Arp病毒攻擊行為的原理分析及解決方法

(河南工業和信息化職業學院　河南　焦作　454000)

在校園網絡管理和維護的過程中，發現有些機子會經常掉線，甚至是整個機房掉線，經過研究后發現這是ARP病毒攻擊引起的。帶有ARP攻擊行為的病毒、木馬很是常見，對上網的影響主要有兩種表現形式：

第一種，上網速度很慢甚至上不了網。

第二種，頻繁的出現ip沖突的提示。

經分析，這大部分是由于病毒進行ARP地址欺騙造成的。由于ARP協議的固有的缺陷，病毒通過發送假的ARP數據包，使得同網段的計算機誤以為中毒計算機是網關，造成其它計算機上網中斷(第一種情況)。或是假冒網絡中特定的機器對這臺機器通信的數據進行截獲(第二種情況)。為了避免中毒計算機對網絡造成影響，趨勢科技已經提供相關的防御工具KB(62735)，由于ARP病毒攻擊的復雜多變性，現在針對兩種基本的攻擊行為的原理進行分析，并提出相應的解決思路。

第一種，上網速度很慢甚至上不了網

我們首先要了解一下ARP(Address Resolution Protocol)地址解析協議，它是一種將IP地址轉化成物理地址的協議。ARP具體說來就是將網絡層(TCP/IP協議的IP層，也就是相當于OSI的第三層)地址(32位)解析為數據鏈路層(TCP/IP協議的MAC層，也就是相當于OSI的第二層)的MAC地址(48位)[RFC826]。ARP協議是屬于鏈路層的協議，在以太網中的數據幀從一個主機到達網內的另一臺主機是根據48位的以太網地址(硬件地址)來確定接口的，而不是根據32位的IP地址。內核(如驅動)必須知道目的端的硬件地址才能發送數據。當然，點對點(如兩臺直聯的計算機)的連接是不需要ARP協議的。

知道了ARP協議的作用，就能夠很清楚地知道，數據包的向外傳輸依靠ARP協議，當然，也就是依賴ARP緩存。因此，B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是192.168.1.52(C的IP地址)，MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了)。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存，將本地的IP-MAC對應表更換為接收到的數據格式，由于這一切都是A的系統內核自動完成的，A可不知道被偽造了。

某些病毒就是利用這個原理，向受害者發送源硬件地址為隨機產生貌似來自網關的ARP應答包，于是在受害者緩存里，網關的IP是正確的，可對應的硬件地址卻是錯誤的或者是中毒機器。該計算機向外發送的數據包總是發送到了錯誤的網關硬件地址上或是中毒機器。

而如果病毒想要截獲某臺機器上網的所有通信而不被察覺，只要同時再向網關發送冒充此機器的相應的數據包即可實現。

2．頻繁出現地址沖突的現象

主機A在連接網絡(或更改IP地址)的時候就會向網絡發送ARP包廣播自己的IP地址。如果網絡中存在相同IP地址的主機B，那么B就會通過ARP來reply該地址，當A接收到這個reply后，A就會跳出IP地址沖突的警告，當然B也會有警告。因此用如果病毒發出的是ARP的Request包就會使用戶一直遭受IP地址沖突警告的困擾。

下面就以上分析做一個模擬病毒進行ARP攻擊的行為的實驗，了解此類病毒是如何產生危害的。

實驗描述：此實驗模仿ARP攻擊的一種，機器不斷提示地址沖突，運行變慢，無法上網的情況。

分析：不同病毒在中毒機器上運行，發送的ARP包是有一定的周期的，受影響的系統產生的開銷不一。先模擬中毒機B以較大的發送頻率發送到A機器上(未中毒)，如系統內核處理會不斷處理接到的ARP包，這時盜用者機器上會不斷提示IP沖突,則A機器上的系統開銷將大大增加,很容易無法響應用戶操作。而這一切由于ARP處于網絡協議的底層，對一般防火墻等高層軟件是透明的，盜用者無從察覺，只能看到機器不斷彈出沖突信息，系統很快慢下來，最終沒有任何響應。

實驗內容：

1．首先 讓我們先了解一下ARP協議的數據結構：

typedefstructarphdr

{

unsignedshortarp_hrd;//硬件類型 使用的硬件(網絡訪問層)類型一般為 0806(ARP)

unsignedshortarp_pro;//協議類型 解析過程中的協議使用以太類型的值一般為000110M以太網)

unsignedchararp_hln;//硬件地址長度 對于以太網和令牌環來說，其長度為6字節

unsignedchararp_pln;//協議地址長度 IP的長度是4字節

unsignedshortarp_op;ARP操作類型 指定當前執行操作的字段 1為請求，2為應答

unsignedchararp_sha[6];/*發送者的硬件地址

unsignedlongarp_spa;//發送者的協議地址

unsignedchararp_tha[6];//目標的硬件地址

unsignedlongarp_tpa;//目標的協議地址

}ARPHDR,*PARPHDR;

下面，假設中毒機器的硬件地址是AA-AA-AA-AA-AA-AA,IP地址是192.168.1.5，受影響機器B的硬件地址是BB-BB-BB-BB-BB-BB，IP地址是192.168.1.51.為了便于說明，我們在B機器上用Sniffer Pro工具先獲得發送目標為192.168.1.51的 ARP數據包，由于A中病毒不斷發送ARP請求包，我們很容易獲得。如圖：

現在我們結合圖中上半部分的協議解析來分析下半部分的代碼的意義，

共有四行每行都標了號

00行，ff ff ff ff ff ff 廣播地址，每個同網段用戶都能收到。

aa aa aa aa aa aa 發送方的硬件地址

08 06 指使用ARP協議

10行，00 01 10M 以太網

08 00 使用IP協議

06硬件地址使用6字節表示

04協議(IP)地址使用4字節表示

00 01 ARP請求包

aa aa aa aa aa aa 發送方硬件地址

c0 a8 01 32發送方IP地址

20行，00 00 00 00 00 00 目標硬件地址

c0 a8 01 33 目標IP地址

其他數據與本文無關，暫不討論。

仔細看一下不難發現，IP為192.168.1.5的A的IP地址被”篡改”了，A網絡中宣布自己假冒是192.168.1.50。

使得與192.168.1.50通信的數據發到了192.168.1.5上，而真正的192.168.1.50則運行緩慢甚至無法上網。

2.下面利用獲取的數據包，通過SnifferPro的構造并發送數據包的功能對它進行簡單的修改，我們可以模擬一種病毒攻擊方式：

對照前邊捕獲的數據包我們看到改動處有(紅線標注)：

1．aa aa aa aa aa aa硬件目的地址中毒機器A(DLC，數據鏈路層地址)

2．bb bb bb bb bb bb(第一組)源硬件地址為受影響機器B(DLC)

3．bb bb bb bb bb bb(第二組) 源硬件地址為受影響機器B(ARP)

4．(c0 a8 01)32目的IP地址為中毒機器A(ARP)

最后，我們通過Sniffer的發包工具利用不間斷發送(Continuously)將其發送給192.168.1.50，將使其很快癱瘓。筆者實驗環境如下：TP-LINK R402M路由器，A機器配置1.8G.RAM 512M。B機器配置CPU1.8G,RAM128M,B機器發送數據包15秒左右，A機器進入“無法響應”狀態。可見，如果病毒大規模爆發，造成的網絡擁塞影響是十分嚴重的。

最后，提供幾種防御ARP攻擊行為的思路：

當我們遇到ARP類病毒時。

1.采用IP-MAC 綁定方法預防，如利用KB(62735)解決方案部署中ipmac_binds_tools.exe 防御工具

2.一旦發現無法解決的ARP病毒較復雜的攻擊行為，需要使用工具抓取病毒爆發時網絡中的數據包，根據以上ARP病毒的原理，分析數據包找到頻繁發送ARP的REQUEST或REPLY請求的機器，從而找到病毒源頭進行查殺毒。

【參考文獻】

[1]楊旭東編.網絡互聯及路由器技術教程與實訓.北京大學出版社.2005-9

[2]李慶榮等編.網絡安全實用教程(第二版).清華大學出版社.2003-11

[3]馮昊等編.交換機/ 路由器及其配置與管理.清華大學出版社.2005