁定表，對ARP報文進行合法性檢測。開啟ARP入侵檢測功能后，如果ARP報文中的源MAC地址、源IP地址、接收ARP報文的端口編號以及端口所在VLAN與DHCP Snooping表或手工配置的IP靜態綁定表表項一致，則認為該報文是合法的ARP報文，進行轉發；否則認為是非法的ARP報文，直接丟棄。除了開啟ARP入侵檢測功能之外，還應該對ARP報文進行限速控制，因為當某一個端口以高頻率發送ARP報文的時候會占用交換機大量的CPU資源，嚴重時甚至會造成交換機死機，所以千萬不要忽視這點。開啟某個端口的ARP報文限速功能后，交換機對每秒內該端口接收的ARP報文數量進行統計，如果每秒收到的ARP報文數量超過設定值，則認為該端口處于超速狀態。此時，變換機將關閉該端口，使其不再接收任何報文，從而避免大量ARP報文攻擊設備。同時，設備支持配置端口狀態自動恢復功能，對于配置了ARP限速功能的端口，在其因超速而被交換機關閉后，經過一段時間可以自動恢復為開啟狀態。

PC層面。PC層面我們只需要安裝一款ARP防火墻，現在的免費殺毒軟件都自帶了ARP防火墻，如360安全衛士等。

上面介紹了對于ARP攻擊的防范，那么在具體的校園網環境下該如何防范ARP病毒，以下我總結了幾條我校對于ARP病毒攻擊所采取的方法，可以有效地對其進行防范。

1.對于連入校園網的每臺電腦的IP和MAC地址進行綁定：在每臺電腦進入DOS，輸入arp-s網關IP網關MAC地址，回車后即完成了綁定。但是這個操作必須在每次系統啟動時進行操作，很麻煩。我們可以把此命令做成一個批處理文件，放在系統的啟動里，批處理文件如下：

@echo off

arp-d

arp-s網關的IP網關的MAC地址

2.在接入層交換機的各個端口綁定對應PC的IP/MAC地址。

3.安裝最新的殺毒軟件。安裝如瑞星或360等殺毒軟件升級到最新病毒庫并定期對機器進行掃描，使用防止ARP攻擊的軟件如：ARPfix或AntiARP等。

4.處理病毒源。一旦發現ARP攻擊，在檢測到病毒源機器后對該機器進行殺毒或重做系統操作，這樣可以有效的阻斷ARP病毒繼續對局域網中的其他機器進行攻擊。

5.加強密碼管理。ARP病毒是一種木馬類病毒，對于用戶的信息如QQ密碼、網銀密碼等隱私信息都會被它竊取。所以我們必須給交換機的系統管理員設置足夠復雜的密碼，以防黑客輕易攻陷。也可以禁用一些不用的賬戶及來賓賬戶來起到加強安全的目的。

6.使用ARP病毒防火墻。

7.關閉不需要的服務。可以適當地關閉網絡共享來起到阻斷ARP病毒傳播的作用，也包括C$、D$等管理共享。

8.對于移動存儲設備的使用加強管理。U盤等移動設備是病毒傳播的一個重要途徑，在打開U盤前要對其先進行病毒掃描，不要運行陌生的程序。

隨著校園網終端的不斷增多及信息流量的增加，筆者在管理和維護中遇到了各類問題，摸索出了一些可行的處理方法和防范措施。其中ARP病毒攻擊是比較棘手的網絡安全問題。在網絡技術飛速發展的今天，對于網絡管理者提出了更高的要求，只有不斷的學習才能在管理中立于不敗之地。

[1]凌力.網絡協議及網絡安全[M].北京：清華大學出版社，2007.

[2]王文壽，王珂.網管員必備寶典—網絡安全[M].北京：清華大學出版社，2007.

[3]李俊民，郭艷麗.網絡安全與黑客安全寶典[M].北京：電子工業出版社，2010.

責任編輯：郭一鶴

G43

B

1671-6531（2012）02-0133-02

孫博/長春大學光華學院教育技術中心教師（吉林長春130117）。