Arp病毒攻擊行為的原理分析及解決方法

(河南工業(yè)和信息化職業(yè)學(xué)院　河南　焦作　454000)

在校園網(wǎng)絡(luò)管理和維護(hù)的過(guò)程中，發(fā)現(xiàn)有些機(jī)子會(huì)經(jīng)常掉線，甚至是整個(gè)機(jī)房掉線，經(jīng)過(guò)研究后發(fā)現(xiàn)這是ARP病毒攻擊引起的。帶有ARP攻擊行為的病毒、木馬很是常見(jiàn)，對(duì)上網(wǎng)的影響主要有兩種表現(xiàn)形式：

第一種，上網(wǎng)速度很慢甚至上不了網(wǎng)。

第二種，頻繁的出現(xiàn)ip沖突的提示。

經(jīng)分析，這大部分是由于病毒進(jìn)行ARP地址欺騙造成的。由于ARP協(xié)議的固有的缺陷，病毒通過(guò)發(fā)送假的ARP數(shù)據(jù)包，使得同網(wǎng)段的計(jì)算機(jī)誤以為中毒計(jì)算機(jī)是網(wǎng)關(guān)，造成其它計(jì)算機(jī)上網(wǎng)中斷(第一種情況)。或是假冒網(wǎng)絡(luò)中特定的機(jī)器對(duì)這臺(tái)機(jī)器通信的數(shù)據(jù)進(jìn)行截獲(第二種情況)。為了避免中毒計(jì)算機(jī)對(duì)網(wǎng)絡(luò)造成影響，趨勢(shì)科技已經(jīng)提供相關(guān)的防御工具KB(62735)，由于ARP病毒攻擊的復(fù)雜多變性，現(xiàn)在針對(duì)兩種基本的攻擊行為的原理進(jìn)行分析，并提出相應(yīng)的解決思路。

第一種，上網(wǎng)速度很慢甚至上不了網(wǎng)

我們首先要了解一下ARP(Address Resolution Protocol)地址解析協(xié)議，它是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP具體說(shuō)來(lái)就是將網(wǎng)絡(luò)層(TCP/IP協(xié)議的IP層，也就是相當(dāng)于OSI的第三層)地址(32位)解析為數(shù)據(jù)鏈路層(TCP/IP協(xié)議的MAC層，也就是相當(dāng)于OSI的第二層)的MAC地址(48位)[RFC826]。ARP協(xié)議是屬于鏈路層的協(xié)議，在以太網(wǎng)中的數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位的以太網(wǎng)地址(硬件地址)來(lái)確定接口的，而不是根據(jù)32位的IP地址。內(nèi)核(如驅(qū)動(dòng))必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。當(dāng)然，點(diǎn)對(duì)點(diǎn)(如兩臺(tái)直聯(lián)的計(jì)算機(jī))的連接是不需要ARP協(xié)議的。

知道了ARP協(xié)議的作用，就能夠很清楚地知道，數(shù)據(jù)包的向外傳輸依靠ARP協(xié)議，當(dāng)然，也就是依賴ARP緩存。因此，B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.1.52(C的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本來(lái)應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存，將本地的IP-MAC對(duì)應(yīng)表更換為接收到的數(shù)據(jù)格式，由于這一切都是A的系統(tǒng)內(nèi)核自動(dòng)完成的，A可不知道被偽造了。

某些病毒就是利用這個(gè)原理，向受害者發(fā)送源硬件地址為隨機(jī)產(chǎn)生貌似來(lái)自網(wǎng)關(guān)的ARP應(yīng)答包，于是在受害者緩存里，網(wǎng)關(guān)的IP是正確的，可對(duì)應(yīng)的硬件地址卻是錯(cuò)誤的或者是中毒機(jī)器。該計(jì)算機(jī)向外發(fā)送的數(shù)據(jù)包總是發(fā)送到了錯(cuò)誤的網(wǎng)關(guān)硬件地址上或是中毒機(jī)器。

而如果病毒想要截獲某臺(tái)機(jī)器上網(wǎng)的所有通信而不被察覺(jué)，只要同時(shí)再向網(wǎng)關(guān)發(fā)送冒充此機(jī)器的相應(yīng)的數(shù)據(jù)包即可實(shí)現(xiàn)。

2．頻繁出現(xiàn)地址沖突的現(xiàn)象

主機(jī)A在連接網(wǎng)絡(luò)(或更改IP地址)的時(shí)候就會(huì)向網(wǎng)絡(luò)發(fā)送ARP包廣播自己的IP地址。如果網(wǎng)絡(luò)中存在相同IP地址的主機(jī)B，那么B就會(huì)通過(guò)ARP來(lái)reply該地址，當(dāng)A接收到這個(gè)reply后，A就會(huì)跳出IP地址沖突的警告，當(dāng)然B也會(huì)有警告。因此用如果病毒發(fā)出的是ARP的Request包就會(huì)使用戶一直遭受IP地址沖突警告的困擾。

下面就以上分析做一個(gè)模擬病毒進(jìn)行ARP攻擊的行為的實(shí)驗(yàn)，了解此類病毒是如何產(chǎn)生危害的。

實(shí)驗(yàn)描述：此實(shí)驗(yàn)?zāi)７翧RP攻擊的一種，機(jī)器不斷提示地址沖突，運(yùn)行變慢，無(wú)法上網(wǎng)的情況。

分析：不同病毒在中毒機(jī)器上運(yùn)行，發(fā)送的ARP包是有一定的周期的，受影響的系統(tǒng)產(chǎn)生的開(kāi)銷不一。先模擬中毒機(jī)B以較大的發(fā)送頻率發(fā)送到A機(jī)器上(未中毒)，如系統(tǒng)內(nèi)核處理會(huì)不斷處理接到的ARP包，這時(shí)盜用者機(jī)器上會(huì)不斷提示IP沖突,則A機(jī)器上的系統(tǒng)開(kāi)銷將大大增加,很容易無(wú)法響應(yīng)用戶操作。而這一切由于ARP處于網(wǎng)絡(luò)協(xié)議的底層，對(duì)一般防火墻等高層軟件是透明的，盜用者無(wú)從察覺(jué)，只能看到機(jī)器不斷彈出沖突信息，系統(tǒng)很快慢下來(lái)，最終沒(méi)有任何響應(yīng)。

實(shí)驗(yàn)內(nèi)容：

1．首先 讓我們先了解一下ARP協(xié)議的數(shù)據(jù)結(jié)構(gòu)：

typedefstructarphdr

{

unsignedshortarp_hrd;//硬件類型 使用的硬件(網(wǎng)絡(luò)訪問(wèn)層)類型一般為 0806(ARP)

unsignedshortarp_pro;//協(xié)議類型 解析過(guò)程中的協(xié)議使用以太類型的值一般為000110M以太網(wǎng))

unsignedchararp_hln;//硬件地址長(zhǎng)度 對(duì)于以太網(wǎng)和令牌環(huán)來(lái)說(shuō)，其長(zhǎng)度為6字節(jié)

unsignedchararp_pln;//協(xié)議地址長(zhǎng)度 IP的長(zhǎng)度是4字節(jié)

unsignedshortarp_op;ARP操作類型 指定當(dāng)前執(zhí)行操作的字段 1為請(qǐng)求，2為應(yīng)答

unsignedchararp_sha[6];/*發(fā)送者的硬件地址

unsignedlongarp_spa;//發(fā)送者的協(xié)議地址

unsignedchararp_tha[6];//目標(biāo)的硬件地址

unsignedlongarp_tpa;//目標(biāo)的協(xié)議地址

}ARPHDR,*PARPHDR;

下面，假設(shè)中毒機(jī)器的硬件地址是AA-AA-AA-AA-AA-AA,IP地址是192.168.1.5，受影響機(jī)器B的硬件地址是BB-BB-BB-BB-BB-BB，IP地址是192.168.1.51.為了便于說(shuō)明，我們?cè)贐機(jī)器上用Sniffer Pro工具先獲得發(fā)送目標(biāo)為192.168.1.51的 ARP數(shù)據(jù)包，由于A中病毒不斷發(fā)送ARP請(qǐng)求包，我們很容易獲得。如圖：

現(xiàn)在我們結(jié)合圖中上半部分的協(xié)議解析來(lái)分析下半部分的代碼的意義，

共有四行每行都標(biāo)了號(hào)

00行，ff ff ff ff ff ff 廣播地址，每個(gè)同網(wǎng)段用戶都能收到。

aa aa aa aa aa aa 發(fā)送方的硬件地址

08 06 指使用ARP協(xié)議

10行，00 01 10M 以太網(wǎng)

08 00 使用IP協(xié)議

06硬件地址使用6字節(jié)表示

04協(xié)議(IP)地址使用4字節(jié)表示

00 01 ARP請(qǐng)求包

aa aa aa aa aa aa 發(fā)送方硬件地址

c0 a8 01 32發(fā)送方IP地址

20行，00 00 00 00 00 00 目標(biāo)硬件地址

c0 a8 01 33 目標(biāo)IP地址

其他數(shù)據(jù)與本文無(wú)關(guān)，暫不討論。

仔細(xì)看一下不難發(fā)現(xiàn)，IP為192.168.1.5的A的IP地址被”篡改”了，A網(wǎng)絡(luò)中宣布自己假冒是192.168.1.50。

使得與192.168.1.50通信的數(shù)據(jù)發(fā)到了192.168.1.5上，而真正的192.168.1.50則運(yùn)行緩慢甚至無(wú)法上網(wǎng)。

2.下面利用獲取的數(shù)據(jù)包，通過(guò)SnifferPro的構(gòu)造并發(fā)送數(shù)據(jù)包的功能對(duì)它進(jìn)行簡(jiǎn)單的修改，我們可以模擬一種病毒攻擊方式：

對(duì)照前邊捕獲的數(shù)據(jù)包我們看到改動(dòng)處有(紅線標(biāo)注)：

1．a(chǎn)a aa aa aa aa aa硬件目的地址中毒機(jī)器A(DLC，數(shù)據(jù)鏈路層地址)

2．bb bb bb bb bb bb(第一組)源硬件地址為受影響機(jī)器B(DLC)

3．bb bb bb bb bb bb(第二組) 源硬件地址為受影響機(jī)器B(ARP)

4．(c0 a8 01)32目的IP地址為中毒機(jī)器A(ARP)

最后，我們通過(guò)Sniffer的發(fā)包工具利用不間斷發(fā)送(Continuously)將其發(fā)送給192.168.1.50，將使其很快癱瘓。筆者實(shí)驗(yàn)環(huán)境如下：TP-LINK R402M路由器，A機(jī)器配置1.8G.RAM 512M。B機(jī)器配置CPU1.8G,RAM128M,B機(jī)器發(fā)送數(shù)據(jù)包15秒左右，A機(jī)器進(jìn)入“無(wú)法響應(yīng)”狀態(tài)。可見(jiàn)，如果病毒大規(guī)模爆發(fā)，造成的網(wǎng)絡(luò)擁塞影響是十分嚴(yán)重的。

最后，提供幾種防御ARP攻擊行為的思路：

當(dāng)我們遇到ARP類病毒時(shí)。

1.采用IP-MAC 綁定方法預(yù)防，如利用KB(62735)解決方案部署中ipmac_binds_tools.exe 防御工具

2.一旦發(fā)現(xiàn)無(wú)法解決的ARP病毒較復(fù)雜的攻擊行為，需要使用工具抓取病毒爆發(fā)時(shí)網(wǎng)絡(luò)中的數(shù)據(jù)包，根據(jù)以上ARP病毒的原理，分析數(shù)據(jù)包找到頻繁發(fā)送ARP的REQUEST或REPLY請(qǐng)求的機(jī)器，從而找到病毒源頭進(jìn)行查殺毒。

【參考文獻(xiàn)】

[1]楊旭東編.網(wǎng)絡(luò)互聯(lián)及路由器技術(shù)教程與實(shí)訓(xùn).北京大學(xué)出版社.2005-9

[2]李慶榮等編.網(wǎng)絡(luò)安全實(shí)用教程(第二版).清華大學(xué)出版社.2003-11

[3]馮昊等編.交換機(jī)/ 路由器及其配置與管理.清華大學(xué)出版社.2005