孙 博
针对校园网ARP病毒攻击的分析及防范
孙 博
ARP病毒是一种伪造IP地址和MAC地址实现ARP欺骗,从而使网络瘫痪的一种病毒。通过对ARP病毒的攻击原理进行分析,可以总结出一套检测它的方法,并整理出一些平时在校园网维护中对其有效的防范方法,从而提高校园网的安全性。
校园网;ARP病毒;攻击原理;检测和防范
在校园网规模不断扩大、使用人数不断增加的今天,各种网络安全问题不断凸现出来。其中,ARP病毒攻击所引起的网络故障极大地影响了校园网的正常运行。由于ARP病毒传播速度很快、变种众多,且国内外网络安全厂商一时都没有提出有效的解决方案,所以ARP病毒攻击是目前校园网管理和维护中需要迫切解决的一大难题。
校园网络中的关键设备,如路由器、三层交换机、装有TCP/IP协议的电脑等都提供ARP缓存表,用来提高通信速度。ARP病毒攻击通过伪造的MAC地址与局域网中的IP地址对应,并修改路由器或电脑中的ARP缓存表,使得具有合法MAC地址的电脑无法与IP地址对应,从而无法通过路由器连接网络。在掉线重启路由器或交换机之后,ARP缓存表会自动刷新,网络会重新恢复正常。但在短时间内,ARP病毒又会发动攻击使得网络再度瘫痪,如此反复。一些没有经验的网络管理员很容易被这种现象迷惑,以为是路由器或交换机设备故障,从而没有及时处理而产生更严重的后果。
ARP协议的主要功能是将局域网中的IP地址转换成MAC地址,ARP病毒正是通过ARP协议的这一功能,伪造IP地址和MAC地址实现ARP欺骗,从而在网络中产生大量的ARP通信量使网络阻塞,进行ARP重定向和嗅探攻击,使局域网内电脑的ARP表混乱。
迄今在校园网中发现的病毒程序,如PWsteal、lemir或其变种,属于木马/蠕虫类病毒,windows操作系统都会受到影响。影响网络畅通的ARP病毒攻击有两种方式:对三层路由交换机的ARP表欺骗以及对内网网关的欺骗。第一种攻击方式是病毒先截获网关数据,再将一系列的错误的内网MAC信息不断地发送给三层路由交换机,造成其发出错误的MAC地址,导致正常的PC无法收到信息。第二种攻击方式是病毒伪造网关,它先建立一个假网关,让被它欺骗的PC向假网关发送数据,造成PC无法正常连接网络。
ARP病毒对于校园网的日常安全运行造成了很大的阻碍,其危害性可以总结为以下几点。
1.阻止其他用户连接网络,造成局域网瘫痪。将ARP欺骗包指向不能提供数据传输服务的、无效的MAC地址;或指向中毒的主机,但中毒主机不为用户向“真网关”传递数据。这将导致局域网全网掉线,其他主机无法访问网络。
2.盗取用户个人隐私数据,如账号密码等。将ARP欺骗包指向中毒主机的MAC地址,则局域网中被欺骗的主机会将数据传送给中毒主机。中毒主机系统中的病毒可以通过嗅探这些数据的内容,进行包括破译密文等处理,从而得到包括网络游戏、网络银行账号密码在内的各种信息,直接或间接威胁到用户的隐私和财产安全。这样的病毒明显具有木马的性质。
3.修改网关回传数据,并插入恶意代码。ARP欺骗造成的局域网上网断线只是表面现象,更深层的危害在于,ARP欺骗造成了网络数据的违规‘出站’和‘回传’(即被欺骗主机将数据传到了原本不应该被信任的目标)。攻击者因此可以利用‘回传’给他的数据,作出进一步危害用户安全的行为,包括利用数据中的信息发动有针对性的‘进站’攻击(即向被欺骗主机发送带有恶意攻击性代码的数据)。将ARP欺骗包指向中毒主机的MAC地址,中毒主机接收到被欺骗主机传来的信息,并充当“伪网关”,在被欺骗主机与“真网关”之间进行数据交互。然而,“伪网关”得到由“真网关”传来的数据后,在将数据传回给被欺骗主机的过程中,在其中加插了恶意代码,不知情的被欺骗主机接收了数据,主机系统中的应用程序执行了包括恶意代码在内的内容,就直接导致用户的计算机安全遭到破坏。
在了解了ARP病毒的攻击原理之后,笔者在日常校园网的维护和管理中总结出两个检测ARP病毒的方法:1.分析网关ARP缓存表的方法。登陆局域网的上联三层交换机查看其ARP缓存表,这么做的目的是因为ARP病毒攻击主要是针对网关进行攻击,所以在网关的ARP表中会保留错误的MAC记录。如果检查ARP表时发现有很多IP都指向同一个MAC地址,那么此MAC地址对应的主机就是ARP病毒源;如果网关ARP表正常,但存在多主机同一端口连接网关的,也可查出ARP病毒源。2.使用软件抓包法。在校园网内任意一台电脑上运行sniffer抓包软件,如果发现某个IP不断发送ARP请求包,那么一般这台电脑就是ARP病毒源。
在了解了APR病毒的攻击原理和攻击方式后,如何对其进行防范是校园网安全和畅通的关键。对于ARP病毒的防范我们可以从交换机和PC两个层面入手。
交换机层面。目前多数新型号的交换机都支持APR入侵检测功能,如H3C的$3600以上的交换机都加了此功能。它的工作原理是:将经过交换机的所有ARP(请求与回应)报文重定向到CPU,利用DHCP Snooping表或手工配置的IP静态绑定表,对ARP报文进行合法性检测。开启ARP入侵检测功能后,如果ARP报文中的源MAC地址、源IP地址、接收ARP报文的端口编号以及端口所在VLAN与DHCP Snooping表或手工配置的IP静态绑定表表项一致,则认为该报文是合法的ARP报文,进行转发;否则认为是非法的ARP报文,直接丢弃。除了开启ARP入侵检测功能之外,还应该对ARP报文进行限速控制,因为当某一个端口以高频率发送ARP报文的时候会占用交换机大量的CPU资源,严重时甚至会造成交换机死机,所以千万不要忽视这点。开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态。此时,变换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
PC层面。PC层面我们只需要安装一款ARP防火墙,现在的免费杀毒软件都自带了ARP防火墙,如360安全卫士等。
上面介绍了对于ARP攻击的防范,那么在具体的校园网环境下该如何防范ARP病毒,以下我总结了几条我校对于ARP病毒攻击所采取的方法,可以有效地对其进行防范。
1.对于连入校园网的每台电脑的IP和MAC地址进行绑定:在每台电脑进入DOS,输入arp-s网关IP网关MAC地址,回车后即完成了绑定。但是这个操作必须在每次系统启动时进行操作,很麻烦。我们可以把此命令做成一个批处理文件,放在系统的启动里,批处理文件如下:
@echo off
arp-d
arp-s网关的IP网关的MAC地址
2.在接入层交换机的各个端口绑定对应PC的IP/MAC地址。
3.安装最新的杀毒软件。安装如瑞星或360等杀毒软件升级到最新病毒库并定期对机器进行扫描,使用防止ARP攻击的软件如:ARPfix或AntiARP等。
4.处理病毒源。一旦发现ARP攻击,在检测到病毒源机器后对该机器进行杀毒或重做系统操作,这样可以有效的阻断ARP病毒继续对局域网中的其他机器进行攻击。
5.加强密码管理。ARP病毒是一种木马类病毒,对于用户的信息如QQ密码、网银密码等隐私信息都会被它窃取。所以我们必须给交换机的系统管理员设置足够复杂的密码,以防黑客轻易攻陷。也可以禁用一些不用的账户及来宾账户来起到加强安全的目的。
6.使用ARP病毒防火墙。
7.关闭不需要的服务。可以适当地关闭网络共享来起到阻断ARP病毒传播的作用,也包括C$、D$等管理共享。
8.对于移动存储设备的使用加强管理。U盘等移动设备是病毒传播的一个重要途径,在打开U盘前要对其先进行病毒扫描,不要运行陌生的程序。
随着校园网终端的不断增多及信息流量的增加,笔者在管理和维护中遇到了各类问题,摸索出了一些可行的处理方法和防范措施。其中ARP病毒攻击是比较棘手的网络安全问题。在网络技术飞速发展的今天,对于网络管理者提出了更高的要求,只有不断的学习才能在管理中立于不败之地。
[1]凌力.网络协议及网络安全[M].北京:清华大学出版社,2007.
[2]王文寿,王珂.网管员必备宝典—网络安全[M].北京:清华大学出版社,2007.
[3]李俊民,郭艳丽.网络安全与黑客安全宝典[M].北京:电子工业出版社,2010.
责任编辑:郭一鹤
G43
B
1671-6531(2012)02-0133-02
孙博/长春大学光华学院教育技术中心教师(吉林长春130117)。