ARP病毒攻擊原理及改進(jìn)的防范算法

王 芬

摘要:本文針對(duì)目前校園網(wǎng)中地址解析協(xié)議(ARP)病毒的頻繁發(fā)作.分析了ARP安全漏洞及病毒攻擊原理:利用數(shù)據(jù)鏈路層地址解析協(xié)議(ARP)可以實(shí)施“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等攻擊的形式,因?yàn)锳RP協(xié)議具有實(shí)現(xiàn)lP地址到網(wǎng)絡(luò)接口硬件地址(MAC)的映射功能,所以利用此特性在數(shù)據(jù)鏈路層發(fā)動(dòng)的攻擊具有很強(qiáng)的隱蔽性。針對(duì)ARP攻擊的方式,提出了一種防范算法,以先發(fā)送請(qǐng)求和驗(yàn)證發(fā)送端地址方法,有效防范ARP攻擊,提高了網(wǎng)絡(luò)的安全性能。

關(guān)鍵詞:Arp緩存;Arp病毒;arp協(xié)議原理,攻擊

1引言

近一段時(shí)間以來,校園網(wǎng)內(nèi)經(jīng)常受到ARP病毒的攻擊,其病毒攻擊原理是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,破壞內(nèi)網(wǎng)中的主機(jī)和交換路由設(shè)備ARP高速緩存機(jī)制,其癥狀嚴(yán)重時(shí)會(huì)使網(wǎng)絡(luò)流量加大.網(wǎng)絡(luò)設(shè)備CPU利用率過高、交換機(jī)二層生成樹環(huán)路、短時(shí)間內(nèi)斷網(wǎng)(全部斷網(wǎng)或是部分?jǐn)嗑W(wǎng))和主機(jī)上網(wǎng)不穩(wěn)定或交換機(jī)短時(shí)癱瘓的嚴(yán)重狀況。甚至出現(xiàn)盜用網(wǎng)內(nèi)用戶的帳號(hào),密碼等重要信息,給校園網(wǎng)中的有用資源造成很大破壞。

2ARP地址解析協(xié)議分析

針對(duì)ARP病毒攻擊,我們首先分析ARP協(xié)議以及它的工作原理。ARP即地址解析協(xié)議是專門用來確定這些映像的協(xié)議。在網(wǎng)絡(luò)中使用的每臺(tái)裝有TCP/IP協(xié)議的主機(jī)或服務(wù)器內(nèi)都配有一個(gè)ARP緩存表,該表里的IP地址與MAC地址是一一對(duì)應(yīng)的。ARP協(xié)議的結(jié)構(gòu)定義如下:

當(dāng)數(shù)據(jù)發(fā)送成功后就存入ARP緩存表是,下次發(fā)送就直接從表里查找即可。ARP緩存表采用了“老化機(jī)制”,在一段時(shí)間內(nèi)如果表中的某一個(gè)MAC地址沒有使用,就會(huì)被刪除,這樣可以減少ARP緩仔表的長(zhǎng)度,以加快查詢速度。

3ARP攻擊原理

通過上述ARP工作原理得知,系統(tǒng)的ARP緩存表是可以隨時(shí)更新的動(dòng)態(tài)轉(zhuǎn)換表,表中的IP和MAC是可以被修改的,這樣在以太網(wǎng)中很容易實(shí)現(xiàn)ARP欺騙。ARP攻擊可分為幾種:“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等攻擊的形式,表現(xiàn)為對(duì)內(nèi)網(wǎng)pc機(jī)和網(wǎng)絡(luò)交換機(jī)、DHCP服務(wù)的欺騙。

3.1對(duì)內(nèi)網(wǎng)IP/MAC的欺騙

發(fā)送大量持續(xù)偽造的ARP包時(shí),會(huì)造成局域網(wǎng)中的機(jī)器ARP緩存混亂,使網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的情況。

下面通過一個(gè)例子說明:

B站點(diǎn)分別給A站點(diǎn)和C站點(diǎn)發(fā)送假信息,這樣在A、C收到幀以后,A站點(diǎn)和C站點(diǎn)都認(rèn)為是以MAC地址為00-0f-ea-b7-33-71的站點(diǎn)發(fā)送來的信息。這時(shí)B站點(diǎn)的欺騙成功。(下見圖1)

3.2 Switch的CAM欺騙

Switch上同樣維護(hù)著一個(gè)動(dòng)態(tài)的MAC緩存。整個(gè)Switch的端口表CAM是動(dòng)態(tài)的。對(duì)交換機(jī)的CAM 攻擊是指利用木馬程序產(chǎn)生欺騙MAC,快速填滿CAM表,交換機(jī)CAM表被填滿后,交換機(jī)以廣播方式處理通過交換機(jī)的報(bào)文,把以前正常的MAC和Port對(duì)應(yīng)的關(guān)系破壞了,這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。

3.3 DHCP服務(wù)的攻擊

采用DHCP server可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、子網(wǎng)掩碼、網(wǎng)關(guān),DNS等網(wǎng)絡(luò)參數(shù),簡(jiǎn)化用戶網(wǎng)絡(luò)設(shè)置,提高管理效率。但由于DHCP的運(yùn)作通常沒有服務(wù)器和客戶端的認(rèn)證機(jī)制,病毒對(duì)其攻擊的方式通常表現(xiàn)在DHCP server的冒充,DHCP server的DoS攻擊等,所謂冒充是將DHCP服務(wù)器所能分配的IP地址耗盡,然后冒充合法的DHCP服務(wù)器。為用戶分配一個(gè)經(jīng)過修改的DNS server,在用戶毫無察覺的情況下被引導(dǎo)在預(yù)先配置好的假網(wǎng)站,騙取用戶賬戶和密碼等機(jī)密信息。

4ARP病毒分析

ARP病毒多數(shù)屬于木馬程序或蠕蟲類病毒,這種病毒的程序如pwstea1.1emir或其變種,windows2000/xp/2003將受到影響,其病毒的運(yùn)作機(jī)理大多是通過它們組件將其操作系統(tǒng)的一些驅(qū)動(dòng)程序用病毒文件覆蓋掉,然后用病毒的組件注冊(cè)(并監(jiān)視)為內(nèi)核級(jí)驅(qū)動(dòng)設(shè)備并同時(shí)負(fù)責(zé)發(fā)送指令來操作驅(qū)動(dòng)程序(發(fā)送ARP欺騙包,抓包,過濾包等),這些病毒程序破壞表現(xiàn)癥狀為:欺騙局域網(wǎng)內(nèi)所有主機(jī)和交換機(jī),讓局域網(wǎng)中總的信息流量必須經(jīng)過病毒主機(jī)。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通信擁塞以及其自身處理能力的限制,用戶會(huì)感覺上網(wǎng)速度越來越慢。

5防御措施

根據(jù)ARP病毒對(duì)內(nèi)網(wǎng)主機(jī)和交換機(jī)、DHCP服務(wù)器攻擊的特點(diǎn),在防治該病毒時(shí)也必須對(duì)這三個(gè)環(huán)節(jié)加強(qiáng)防護(hù)才能保證問題的最終解決。

5.1應(yīng)急措施

發(fā)現(xiàn)病毒攻擊時(shí)首先從病毒源頭采取措施,直接采取便捷的方法:

在客戶機(jī),輸入命令:arp-a查看網(wǎng)關(guān)IP對(duì)應(yīng)的正確MAC地址,將其記錄下來。注:如果已經(jīng)不能上網(wǎng),則先運(yùn)行一次命令arp -dip_address mac_address將arp緩存中的內(nèi)容刪空,計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)(攻擊如果不停止的話),如:一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線),再運(yùn)行arp-a。手工綁定可在命令窗口下運(yùn)行以下命令:

Arp -s ip_address mac_address

這時(shí),類型變?yōu)殪o態(tài)(static),就不會(huì)再受攻擊影響了。但是,需要說明的是,手工綁定在計(jì)算機(jī)關(guān)機(jī)重開機(jī)后就會(huì)失效,需要再綁定。所以,要徹底根除攻擊,只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī),令其殺毒,方可解決。

5.2一種改進(jìn)的算法

由于ARP協(xié)議是一個(gè)無狀態(tài)的協(xié)議,主機(jī)在接收到 應(yīng)答(或請(qǐng)求)報(bào)文后就更新ARP緩存,而不管是否已經(jīng)發(fā)送了ARP請(qǐng)求.因此,防范ARP欺騙的主要思想就是:規(guī)定接受ARP協(xié)議報(bào)文的順序?yàn)橄劝l(fā)送請(qǐng)求報(bào)文后驗(yàn)證接收應(yīng)答報(bào)文,不符合此順序要求的ARP報(bào)文丟棄處理。按照這種思路,提出一種算法對(duì)ARP協(xié)議報(bào)文進(jìn)行控制,使其更加安全。

由于是先來先應(yīng)答,故設(shè)置兩個(gè)線性表REQ_LIST(請(qǐng)求表)和RES_LIST應(yīng)答表分別保存已發(fā)ARP請(qǐng)求和已收的ARP應(yīng)答數(shù)據(jù)報(bào)文信息,用類C語言描述:

@echo off

c:

ARP -d

cd

ping 202.201.206.48 -n

if exist ipcfg.ini del ipcfg.ini

ipconfig /all >c: ipcfg.ini

if exist phyad.ini del phyad.ini

find "MAC" ipcfg.ini >c:phyad.ini

for /f "skip=2 tokens=12" %%M in (phyad.ini) do set Mac=%%M

if exist IPAd.ini del IPad.ini

find "IP Address" ipcfg.ini >c:IPAd.ini

for /f "skip=2 tokens=15" %%I in (IPAd.ini) do set IP=%%I

arp -s %IP% %Mac%

if exist GateofIP.ini del GateofIP.ini

find "Default Gateway" ipcfg.ini >c:GateofIP.ini

for /f "skip=2 tokens=13" %%G in (GateofIP.ini) do set GateOFIP=%%G

if exist GMac.ini del GMac.ini

arp -a %GateIP% >c:GMac.ini

for /f "skip=3 tok=2" %%H in(GMac.ini) do set GateMac=%%H

arp -s %GateIP% %GateMac%

select case method on

case eof(IPcfg.ini):del IPcfg.ini;

case eof(Phyad.ini):del Phyad.ini;

case eof(IPAd.ini):del IPAd.ini;

case eof(GateofIP.ini):del GateofIP.ini;

case eof(GMac.ini):del GMac.ini;

exit

由于在處理時(shí),增加了網(wǎng)絡(luò)開銷,因此在采應(yīng)該方法時(shí)要綜合考濾網(wǎng)絡(luò)安全和網(wǎng)絡(luò)性能多方面的因素。

6總結(jié)

上述分析了ARP的病毒攻擊機(jī)理,以及這些攻擊給校園網(wǎng)內(nèi)的工作站和Switch、Router等帶來的危害,同時(shí)也可看出設(shè)置靜態(tài)ARP以阻止ARP欺騙攻擊是無效的。并提出了一種改進(jìn)的ARP防范算法,采用該方法時(shí)要綜合考濾網(wǎng)絡(luò)性能和安全要素的關(guān)聯(lián)和互補(bǔ),最終確保網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻(xiàn):

[1]W.Richard Stevens.TCP/IP詳解卷1:協(xié)議.機(jī)械工業(yè)出版社.1999.

[2]Refdom.交換網(wǎng)絡(luò)中的嗅探和ARP欺騙.http://www.xfocus.net.

[3]王敏,黃心漢,熊春LU.交換式?jīng)]備和網(wǎng)絡(luò)的安全缺陷與改進(jìn)措施.計(jì)算機(jī)工程,2000,26(1O).

[4]譚國(guó)真等.Pc機(jī)群環(huán)境下最短路徑并行算法的研究[J].小型微型計(jì)算機(jī)系統(tǒng),2001,22(11):1302-1304.

[5]D E Bel1.L J LaPadula.Secure Computer System:Unified Expositionand Multics Interpretation[R].Tech Report MTR-2997.The MITRECorp oration,Bedford,MA,1975-07.

[6]S Ghazizadeh.O Ilghami.E Sirin eta1.Security-Aware Adaptive DynamicSource Routing Protocol[C].In:27th Annual IEEE Conference on Iz~calComputer Networks,2002.

[7]David B Johnson,David A Maltz.Yih-Chun Hu.The Dynamic SoumeRouting Protocol for Mobile Ad Hoc Networks(DSR).