反ARP病毒技术研究

2011-06-16 11:00于德海于文静
科技视界 2011年22期
关键词:IP地址网关路由器

于德海 于文静 林 瑜

(中国人民解放军海军航空工程学院训练部教育技术中心 山东 烟台 264001)

1 ARP病毒的主要症状

ARP病毒通过网络中广播虚假的ARP协议包来实现攻击网络的目的,我们称这种现象为ARP欺骗。ARP欺骗分为两种:一种是对路由器ARP表的欺骗。欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,用户无法通过路由器上网;另一种是对内网PC的网关欺骗。欺骗的原理是伪造网关,建立一个假网关,让被它欺骗的PC向假网关发送数据,而不是通过正常的路由器途径上网。在终端用户看来,就是上不了网,网络掉线了。而且在重启计算机或在MS-DOS窗口下运行命令 ARP–d命令,又可以恢复上网了。凡是这种症状的基本上就是感染了ARP病毒[1]-[3]。

判断是否是中了ARP病毒,最简单的方法是利用“ARP–a”命令来查看,如果发现有两个不同主机的 MAC地址一样,或者直接 ping网关IP地址,然后用“ARP–a”查看,如果显示的网关IP地址与原有网关 IP地址不一样,则证明是中了 ARP病毒。另外,还可以在“进程”选项卡中查看是否含有一个名为“MIR0.dat”的进程。如果有,则说明已经中毒。在其上单击鼠标右键,在弹出菜单中选择【结束进程】命令来中止ARP病毒进程。

2 个人ARP病毒的防范措施

关闭Windows自动播放功能对防范ARP病毒攻击十分必要和重要。

2.1 使用组策略编辑器

点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。

2.2 使用金山毒霸提供的禁止自动播放功能

启动毒霸主程序,工具菜单下找到综合设置,在其它设置中选中禁止U盘和硬盘的自动播放功能。(图2)

3 网管人员根治ARP病毒的方法

3.1 基于交换机的防御

图2 金山毒霸禁止自动播放

清除ARP病毒的根本方法就是对交换机进行ARP配置,由于任何ARP包,都必须经由交换机转发,才能到达被攻击目标,只要交换机拒收非法的ARP包,那么ARP攻击就不能造成任何影响,一般交换机都具备防ARP功能。

(1)在交换机上做端口、I P与MAC地址绑定

感染ARP病毒的计算机会将该机器的MAC地址映射到网关的 IP地址上,并且向网段内的所有计算机发出大量的ARP欺骗包。因此会使很多计算机误以为染毒计算机就是网关,所以会造成大量计算机访问Internet时中断。有条件的话,可以在三层交换机上将所连接的计算机做I P与MAC地址的绑定以达到ARP病毒防御的目的。

下面以 H3C交换机为例,在交换机的 E thernet1/0/6口上绑定 I P地址为 192.168.1.2,MAC地址为00-17-31-33-58-a4。

[SwitchA]interface E t hernet1/0/6

[SwitchA-Ethernet1/0/6]ip source static binding ipaddress 192.168.1.2 mac-address 00-17-31-33-58-a4

[SwitchA-Ethernet1/0/6]quit

采用上面的方法配置好所有计算机。

(2)在交换机上划分VLAN减小冲突域

通过交换机上的 VLAN划分可以减小冲突域达到缩减ARP广播区域的目的。划分H3C交换机端口Ethernet1/0/1到 VLAN5,端口 Ethernet1/0/2到 VLAN10。

[SwitchA]vlan 5

[SwitchA-vlan5]port Ethernet 1/0/1

[SwitchA]vlan 10

[SwitchA-vlan10]port Ethernet 1/0/2

(3)通过访问控制列表 ACL防御 ARP欺骗

对于大多数三层交换机,可通过配置过滤源 I P是网关的ARP报文的ACL规则来做到防御。ACL规则如下:

[SwitchA]fire wall enable

[SwitchA]acl number 5000

[SwitchA-acl-adv-5000]rule 0 deny 0806 ffff 2464010101 ffffffff 40

[SwitchA-acl-adv-5000]rule 1 permit 0806 ffff 24000fe9a08000 ffffffffffff 34

rule0禁止switchA的所有端口接收冒充网关的ARP报文,其中 64010101是网关 I P地址 100.1.1.1的16进制表示形式。

rule1允许通过网关发送的 ARP报文,000fe9a08000网关的mac地址。

注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。

[Switch]packet-filter user-group5000(下发 ACL5000的规则。)

这样只有switchA上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的ARP相应报文。

3.2 基于服务器与客户端的防御

在服务器与客户端上安装 ARP防火墙来阻止ARP欺骗,但是ARP防火墙要在全网每台主机上安装,要不然起不到很好的效果。ARP防火墙有很多,有安全 360ARP防火墙、彩影ARP防火墙、金山ARP防火墙等。

3.3 发现染毒计算机与病毒清除

(1)染毒计算机的定位

A.主动定位方式

所有的 ARP攻击源的网卡会处于混杂模式(promiscuous)可以通过 ARPKiller工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是元凶。

B.被动定位方式

在局域网发生 ARP攻击时,查看三层交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域网中部署 Sniffer工具,定位 ARP攻击源的 MAC。在网络不正常的时候,也可以直接 Ping网关 IP,完成 Ping后,用 ARP-a查看网关 IP对应的 MAC地址,此 MAC地址应该为欺骗的MAC地址。

(2)ARP 病毒的清除

首先,断开染毒主机与网络的连接,运行 msconfig命令,在“服务”栏目下停掉可疑启动项,在“启动”栏目下停掉可疑启动项,并记下文件路径,在正常模式下,病毒文件一般删除不了,或者删除后,又马上产生,应切换到安全模式下进行。病毒文件一般存放在 c:wi ndows或c:windowssystem32下,进入安全模式后,打开以上文件夹,点击菜单栏“查看”-“详细信息”,然后,按“修改日期”排序,查找最近日期的可执行文件及相关的DLL文件,对可疑文件进行删除。病毒文件一般将自己设为“隐藏”属性,应点击菜单栏“工具”-“文件选项#”,打开“显示所有文件和文件夹”选项。完成以上操作后,全盘杀毒,重启主机,确认病毒完全处理完毕,才可以恢复网络连接。

通过对ARP病毒原理和症状的分析,本文提出了个人防范ARP病毒的一些有效措施,针对局域网中的ARP病毒特点,研究了根治ARP病毒的方法。病毒的变异和入侵是千变万化的,要想有效的防范网络病毒,还有许多工作需要研究。

[1]范建华.TCP/IP详解[M].北京:机械工业出版社,2003.

[2]寇晓蕤.网络协议分析[M].北京:机械工业出版社,2009.

[3]李利军.2008网管员必读[M].北京:电子影像出版社,2008.

[4]胡冬严.ARP病毒的攻击原理和防护 [J].吉林省教育学院学报,2011,26(5):217-218.

[5]胡建龙,孙蓦,张帆.校园网ARP病毒攻击原理与防御[J].情报杂志,2009,28:155-156.

[6]段煜晖.局域网内ARP病毒的综合防治[J].河南机电高等专科学校学报,2010,18(4):39-40.

猜你喜欢
IP地址网关路由器
买千兆路由器看接口参数
路由器每天都要关
铁路远动系统几种组网方式IP地址的申请和设置
无线路由器的保养方法
IP地址切换器(IPCFG)
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考
应对气候变化需要打通“网关”
一种实时高效的伺服控制网关设计
基于Zigbee与TCP的物联网网关设计