ＡＲＰ攻击对网络安全的危害及对策研究

摘要:近年来很多网络遭受ARP病毒的侵犯,ARP欺骗是一种典型的欺骗攻击类型,它利用了ARP协议存在的安全隐患,并使用一些专门的攻击工具,使得这种攻击变得普及并有较高的成功率。文中通过分析ARP协议的工作原理,探讨遭受ARP攻击时表现症状及原因,提出了ARP攻击检测与处理的办法和几种常规可行的解决方案。

关键字:ARP攻击;网络安全;对策

近年来,许多网络用户访问互联网时断时续,出现上网速慢、上网不稳定的情况。究其原因,很可能是机器受到一种名为ARP欺骗木马程序(病毒)的攻击(ARP是“Address Resolution Protocol”“地址解析协议”的缩写)。ARP攻击往往导致计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致用户上网不稳定,甚至网络中断,使网络安全受到极大的威胁,如何有效的防范ARP攻击是网络管理的重要内容。

1 ARP协议工作原理

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址就是通过地址解析协议获得的,所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议主要负责将网络中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址位192.168.10.5网卡MAC地址为00-05-0F-ED-1D-5B。整个转换过程是一台主机先向目标主机发送包含有IP地址和MAC地址的数据包,通过MAC地址两个主机就可以实现数据传输了。

在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。我们以主机A向主机B发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,网络上其它主机关不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应,并返回MAC地址,这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。

2遭受ARP攻击时表现症状及原因

常见的ARP攻击主要包括网关劫持和双向的ARP欺骗。网关劫持是指攻击主机仿冒网关发出ARP响应包,诱骗其它客户机以为攻击主机是网关,从而找不到真正的网关而无法上网。这种攻击最常见的是网络中某一台电脑中了ARP病毒,导致整个网络或者中毒电脑所在的网段不能上网,如果病毒在局域网中迅速扩散,大量的中毒电脑不断发送ARP广播包还可能导致整个网络中断。

2.1遭受ARP攻击时表现的主要症状

网络内用户会突然掉线,过一段时间后又恢复正常。 使用即时通讯工具软件(如QQ、MSN)时频繁断网,IE浏览器频繁出错。使用身份认证上网的用户,出现能够通过认证,但是无法上网的情况。计算机上网速度比正常时缓慢许多。

2.2遭受ARP攻击时表现的主要原因

原因之一:当局域网内某台主机感染了ARP病毒时,会向本局域网内所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网,因客户端具有防代理功能,造成受害者无法通过病毒主机上网。另由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动,此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。

原因之二:局域网内有某些用户使用了ARP欺骗程序发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。

3 ARP攻击检测及处理

3.1 ARP攻击诊断方法

如果发现网络不正常,可以通过如下操作进行诊断:

点击“开始”按钮->选择“运行”->输入“arp -d”->点击“确定”按钮,然后重新尝试上网,假如能恢复正常,则说明此次掉线可能是受ARP欺骗所致。同时按住键盘上的“ ctrl ”和“ alt ”键再按“ del ”键,选择“任务治理器”,点选“进程”标签。察看其中是否有一个名为“ vktserv.exe ”的进程。假如有,则说明已经中毒。

3.2ARP攻击处理方法

中ARP病毒者:下载360卫士ARP防火墙,下载地址:http:///down/soft_down11.html。在进程中假如有“vktserv”进程,右键点击此进程后选择“结束进程”,然后在c:windowssystem32路径找到vktserv.exe文件删除,在“控制面板”-“治理工具”-“服务”中,找到vktserv服务禁用,重起机器。

受攻击者

假如已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网,注:arp -d命令用于清除并重建本机arp表。arp -d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。假如已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC,但系统重启后失效。

4 ARP攻击的防治对策

4.1 用户端绑定

在用户端计算机上绑定交换机网关的IP和MAC地址。

首先,要求用户获得交换机网关的IP地址和MAC地址,用户在DOS提示符下执行 arp -a命令,具体如下:

C:\Documents and Settings\user>arp -a

Interface: 192.168.10.50x2

Internet AddressPhysical Address Type

192.168.10.254 00-05-0F-ED-1D-5Bdynamic

其中192.168.10.254和00-05-0F-ED-1D-5B分别为网关的IP 地址和MAC地址,因用户所在的区域、楼体和交换机不同,其对应网关的IP地址和MAC地址也不相同。

编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,内容如下:

@echo off

arp -d

arp -s192.168.10.25400-05-0F-ED-1D-5B

用户应该按照第一步中查找到的交换机网关的IP地址和MAC地址,填入arp -s后面即可,同时需要将这个批处理软件拖到“windows--开始--程序--启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件,对用户起到一个很好的保护作用。

4.2 网管交换机端绑定

在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。IP和MAC地址的绑定。在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。MAC地址与交换机端口的绑定。根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。

4.3采用VLAN技术隔离端口

局域网的网络管理员可根据本单位网络的拓卜结构,具体规划出若干个VLAN,当管理员发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受病毒ARP病毒感染而影响网络时,网络管理员可利用技术手段首先查找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN将该用户与其它用户进行物理隔离,以避免对其它用户的影响。当然也可以利用将交换机端口Disable掉来屏蔽该用户对网络造成影响,从而达到安全防范的目的。

4.4 使用ARP防护软件

针对ARP欺骗攻击的软件在网络中很多。多数软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件的原理,这些软件在ARP防范领域有一些影响。同时大家还可以安装防病毒软件,安装ARP漏洞补丁等方法,来防范ARP攻击。

参考文献

[1]孔祥翠等,校园局域网防ARP病毒的研究和解决[J].计算机安全,2008,(4).

[2]华师傅资讯,dos命令行网络与系统应用疑难解析与技巧1500例[M]中国铁道出版社 2008-10

[3]宋文官 网络技术与应用[M] 高等教育出版设 2005-12.

推荐访问： 网络安全 危害 攻击 对策研究 ARP