行業資(zī)訊
   
ARP病毒簡介

ARP定義

     ARP(Address Resolution Protocol,地址解析協議)是一(yī)個位于TCP/IP協議棧中(zhōng)的底層協議,對應于數據鏈路層,負責将某個IP地址解析成對應的MAC地址。

 

  ARP協議的基本功能就是通過目标設備的IP地址,查詢目标設備的MAC地址,以保證通信的進行。

 

  ARP(AddressResolutionProtocol)是地址解析協議,是一(yī)種将IP地址轉化成物(wù)理地址的協議。從IP地址到物(wù)理地址的映射有兩種方式:表格方式和非表格方式。ARP具體(tǐ)說來就是将網絡層(IP層,也就是相當于OSI的第三層)地址解析爲數據連接層(MAC層,也就是相當于OSI的第二層)的MAC地址。

 

ARP攻擊原理

  ARP攻擊就是通過僞造IP地址和MAC地址實現ARP欺騙,能夠在網絡中(zhōng)産生(shēng)大(dà)量的ARP通信量使網絡阻塞,攻擊者隻要持續不斷的發出僞造的ARP響應包就能更改目标主機ARP緩存中(zhōng)的IP-MAC條目,造成網絡中(zhōng)斷或中(zhōng)間人攻擊。

 

  ARP攻擊主要是存在于局域網網絡中(zhōng),局域網中(zhōng)若有一(yī)台計算機感染ARP木馬,則感染該ARP木馬的系統将會試圖通過“ARP欺騙”手段截獲所在網絡内其它計算機的通信信息,并因此造成網内其它計算機的通信故障。

 

  某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則A廣播一(yī)個ARP請求報文(攜帶主機A的IP地址Ia——物(wù)理地址Pa),請求IP地址爲Ib的主機B回答物(wù)理地址Pb。網上所有主機包括B都收到ARP請求,但隻有主機B識别自己的IP地址,于是向A主機發回一(yī)個ARP響應報文。其中(zhōng)就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接着使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動态的。

 

ARP攻擊的演化

  初期:

 

  這種有目的的發布錯誤ARP廣播包的行爲,被稱爲ARP欺騙。ARP欺騙,最初爲黑客所用,成爲黑客竊取網絡數據的主要手段。黑客通過發布錯誤的ARP廣播包,阻斷正常通信,并将自己所用的電腦僞裝成别人的電腦,這樣原本發往其他電腦的數據,就發到了黑客的電腦上,達到竊取數據的目的。

 

  中(zhōng)期:ARP惡意攻擊

 

  後來,有人利用這一(yī)原理,制作了一(yī)些所謂的“管理軟件”,例如網絡剪刀手、執法官、終結者等,這樣就導緻了ARP惡意攻擊的泛濫。往往使用這種軟件的人,以惡意破壞爲目的,多是爲了讓别人斷線,逞一(yī)時之快。

 

  特别是在網吧中(zhōng),或者因爲商(shāng)業競争的目的、或者因爲個人無聊洩憤,造成惡意ARP攻擊泛濫。

 

  随着網吧經營者摸索出禁用這些特定軟件的方法,這股風潮也就漸漸平息下(xià)去(qù)了。

 

  現在:綜合的ARP攻擊

 

  最近這一(yī)波ARP攻擊潮,其目的、方式多樣化,沖擊力度、影響力也比前兩個階段大(dà)很多。

 

  首先是病毒加入了ARP攻擊的行列。以前的病毒攻擊網絡以廣域網爲主,最有效的攻擊方式是DDOS攻擊。但是随着防範能力的提高,病毒制造者将目光投向局域網,開(kāi)始嘗試ARP攻擊,例如最近流行的威金病毒,ARP攻擊是其使用的攻擊手段之一(yī)。

 

  相對病毒而言,盜号程序對網吧運營的困惑更大(dà)。盜号程序是爲了竊取用戶帳号密碼數據而進行ARP欺騙,同時又(yòu)會影響的其他電腦上網

 

遭受ARP攻擊後現象

  ARP欺騙木馬的中(zhōng)毒現象表現爲:使用局域網時會突然掉線,過一(yī)段時間後又(yòu)會恢複正常。比如客戶端狀态頻(pín)頻(pín)變紅,用戶頻(pín)繁斷網,IE浏覽器頻(pín)繁出錯,以及一(yī)些常用軟件出現故障等。如果局域網中(zhōng)是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啓機器或在MS-DOS窗口下(xià)運行命令arp -d後,又(yòu)可恢複上網。

 

  ARP欺騙木馬隻需成功感染一(yī)台電腦,就可能導緻整個局域網都無法上網,嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導緻同一(yī)局域網内的其他用戶上網出現時斷時續的現象外(wài),還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬号去(qù)做金錢交易,盜竊網上銀行賬号來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大(dà)的不便和巨大(dà)的經濟損失。

 

  基于ARP協議的這一(yī)工(gōng)作特性,黑客向對方計算機不斷發送有欺詐性質的ARP數據包,數據包内包含有與當前設備重複的Mac地址,使對方在回應報文時,由于簡單的地址重複錯誤而導緻不能進行正常的網絡通信。一(yī)般情況下(xià),受到ARP攻擊的計算機會出現兩種現象:

 

  1.不斷彈出“本機的0-255段硬件地址與網絡中(zhōng)的0-255段地址沖突”的對話(huà)框。

 

  2.計算機不能正常上網,出現網絡中(zhōng)斷的症狀。

 

  因爲這種攻擊是利用ARP請求報文進行“欺騙”的,所以防火(huǒ)牆會誤以爲是正常的請求數據包,不予攔截。因此普通的防火(huǒ)牆很難抵擋這種攻擊。

 

  對ARP攻擊的防護

 

  防止ARP攻擊是比較困難的,修改協議也是不大(dà)可能。但是有一(yī)些工(gōng)作是可以提高本地網絡的安全性。

 

  首先,你要知(zhī)道,如果一(yī)個錯誤的記錄被插入ARP或者IP route表,可以用兩種方式來删除。

 

  a. 使用arp –d host_entry

 

  b. 自動過期,由系統删除

 

  這樣,可以采用以下(xià)的一(yī)些方法:

 

  1). 減少過期時間

 

  #ndd –set /dev/arp arp_cleanup_interval 60000

 

  #ndd -set /dev/ip ip_ire_flush_interval 60000

 

  60000=60000毫秒 默認是300000

 

  加快過期時間,并不能避免攻擊,但是使得攻擊更加困難,帶來的影響是在網絡中(zhōng)會大(dà)量的出現ARP請求和回複,請不要在繁忙的網絡上使用。

 

  2). 建立靜态ARP表

 

  這是一(yī)種很有效的方法,而且對系統影響不大(dà)。缺點是破壞了動态ARP協議。可以建立如下(xià)的文件。

 

  test.nsfocus.com 08:00:20:ba:a1:f2

 

  user. nsfocus.com 08:00:20:ee:de:1f

 

  使用arp –f filename加載進去(qù),這樣的ARP映射将不會過期和被新的ARP數據刷新,除非使用arp –d才能删除。但是一(yī)旦合法主機的網卡硬件地址改變,就必須手工(gōng)刷新這個arp文件。這個方法,不适合于經常變動的網絡環境。

 

  3).禁止ARP

 

  可以通過ipconfig interface –arp 完全禁止ARP,這樣,網卡不會發送ARP和接受ARP包。但是使用前提是使用靜态的ARP表,如果不在ARP表中(zhōng)的計算機 ,将不能通信。這個方法不适用與大(dà)多數網絡環境,因爲這增加了網絡管理的成本。但是對小(xiǎo)規模的安全網絡來說,還是有效可行的。

 

  但目前的ARP病毒層出不窮,已經不能單純的依靠傳統的方法去(qù)防範,比如簡單的綁定本機ARP表,我(wǒ)們還需要更深入的了解ARP攻擊原理,才能夠通過症狀分(fēn)析并解決ARP欺騙的問題。

 

  解決ARP最根本的辦法

 

  ARP欺騙和攻擊問題,是企業網絡的心腹大(dà)患。關于這個問題的讨論已經很深入了,對ARP攻擊的機理了解的很透徹,各種防範措施也層出不窮。

 

  但問題是,現在真正擺脫ARP問題困擾了嗎(ma)?從用戶那裏了解到,雖然嘗試過各種方法,但這個問題并沒有根本解決。原因就在于,目前很多種ARP防範措施,一(yī)是解決措施的防範能力有限,并不是最根本的辦法。二是對網絡管理約束很大(dà),不方便不實用,不具備可操作性。三是某些措施對網絡傳輸的效能有損失,網速變慢(màn),帶寬浪費(fèi),也不可取。

 

  本文通過具體(tǐ)分(fēn)析一(yī)下(xià)普遍流行的四種防範ARP措施,去(qù)了解爲什麽ARP問題始終不能根治。并進一(yī)步分(fēn)析在免疫網絡的模式下(xià),對ARP是如何徹底根除的,爲什麽隻有免疫網絡能夠做到。

 

  上篇:四種常見防範ARP措施的分(fēn)析

 

  一(yī)、雙綁措施

 

  雙綁是在路由器和終端上都進行IP-MAC綁定的措施,它可以對ARP欺騙的兩邊,僞造網關和截獲數據,都具有約束的作用。這是從ARP欺騙原理上進行的防範措施,也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。

 

  但雙綁的缺陷在于3點:

 

  1、 在終端上進行的靜态綁定,很容易被升級的ARP攻擊所搗毀,病毒的一(yī)個ARP –d命令,就可以使靜态綁定完全失效。

 

  2、 在路由器上做IP-MAC表的綁定工(gōng)作,費(fèi)時費(fèi)力,是一(yī)項繁瑣的維護工(gōng)作。換個網卡或更換IP,都需要重新配置路由。對于流動性電腦,這個需要随時進行的綁定工(gōng)作,是網絡維護的巨大(dà)負擔,網管員(yuán)幾乎無法完成。

 

  3、 雙綁隻是讓網絡的兩端電腦和路由不接收相關ARP信息,但是大(dà)量的ARP攻擊數據還是能發出,還要在内網傳輸,大(dà)幅降低内網傳輸效率,依然會出現問題。

 

  因此,雖然雙綁曾經是ARP防範的基礎措施,但因爲防範能力有限,管理太麻煩,現在它的效果越來越有限了。

 

  二、ARP個人防火(huǒ)牆

 

  在一(yī)些殺毒軟件中(zhōng)加入了ARP個人防火(huǒ)牆的功能,它是通過在終端電腦上對網關進行綁定,保證不受網絡中(zhōng)假網關的影響,從而保護自身數據不被竊取的措施。ARP防火(huǒ)牆使用範圍很廣,有很多人以爲有了防火(huǒ)牆,ARP攻擊就不構成威脅了,其實完全不是那麽回事。

 

  ARP個人防火(huǒ)牆也有很大(dà)缺陷:

 

  1、它不能保證綁定的網關一(yī)定是正确的。如果一(yī)個網絡中(zhōng)已經發生(shēng)了ARP欺騙,有人在僞造網關,那麽,ARP個人防火(huǒ)牆上來就會綁定這個錯誤的網關,這是具有極大(dà)風險的。即使配置中(zhōng)不默認而發出提示,缺乏網絡知(zhī)識的用戶恐怕也無所适從。

 

  2 、ARP是網絡中(zhōng)的問題,ARP既能僞造網關,也能截獲數據,是個“雙頭怪”。在個人終端上做ARP防範,而不管網關那端如何,這本身就不是一(yī)個完整的辦法。ARP個人防火(huǒ)牆起到的作用,就是防止自己的數據不會被盜取,而整個網絡的問題,如掉線、卡滞等,ARP個人防火(huǒ)牆是無能爲力的。

 

  因此,ARP個人防火(huǒ)牆并沒有提供可靠的保證。最重要的是,它是跟網絡穩定無關的措施,它是個人的,不是網絡的。

 

  三、VLAN和交換機端口綁定

 

  通過劃分(fēn)VLAN和交換機端口綁定,以圖防範ARP,也是常用的防範方法。做法是細緻地劃分(fēn)VLAN,減小(xiǎo)廣播域的範圍,使ARP在小(xiǎo)範圍内起作用,而不至于發生(shēng)大(dà)面積影響。同時,一(yī)些網管交換機具有MAC地址學習的功能,學習完成後,再關閉這個功能,就可以把對應的MAC和端口進行綁定,避免了病毒利用ARP攻擊篡改自身地址。也就是說,把ARP攻擊中(zhōng)被截獲數據的風險解除了。這種方法确實能起到一(yī)定的作用。

 

  不過,VLAN和交換機端口綁定的問題在于:

 

  1、沒有對網關的任何保護,不管如何細分(fēn)VLAN,網關一(yī)旦被攻擊,照樣會造成全網上網的掉線和癱瘓。

 

  2、把每一(yī)台電腦都牢牢地固定在一(yī)個交換機端口上,這種管理太死闆了。這根本不适合移動終端的使用,從辦公室到會議室,這台電腦恐怕就無法上網了。在無線應用下(xià),又(yòu)怎麽辦呢?還是需要其他的辦法。

 

  3、實施交換機端口綁定,必定要全部采用高級的網管交換機、三層交換機,整個交換網絡的造價大(dà)大(dà)提高。

 

  因爲交換網絡本身就是無條件支持ARP操作的,就是它本身的漏洞造成了ARP攻擊的可能,它上面的管理手段不是針對ARP的。因此,在現有的交換網絡上實施ARP防範措施,屬于以子之矛攻子之盾。而且操作維護複雜(zá),基本上是個費(fèi)力不讨好的事情。

 

  四、PPPoE

 

  網絡下(xià)面給每一(yī)個用戶分(fēn)配一(yī)個帳号、密碼,上網時必須通過PPPoE認證,這種方法也是防範ARP措施的一(yī)種。PPPoE撥号方式對封包進行了二次封裝,使其具備了不受ARP欺騙影響的使用效果,很多人認爲找到了解決ARP問題的終極方案。

 

  問題主要集中(zhōng)在效率和實用性上面:

 

  1、PPPoE需要對封包進行二次封裝,在接入設備上再解封裝,必然降低了網絡傳輸效率,造成了帶寬資(zī)源的浪費(fèi),要知(zhī)道在路由等設備上添加PPPoE Server的處理效能和電信接入商(shāng)的PPPoE Server可不是一(yī)個數量級的。

 

  2、PPPoE方式下(xià)局域網間無法互訪,在很多網絡都有局域網内部的域控服務器、DNS服務器、郵件服務器、OA系統、資(zī)料共享、打印共享等等,需要局域網間相互通信的需求,而PPPoE方式使這一(yī)切都無法使用,是無法被接受的。

 

  3、不使用PPPoE,在進行内網訪問時,ARP的問題依然存在,什麽都沒有解決,網絡的穩定性還是不行。

 

  因此,PPPoE在技術上屬于避開(kāi)底層協議連接,眼不見心不煩,通過犧牲網絡效率換取網絡穩定。最不能接受的,就是網絡隻能上網用,内部其他的共享就不能在PPPoE下(xià)進行了。

 

  通過對以上四種普遍的ARP防範方法的分(fēn)析,我(wǒ)們可以看出,現有ARP防範措施都存在問題。這也就是ARP即使研究很久很透,但依然在實踐中(zhōng)無法徹底解決的原因所在了。

 

  下(xià)篇:免疫網絡是解決ARP最根本的辦法

 

  道高一(yī)尺魔高一(yī)丈,網絡問題必定需要網絡的方法去(qù)解決。目前,欣全向推廣的免疫網絡就是徹底解決ARP問題的最實際的方法。

 

  從技術原理上,徹底解決ARP欺騙和攻擊,要有三個技術要點。

 

  1、終端對網關的綁定要堅實可靠,這個綁定能夠抵制被病毒搗毀。

 

  2、接入路由器或網關要對下(xià)面終端IP-MAC的識别始終保證唯一(yī)準确。

 

  3、網絡内要有一(yī)個最可依賴的機構,提供對網關IP-MAC最強大(dà)的保護。它既能夠分(fēn)發正确的網關信息,又(yòu)能夠對出現的假網關信息立即封殺。

 

  免疫網絡在這三個問題上,都有專門的技術解決手段,而且這些技術都是廠家欣全向的技術專利。下(xià)面我(wǒ)們會詳細說明。現在,我(wǒ)們要先做一(yī)個免疫網絡結構和實施的簡單介紹。

 

  免疫網絡就是在現有的路由器、交換機、網卡、網線構成的普通交換網絡基礎上,加入一(yī)套安全和管理的解決方案。這樣一(yī)來,在普通的網絡通信中(zhōng),就融合進了安全和管理的機制,保證了在網絡通信過程中(zhōng)具有了安全管控的能力,堵上了普通網絡對安全從不設防的先天漏洞。

 

  實施一(yī)個免疫網絡不是一(yī)個很複雜(zá)的事,代價并不大(dà)。它要做的僅僅是用免疫牆路由器或免疫網關,替換掉現有的寬帶接入設備。在免疫牆路由器下(xià),需要自備一(yī)台服務器24小(xiǎo)時運行免疫運營中(zhōng)心。免疫網關不需要,已自帶服務器。這就是方案的所需要的硬件調整措施。硬件的價位,從1000多元到10萬元,針對各種不同的企業需求,大(dà)、中(zhōng)、小(xiǎo)、微型企業都能各取所需,選擇的範圍非常廣泛。

 

  軟性的網絡調整是IP規劃、分(fēn)組策略、終端自動安裝上網驅動等配置和安裝工(gōng)作,以保證整個的安全管理功能有效地運行。其實這部分(fēn)工(gōng)作和網管員(yuán)對網絡日常的管理沒有太大(dà)區别。

 

  疫網絡具有強大(dà)的網絡基礎安全和管理功能,對ARP的防範僅是其十分(fēn)之一(yī)不到的能力。但本文談的是ARP問題,所以我(wǒ)們需要回過頭來,具體(tǐ)地解釋免疫網絡對ARP欺騙和攻擊防範的機理。至于免疫網絡更多的強大(dà),可以後續研究。

 

  前述治理ARP問題的三個技術要點,終端綁定、網關、機構三個環節,免疫網絡分(fēn)别采用了專門的技術手段。

 

  1、 終端綁定采用了看守式綁定技術。免疫網絡需要每一(yī)台終端自動安裝驅動,不安裝或卸載就不能上網。在驅動中(zhōng)的看守式綁定,就是把正确的網關信息存貯在非公開(kāi)的位置加以保護,任何對網關信息的更改,由于看守程序的嚴密監控,都是不能成功的,這就完成了對終端綁定牢固可靠的要求。

 

  2、 免疫牆路由器或免疫網關的ARP先天免疫技術。在NAT轉發過程中(zhōng),由于加入了特殊的機制,免疫牆路由器根本不理會任何對終端IP-MAC的ARP申告,也就是說,誰都無法欺騙網關。與其他路由器不同,免疫牆路由器沒有使用IP-MAC的列表進行工(gōng)作,當然也不需要繁瑣的路由器IP-MAC表綁定和維護操作。先天免疫,就是不用管也具有這個能力。

 

  3、 保證網關IP-MAC始終正确的機構,在免疫網絡中(zhōng)是一(yī)套安全機制。首先,它能夠做到把從路由器中(zhōng)取到的真實網關信息,分(fēn)發到每一(yī)個網内終端,而安裝有驅動的終端,隻接受這樣的信息,其他信息不能接受,保證了網關的唯一(yī)正确性。其次,在每一(yī)台終端,免疫驅動都會攔截病毒發出的錯誤網關傳播,不使其流竄到網絡内,把ARP欺騙和攻擊從根源上切斷。

 

  從以上三個措施來看,免疫網絡确實真正解決了困擾已久的ARP問題,技術上是嚴謹的,應用上是可行的,成本也是相對低廉。所以,與常見的四種ARP防範辦法比較,免疫網絡是解決ARP最根本的辦法。

新聞資(zī)訊
聯系我(wǒ)們

聯系電話(huà):020-87518715

聯系郵箱:services@picusit.com

公司名稱:鄭州易科計算機服務有限公司

公司地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601

熱線咨詢電話(huà):

020-87518715

公司地址:
廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601
手機掃碼查看更多
如有問題咨詢請及時與我(wǒ)們溝通,我(wǒ)們會爲您詳細解答!
Copyright © 鄭州易科計算機服務有限公司 地址:廣州市天河區龍口西路100号中(zhōng)明大(dà)廈1601

網站首頁

公司介紹

服務項目

成功案例

技術動态

聯系方式