◆王晓妮 韩建刚
局域网中ARP病毒定位和防御措施研究
◆王晓妮1韩建刚2
(1.咸阳师范学院信息中心 陕西 712000 ; 2.西北机电工程研究所电调室 陕西 712000)
为了防御严重威胁局域网安全ARP病毒,本文分析了ARP协议及其工作原理,ARP协议存在的漏洞及由此造成的危害,提出了两种快速定位ARP病毒源的办法和结合五种有效解决ARP病毒欺骗的防御措施,能够很好地保证局域网的安全。
ARP病毒;ARP协议;漏洞;防御措施
随着通信技术的迅速发展和计算机网络的普及,网络安全问题不容忽视。特别是ARP病毒在局域网中广泛传播,导致局域网中的用户主机成为ARP病毒源。病毒主机时常会经伪装成路由器,有时也会潜伏在应用软件中,便于非法盗取用户网银、QQ等密码和隐私信息,破坏局域网的正常运行。ARP病毒的主要目的就是窃取用户上网的主机信息,病毒发作时会是局域网时断时续,更为严重的是甚至整个网络瘫痪,严重影响用户正常上网。要想彻底查杀ARP病毒,必须要找到病毒源即中毒主机,但是由于ARP病毒主机善于伪装,这就为定位ARP病毒源造成了一定的难度。
ARP协议(Address Resolution Protocol),它是一个地址解析协议,它可以将计算机的32位的IP地址转化成48位的MAC地址,利用ARP协议可以通过目的主机的网络地址,查询到其物理地址,从而确保网络通信畅通无阻。由于局域网中的所有主机间相互通信时不能识别各自的IP地址,MAC地址是主机在网络中的唯一标识,所以必须把IP地址转化成对应的MAC地址才能完成通信。这个地址转化工作必须有ARP协议去完成,其映射方式分为表格或非表格方式两种。
现以局域网中两台主机X(IP:218.195.80.2;MAC:26-35-24-fd-54)和Y(IP:218.195.80.3;MAC:23-44-21-fe-db)之间的通信为例来说明ARP的工作原理,如图1所示。当主机X与Y准备通信时,源主机X先要在其高速缓存中查找目标主机Y的IP地址对应MAC地址是否存在?如果存在直接将MAC地址写入MAC帧中,向Y发送数据完成通信。否则在局域网中向所有主机发送广播ARP请求数据包,询问“IP为218.195.80.3的MAC地址为多少?”正常情况下其余主机收到请求数据包后均不对此做相应,直接忽略。只有主机Y对此做出相应,发送ARP响应报文“我是IP为218.195.80.3主机,我的MAC地23-44-21-fe-db”。X收到响应数据包后更新自己的ARP缓存表并开始通信。
ARP协议是以局域网内各节点绝对可信为基础和前提设计的,是一个无状态的数据链路层高效协议,几乎不会自动检查自己是否发送过ARP数据包,也不知晓收到的ARP响应包的合法性,只要收到响应包便会更新缓存,这便是ARP协议存在的漏洞。该安全漏洞具有动态性、无序性、广播性、无认证和无连接性,ARP病毒正是利用这些漏洞来攻击局域网的,而且这种病毒具有隐蔽性、合法性和欺骗性。局域网中一旦感染了ARP病毒,便会出现网络的稳定性很差、网速很慢,不断提示网络地址冲突,该网段内的所有主机都不能正常上网,严重时整个网络会陷入瘫痪,但重启设备后显示网络正常。黑客正是利用ARP协议设计漏洞来进行网络攻击,盗取上网用户的私密信息,获取非法利益。
图1 ARP协议的工作原理
因为中了ARP病毒的设备其网卡常常会显示为混杂模式,我们可以利用ARP专杀工具在校园网中不断进行扫描,一旦发现网卡有处于混杂模式的设备,那就可能就是中了ARP病毒的攻击。如果交换机的指示灯出现大面积相同频率的闪烁,则表明局域网的这某一个网段中至少有一台主机感染了ARP病毒。
当校园网出现时慢时快、极其不稳定的时候,可以通过这四种方式来定位:
(1)arp-a命令。在不能上网的两台主机的DOS 命令窗口中执行arp-a命令后,发现运行结果中除了它们对应的网关IP和MAC地址外,还存在某个IP,便可断定它对应的MAC地址就是病毒源的了。
(2)tracert命令。在怀疑中ARP病毒主机的DOS命令窗口里输入:tracert61.135.179.148,正常情况下网内的主机仅和网关通信,故ARP cache中只存在网关的物理地址,而如果存在某主机MAC,说明该主机与某主机间存在过通信活动。若某主机既非服务器又非网关,但它在ARP病毒发作期却和校园网中的其它主机进行通信,足以说明它正是ARP病毒的元凶。
(3)Sniffer抓包。把Sniffer抓包工具部署在校园网中,主机通过执行该抓包软件便可捕获到达主机的一切数据包,如果有连续发送ARP请求包的IP,便可定位其对应的物理地址即为ARP病毒源了。
(4)检查三层交换机的动态ARP表里的详细内容,便能找到和确定ARP病毒源攻击的物理地址。
通过对ARP病毒的研究,发现仅靠某种单一的防御措施是根本无法彻底解决,为了更好地防御ARP病毒,可以采取以下这些的具体的防范措施。
做好日常的宣传和培训工作,让用户养成定时更换杀毒软件,及时查杀病毒、升级病毒库和电脑操作系统补丁等好习惯。轻易不要打开不明链接、电子邮件、禁止浏览不文明的网站或色情图片,禁止接收和运行可疑程序或文件,避免下载存在安全隐患软件或网络资源。
针对ARP病毒专杀工具有彩影ARP、360ARP、金山毒霸、瑞星和风云等防火墙等查杀效果都很不错。用户可以根据自己的实际情况,选择适合自己的杀毒软件。为了保证杀毒效果,可以经常不定期地进行专杀工具的更换。
适合用局域网中网络设备IP地址变化较小的区域,审批上网账号,注册时就进行绑定,获取比较安全的用户ARP表,减少用户感染ARP病毒的概率。在交换机端口上手工绑定用户的IP/MAC地址,限制ARP数据包流量,在交换机上设置可信任的ARP端口,并开启端口的ARP报文限速功能等措施杜绝ARP病毒攻击。
根据用户数量多少在路由器或交换机上利用VLAN将局域网划分在不同子网,便于局域网的故障排查和管理,尽可能的缩小ARP病毒的攻击范围。
为了防止和避免非法的ARP数据包通过交换机,在重要或ARP病毒易发区采用具有DAI动态ARP检测和DHCP嗅探功能锐捷S2126G交换机,能够很好地防御ARP病毒。
ARP病毒利用ARP协议自身设计漏洞来对局域网进行欺骗攻击,正因为其原理简单、技术含量低、故便于操作、无孔不入,严重威胁网络安全。本文根据自己多年的网管实战经验,提出了ARP病毒源的定位方法,有效结合了五种防御措施,能够很好地处理局域网中ARP病毒。
[1]李延香,袁辉,刘淑英.校园局域网ARP欺骗攻击的防御方法和实施[J].自动化与仪器仪表,2015.
[2]郭征,吴向前,刘胜全.针对校园网ARP攻击的主动防护方案[J].计算机工程,2011.
[3]石利平.ARP欺骗研究综述[J].计算机与现代化,2011.
[4]许卫明,吴军强,许小东.计算机实验室中的 ARP 病毒防治技术研究[J].绍兴文理学院学报,2012.
咸阳师范学院专项科研基金资助项目(项目编号:13XSYK087)。