ARP病毒攻击与防范

ARP病毒攻击与防范（精选9篇）

ARP病毒攻击与防范 第1篇

一、ARP协议简介

ARP协议又称地址解析协议, 英文全称 (Address Resolution Protocol) 。其主要功能为:局域网中, 一台主机同另一台主机通信传输带有MAC地址的数据包, 通过地址解析协议来查询IP地址、目标设备的MAC地址, 以保证主机和主机之间的通信能够顺利进行, 这种对应关系的查询是以ARP缓存表为基础的。校园局域网中的任何一台计算机都在自己的ARP缓冲区中建立一个ARP缓存表, 所建的ARP缓存表会保存局域网中各台电脑的IP地址和MAC地址的相互对照关系。由于, ARP的请求数据通常为以太网广播数据包, 所以, ARP只能解析同一局域网内的MAC地址, 对其它局域网的MAC地址则不起作用。

二、ARP病毒欺骗原理

1. ARP病毒

ARP病毒并不是某种病毒的名称。而是指在局域网中, 黑客利用ARP协议的漏洞, 通过某一区域内一台终端来发布具有欺骗性质的ARP广播数据包, 从而达到盗取用户帐号、嵌入恶意代码、篡改网站页面、发布不良信息等目的。ARP协议是TCP/IP协议组当中的一项协议, 用于将网络地址翻译成MAC地址。ARP病毒攻击的方式主要有两种:路由欺骗和网关欺骗, 此外, ARP病毒属于植入式木马病毒, 对用户的隐私侵害非常大。

2. ARP病毒的攻击原理

ARP协议建立的前提条件就是对其能够解析的局域网内的所有用户保持充分信任。换句话说, 就是局域网中的任意一台主机, 必须保证通信传输的ARP数据包准确、无误, 也正式基于这种信任, 常给一些非法黑客带来可乘之机。实际操作过程中, 绝大多数局域网的网络拓扑结构通常为总线型结构。我们就以总线型局域网中有A、B、C三台主机为例, 来简单介绍一下ARP病毒攻击的过程。正常情况下, 即一台主机A向另一台主机B发送ARP数据包时, 局域网中的主机C也能够收到该数据包, 但由于不是自己的数据包, 所以主机C对其进行了屏蔽并且无任何互动回应。而当ARP病毒发作时, 当主机A向主机B发送数据包, 主机B未能及时回应时, 主机C则抢先向主机A发送数据包, 由于ARP协议对局域网内各个用户都保持充分信任, ARP缓存表从不审核接收到的ARP数据包, 主机C所发送的数据包便被主机A默认为是主机B所发送并顺利接收, 从而使得主机C代替主机B和主机A进行数据传输。

由上述可知, ARP病毒能够顺利攻击的前提是双方主机都充分信任, 在接收数据包时不需要审核认定。此外, ARP协议相互的映射关系并不是长久存在的, 并且没有数据接收的记录痕迹, 所以ARP协议所具备的动态性、无序性、无记忆性也是ARP病毒存在的土壤。

3. ARP病毒的欺骗分类

从对网络连接的影响程度上来看, ARP欺骗主要分为两类:一是对路由器的ARP数据欺骗。病毒是通过查获网关数据来实现的, 它首先向路由器以一定频率发送一系列错误的局域网内部MAC地址, 使其它主机所发送的真实MAC地址无法存储到路由器中, 最终达到路由器向局域网内各主机发送错误数据, 主机无法接收信息的目的;另一类是对局域网内计算机网关的欺骗。病毒是通过建立假网关, 让局域网内被欺骗的主机向假网关发送数据, 使得主机不能通过正常的路由器上网。但假网关的信息处理功能以及自身不断滥发假消息, 最终将导致局域网中所有主机都无法正常上网。

4. ARP病毒的故障现象

一是经常掉线。ARP病毒木马在局域网中, 会通过某一台主机发送数据包欺骗局域网内的主机和路由器, 使局域网内所有主机将携带病毒的主机默认为路由器, 用户在切换时, 携带病毒的主机伪造断线的假象, 迫使用户重新登录服务器, 以达到盗取帐号的目的。二是上网速度较慢。由于携带ARP木马病毒的主机在病毒发作期间, 主动发送大量数据包, 造成局域网数据堵塞并限制自身的数据处理能力, 用户会明显感觉到网速缓慢。

三、相应的防御策略

1. 将IP同MAC地址捆绑

ARP病毒是利用ARP实时动态的规律来达到欺骗局域网中计算机的。所以可将局域网内主机的IP地址、MAC地址进行捆绑, 同时对网络交换设备上的IP地址、MAC地址端口进行捆绑, 将ARP全部设为静态, 这种实行双向绑定后, 可极大程度避免ARP数据欺骗。

2. 采用Vl AN聚合技术和PVLAN技

VLAN聚合技术又称为Super VLAN, 它能够在同一个局域网内形成多个Sub VLAN, 并且将IP子网整体认定为一个VLAN聚合。在VLAN聚合内的IP子网所有的Sub VLAN都使用Super VLAN所默认的网关IP地址, 同时, 每一个不同的Sub VLAN仍保留各自独立的广播域。这样, 局域网内的主机就能同自己的默认网关进行数据通讯。当将交换机的每个端口化为一个Sub VLAN时, 则实现了所有端口的隔离, 便从根本上杜绝了ARP病毒的数据欺骗。PVLAN技术则采用上行VLAN可见, 下行VLAN隔离的双通道技术, 数据交换机将每个端口划分成为一个子VLAN, 在机房就能达到端口隔离的目的。

3. 使用相关病毒软件

对于不经常使用计算机的老师或者同学来说, 使用操作简便、易于安装的相关病毒软件来防范ARP病毒也是一个有效途径。病毒软件中的ARP病毒防火墙以及杀毒程度基于主机IP地址、MAC地址相互绑定而设定, 可以有效地解决ARP病毒的数据欺骗和发送数据包问题。

四、小结

随着计算机技术的迅速发展, 病毒、反病毒技术这一“矛和盾”将会呈交替发展趋势。当然, 技术的发展决定任何一种反病毒技术都不能够有效地杜绝ARP病毒的攻击和防范, 防范计算机病毒攻击的最根本方法依然是快速检测和定位出病毒攻击源头, 并及时处理。高校机房是高校的公共设施, 必须依托于一套贴合实际、有效落实的法律、制度。计算机网络安全并不是网络管理人员的义务, 更应该通过广大网民的自身约束, 不传播和使用非常软件, 通过双方的共同努力、群防群治, 才能够有效地保障高校机房ARP病毒的攻击。

摘要：ARP地址解析协议极易遭受病毒攻击, 如何能够有效防范ARP病毒的欺骗性攻击, 已经成为广大校园网络管理员和用户高度关注的问题。笔者结合自身工作实际, 在对ARP地址解析协议工作机制、ARP病毒的欺骗性攻击工作原理进行充分阐述的基础上, 对如何能够有效防范ARP病毒提出相关解决策略。

关键词：高校局域网,ARP病毒,防御

参考文献

[1]梁亚声, 汪永益, 计算机网络安全技术教程[M], 北京:机械工业出版社, 2005.

[2]高永强, 网络安全技术与应用大典M], 北京:人民邮电出版社, 2003, (3) .

[3]张仁斌等, 计算机病毒与反病毒技术[M], 北京:清华大学出版社, 2006, (6) .

[4]王衍波等, 应用密码学[M], 北京:机械工业出版社, 2003, (8) .

内网ARP攻击的危害及防范方法 第2篇

您是否遇到局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常?您的网速是否时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常?您是否时常听到教职工的网上银行、游戏及QQ账号频繁丢失的消息?

这些问题的出现有很大一部分要归功于ARP攻击，我校局域网自去年5月份开始ARP攻击频频出现，目前校园网内已发现的“ARP攻击”系列病毒已经有了几十个变种。据检测数据显示，APR攻击从未停止过，为此有效的防范ARP形式的网络攻击已成为确保网络畅通必要条件。

一、ARP的基本知识

1、什么是ARP?

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的，ARP协议对网络安全具有重要的意义。

2、ARP协议的工作原理

正常情况下，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有o就直接将数据包发送到这个MAC地址;

如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。

如果不相同就忽略此数据包;如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中，并利用此信息开始数据的传输。

1. 要发送网络包给192.168.1.1，但不知MAC地址?

2. 在局域网发出广播包“192.168.1.1的MAC地址是什么?”

3. 其他机器不回应，只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗，

更何况ARP协议是工作在更低于IP协议的协议层，因此它的危害就更加隐蔽。

二、ARP欺骗的原理

ARP类型的攻击最早用于 之用，网内中毒电脑可以伪装成路由器，盗取用户的密码， 后来发展成内藏于软件，扰乱其他局域网用户正常的网络通信，下面我们简要阐述ARP欺骗的原理：假设这样一个网络，一个交换机连接了3台机器，依次是计算机A，B，C

A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

第三步：在计算机B上运行ARP欺骗程序，来发送ARP欺骗包。

B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址)，MAC地址是DD- DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只有192.168.10.3(C的IP地址)和无效的DD-DD- DD-DD-DD-DD MAC地址。

第四步：欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

上面例子中在计算机A上的关于计算机C的MAC地址已经错误了，所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被 ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。

当局域网中一台机器，反复向其他机器，特别是向网关，发送这样无效假冒的ARP应答信息包时，严重的网络堵塞就会开始。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然无法正常上网。

ARP欺骗攻击原理与防范 第3篇

关键词:ARP;欺骗;网络攻击

中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 03-0031-02

Principles and Precautions of ARP Spoofing Attack

Fang Song,Wang Yanxian

(hunan radio & TV university,ChangSha410004,China)

Abstract: With the development of Internet,Network Attack is increasing more and more with each passing day.We will face the situation that Internet is breaken off without any reason when we use Local Area Network.Most of the Network Administrators may firstly think that there is something wrong with the computer,instead of ignoring the safety of Network. At the present time,the Network Attack depended on ARP in Local Area Network is very prevalent and harmful/dangerous.Internet bars and computer rooms of colleges and universities are the frequently-occurred fields of ARP Spoofing Attack.Therefore,it’s vital/essential for us to understand the principles of ARP Spoofing Attack so that we can take some kind of precautionary measures.

Keywords: Arp;Spoofing;Network Attack

一、ARP协议的作用

数据在网络中传输是通过IP地址来进行路由寻址和确定主机位置的,数据通过物理线路传送到达目的主机,最终是通过MAC地址来完成的,因为IP地址无法被物理网络识别,所以数据通信要解决的问题就是如何获取目的端主机MAC地址以及如何将IP地址转换为MAC地址的问题。ARP(Address Resolution Protocol)地址解析协议就是将计算机的IP地址转化为MAC地址的协议。

二、ARP的工作原理

当计算机通过ARP协议得到目的主机的MAC地址后,会将目的主机的MAC地址保存到自己的ARP缓存表中一段时间,以便下次通信时直接使用。所以当源主机需要将数据包发送到目的主机时,会首先检查自己ARP缓存表中是否存在与目的主机IP地址所对应的MAC地址记录。如果记录存在就直接将数据包发送到这个MAC地址;如果记录不存在,就会向本地网段发起一个ARP查询的广播包查询目的主机所对应的MAC地址。目的主机收到广播包后会应答这个ARP查询请求。同时,当网络中其它主机收到ARP广播包后,会将源主机的IP地址与MAC地址的对应记录保存到自己的ARP缓存表中。

三、ARP欺骗的过程

了解ARP的工作原理后,现在来理解ARP欺骗就不难了。下面以一个具体实例来加深大家对ARP欺骗的理解。

假设局域网中有3台主机,它们分别由交换机连接。拓扑结构、IP地址和MAC地址如图所示。其中主机A为源主机,主机B为目的主机;主机C为ARP欺骗源。

正常情况下,当主机A向主机B发送信息时,必须先获取主机B的MAC地址MAC-B。主机A会查询自己的ARP缓存表,看是否存在IP地址为192.168.1.2对应MAC地址为MAC-B的这条记录。如果存在,便直接发送信息给主机B。如果不存在,主机A将发送一个ARP查询的广播包。这一过程就好比是向网络上所有主机询问:“我的IP地址是192.168.1.1,MAC地址是MAC-A,我现在想知道IP地址是192.168.1.2的主机它的MAC地址是多少?”当网络中其它主机都将收到这条广播信息,但是只有主机B会对这条广播信息作出应答,因为它的IP地址为192.168.1.2。之后它们之间的通信便开始了。

如果这时主机C将自己的IP地址伪装成主机B的IP地址,同时也向主机A发送一个ARP应答,那情况就会变得很糟糕了。主机A将会把保存在ARP缓存表中原本正确的主机B的IP地址与MAC地址对应记录,更新为与主机C的MAC地址对应的记录。即192.168.1.2→MAC-C。这样将导致主机A发往主机B的所有数据都将被发往主机C,这就是ARP欺骗。

四、ARP欺骗的危害

ARP协议为了得到目的主机的MAC地址,会采取广播ARP查询的方式。正是因为ARP协议这种不安全的询问与应答机制,对网络构成很很多危害。

(一)假冒ARP应答缺陷

假设现在有两台主机,分别为主机A和主机B。主机A尚未发送ARP查询,而此时主机B却主动向主机A发送ARP应答。这时主机A也会更新其ARP缓冲表中主机B的MAC地址。这个缺陷将导致任何主机都可以向主机A发送假冒主机B的ARP应答包,如果欺骗成功,主机A和主机B之间的通讯都将被中断。

(二)对网关的干扰

如果欺骗是针对一个局域网当中的网关。例如像学校机房和网吧中所使用的接入层网关,那么局域网中的所有主机将会与外界失

去联系。这种危害是非常大的,不仅使学校的正常教学受到了严重的影响,而且也让网吧蒙受了巨大的经济损失。

(三)大量广播包占用带宽

保存在主机ARP缓存表中的MAC地址与IP地址对应记录,一般会经过一段时间后自动更新。所以被欺骗的主机在经过更新时间后仍然会恢复正常的通信。为了达到ARP欺骗的目的,欺骗方只能在MAC地址更新后再次发送ARP欺骗包。如此反复将导致大量的数据包在网络中传输,耗费网络带宽。

五、防范ARP欺骗的方法

目前对于ARP攻击的防护主要是通过软件和硬件来实现,下面我们来介绍几种常用方法:

(一)IP与MAC绑定法

此方法不需要使用第三方软件,直接利用windows系统自带的ARP命令便可完成。命令行法将网关的IP地址和其对应的MAC地址做静态的绑定,人为阻止ARP缓存的自动更新。我们可以在命令行中输入“ARP-S本地网关的IP地址,本地网关的MAC地址”。例如:“ARP-S192.168.1.1 00-13-32-33-12-11”。一般都是将此命令做成为批处理文件,以便系统每次启动时都能自动绑定。

(二)采用Super VLAN

Super VLAN又称为VLAN聚合,其原理是一个VLAN内包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间相互隔离,不能通信。所有的Sub VLAN都使用Super VLAN的默认网关IP地址与外界联系。如果将交换机的每个端口都设置为一个Sub VLAN,那么便可以实现所有端口的隔离,也就避免了ARP欺骗。

(三)使用第三方软件

目前防范ARP欺骗的软件有很多。如Anti ARP Sniffer、360安全卫士等。360安全卫士是目前使用比较广泛的一款免费杀毒软件,启动该软件提供的ARP防火墙功能后,系统会自动将本机的IP地址和MAC地址、本地网关的IP地址和MAC地址进行绑定。在受到ARP欺骗攻击时还会发出警告。

虽然ARP欺骗危害很大,但当我们知道了它的工作特性后,也能很好的防范它。如果我们能提前做好ARP欺骗的防治工作,相信能将ARP的危害减少到最小的程度甚至杜绝。

参考文献:

[1]计算机网络(第4版)(中文版)

[2]TCP/IP详解 卷1:协议

[3]网管员必读--网络安全(第2版)

作者简介

方颂(1978- ),男,中南大学在职研究生,工程师。

局域网ARP病毒攻击与防范探析 第4篇

计算机病毒伴随着Internet的发展, 传播速度越来越快、破坏能力也越来越强。局域网A R P病毒攻击事件时常出现, 造成网络频繁中断, 病毒发作时计算机网络连接正常, 能登陆成功, 却无法打开网页, 极大地影响了用户的正常使用。调查发现, 主要是因为个别用户计算机感染A R P病毒所导致。笔者结合自己的一些网络管理经验, 对A R P病毒攻击进行了分析和总结, 提出了一些相应的解决方法和防范措施。

1 A RP协议及工作原理

A R P协议:即地址解析协议, 实现通过IP地址得知其物理地址。在TCP/IP网络环境下, 每个主机都分配了一个32位的IP地址, 这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送, 必须知道对方目的主机的物理地址, 这样就存在把IP地址变成物理地址的地址转换问题。以以太网环境为例, 为了正确地向目的主机传送报文, 必须把目的主机的32位IP地址转换成为48位以太网地址, 这就需要在互连层有一组服务协议将I P地址转换为相应的物理地址, 这组协议就是A R P协议。

工作原理:在每台安装有T C P/I P协议的电脑里都有一个A R P缓存表, 表里的IP地址与MAC地址是一一对应的。以主机A (192.168.1.5) 向主机B (192.168.1.1) 发送数据为例:当发送数据时, 主机A会在自己的A R P缓存表中寻找是否有目标主机B的IP地址。如果找到了, 也就知道了目标主机B的M A C地址, 直接把目标主机B的M A C地址写入帧里面发送就可以了;如果在A R P缓存表中没有找到目标主机B的IP地址, 主机A就会在网络上发送一个广播, 向在同一网段内的所有主机发出这样的询问:“我是192.168.1.5, 我的硬件地址是‘主机A的M A C地址’, 请问IP地址为192.168.1.1的主机MAC地址是什么?”网络上其他主机并不响应主机A的A R P询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“1 9 2.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样, 主机A就知道了主机B的MAC地址, 就可以向主机B发送信息了, 同时主机A和主机B都更新了自己的A R P缓存表 (因为主机A在询问的时候把自己的I P和MAC地址一起都告诉了主机B) , 下次主机A再向主机B或者主机B向主机A发送信息时, 就可以直接从各自的ARP缓存表里查找到了。ARP缓存表采用老化机制 (即设置了生存时间TTL) , 在一段时间内 (一般15~20分钟) 如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

2 遭受ARP攻击后现象

ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线, 过一段时间后又会恢复正常。用户频繁断网, IE浏览器频繁出错, 以及一些常用软件出现故障等。如果局域网中计算机是通过身份认证上网的, 会突然出现可认证, 但不能上网的现象 (无法ping通网关) , 重启机器或在MS-DOS窗口下运行命令arpd后又可恢复上网等现象。

ARP欺骗木马只需在局域网内成功感染一台电脑, 就可能导致整个局域网许多用户都无法上网, 严重的甚至可能带来整个网络的瘫痪。该木马发作时, 除了导致用户上网出现时断时续的现象外, 还会窃取用户密码, 如盗取QQ密码、盗取各种网络游戏密码和账号、盗窃网上银行账号进行非法交易活动等。

3 故障原因查找分析

3.1 ARP缓存表查看方法

A R P缓存表是可以查看的, 也可以添加和修改。在M S-D O S命令窗口下运行“arp-a”命令, 就可以查看ARP缓存表中的内容。

用“arp-d”命令可以删除ARP表中所有的内容;

用“arp-d+空格+<指定IP地址>”可以删除指定IP所在行的内容;

用“arp-s”可以手动在ARP表中指定I P地址与M A C地址的对应关系。

3.2 ARP病毒攻击查找过程

(1) 执行arp–a, 列出了:

10.216.96.18 00-0F-EA-11-00-5E

10.216.96.3 00-0F-EA-11-00-5E (改变后的网关M A C地址)

由于之前我们已经知道网关的正确物理地址是00-00-0c-07-0a-01, 此时却变成了00-0F-EA-11-00-5E, 说明10.216.96.18正在利用arp进行欺骗, 冒充网关。

(2) 执行arp-d, 清除ARP缓存列表信息。重新运行arp–a, 看可疑IP地址是否存在, 不存在说明此IP地址正常, 存在则说明该机器有A R P病毒。

(3) 使用tracert命令, 在任意一台受影响的主机上, 在M S-D O S命令窗口下运行如下命令:tracert 61.135.179.148 (外网IP地址) 。假定设置的缺省网关为10.216.96.3, 在跟踪一个外网地址时, 第一跳却是10.216.96.18, 那么10.216.96.18就是病毒源。

通过以上查找分析, 局域网内有计算机感染A R P病毒, 中毒机器的网卡会不断发送虚假的A R P数据包, 告诉网内其它计算机网关的M A C地址是中毒机器的M A C地址, 使其它计算机将本来发送网关的数据从而发送到中毒机器上, 导致整个局域网都无法上网, 乃至整个网络的瘫痪。我们知道局域网中的数据流向是网关→本机, 如果网络有ARP欺骗之后, 数据的流向是网关→攻击者→本机, 因此攻击者能随意窃听网络数据信息。

4 解决方法及防范措施

(1) 合理划分VLAN, 彻底阻止盗用IP、M A C地址, 杜绝A R P的攻击。

(2) 使用可防御A R P攻击的三层交换机, 绑定端口M A C-I P。限制A R P流量, 及时发现并自动阻断A R P攻击端口。

(3) 安装A R P防火墙或者开启局域网ARP防护, 比如360安全卫士等, 并且实时下载安装系统漏洞补丁, 关闭不必要的服务等, 减少病毒的攻击。

(4) 经常更新杀毒软件病毒库, 允许的情况下可设置为每天定时自动更新。

(5) 如果没有安装防范软件, 则可以通过编写简单的批处理程序来绑定网关, 从而防止A R P欺骗。步骤如下:

首先, 获得网关的M A C地址。以Windows XP为例, 点击“开始”→“运行”→输入“cmd”→“确定”→输入“arp-a”, 查看网关的M A C地址;

第二步, 编写批处理文件arp.bat, 内容如下:

@echo off

arp-d

arp-s 10.216.96.3 00-00-0c-07-0a-01 (注:arp-s是用来手动绑定IP地址对应的M A C地址) ;

第三步, 编写完后另存为.bat文件, 并将这个批处理文件拖到Windows开始程序的“启动”中, 重起电脑即可。

5 结束语

A R P协议制定时间比较早, 对于A R P病毒攻击最根本的解决措施就是使用IPv6协议, 因为IPv6定义了邻机发现协议 (NDP) , 把ARP纳入NDP并运行于因特网控制报文协议 (ICMP) 上, 使ARP更具有一般性, 包括更多的内容, 而且不用为每种链路层协议定义一种ARP。

随着网络技术的不断更新, 网络建设的不断完善, 我们已经可以更好的解决A R P攻击问题, 确保网络安全可靠运行。

摘要：局域网中ARP病毒攻击频繁发作, 给用户造成诸多不便。本文从ARP协议及工作原理入手, 深入分析了ARP安全漏洞及病毒攻击原理, 阐明了ARP病毒欺骗的过程, 提出解决方法和防范措施。

ARP病毒攻击与防范 第5篇

最近学校的局域网经常出现上网时快时慢、极其不稳定;局域网内频繁性区域或整体掉线、过一段时间又能上网，不定时发作，从一日几次到一日十多次不等，有时偶尔还出现连续掉线现象。

2 网络故障的诊断

解决办法是，重启交换机和路由器即可恢复正常的网络，排除了网通，交换机，路由器等的故障问题。但此方法只能临时解决问题，不能从根本上解决，过了段时间网速慢、掉线的事件继续发生。于是分析内部网络，首先怀疑ARP的问题。

在任一台电脑主机上“开始->运行->cmd->确定”，用arp–a命令查看

C:Documents and settingsAdministrator>arp-a(命令行输入arp-a后会得到一个列表，显示局域网所有的内网IP+MAC地址)

Interface:192.168.0.254---0X2

可以看到有两台机器的MAC地址相同，(正常的时候可以看到MAC地址均不会相同)。上面的列表中192.168.0.1与192.168.0.3的MAC地址都为00-90-0b-05-9c-38是相同的。可以判定192.168.0.1与192.168.0.3中有一台是中ARP病毒的机器。

3 ARP的解析

ARP是“Address Resolution Protocol”(地址解析协议)的缩写。它工作在数据链路层，在本层与硬件接口联系，同时对上层提供服务。以太网上的每台主机都有两个地址，一个是48位的物理地址，也叫MAC地址, 它储存在网卡中且不能更改。另一个是32位的IP地址，用于在网络中区别不同的主机。每台主机上都有一张ARP缓存表，记录着IP地址与MAC地址的对应关系。当其中任何一台主机需要将一个数据包发送给另外一台主机时，因为只知道目的主机的IP地址，并不知道目的主机的MAC地址，目标MAC地址怎么获得呢?它就要依赖ARP地址解析协议获得了。所谓“地址解析”就是主机在发送帧前将网络层(相当于OSI的第三层)的IP地址解析为数据链路层(OSI的第二层)的物理地址(MAC地址)的过程。

4 ARP的工作原理

每台安装有TCP/IP协议的主机里都有一个ARP缓存表，表里的IP地址与MAC地址是一一相互对应的关系，如下表所示。

我们以主机A向主机B发送数据包为例。发送数据包时，主机A首先在自己的ARP缓存表中寻找是否有目标主机B的IP地址。如果找到了，也就知道了主机B对应的MAC地址，只需把主机B的MAC地址写入帧里面发送就可以了;如果主机A在自己的ARP缓存表中没有找到主机B的IP地址，主机A就会在网络(指局域网或某个网段)上发送一个ARP Request广播数据包，这个数据包中包含主机A自己的IP地址及MAC地址，以及要找的目标主机的IP地址 (如图1) 。网络上所有主机都会收到这个广播数据包，并会检查数据包中要找的目标主

机的IP地址是否和自己的IP地址一致?如果不一致，就丢弃这个数据包。当主机B接收到ARP Request数据包后，发现广播数据包中要找的目标IP地址是自己，则先将主机A的IP地址及MAC地址更新到自己的ARP缓存表中，然后给源主机A发送一个ARP Reply数据包，并做出这样的回应：“192.168.0.2的MAC地址是bb-bb-bb-bb-bb-bb” (如图2) 。这样，主机A在就知道了主机B的MAC地址，它就可以向主机B发送信息。同时主机A还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。

ARP缓存表中的每一个条目都不是永久保存的，ARP缓存表采用了老化机制，根椐自身的存活时间的递减而最终消失，这样可以大大减少ARP缓存表的长度，加快查询速度。

5 ARP的欺骗原理和欺骗过程

ARP欺骗，又叫ARP重新定向，就是攻击者向目标主机不断发送有欺诈性质的ARP数据包，里面含有攻击者伪造的IP地址和MAC地址的对应信息。目标主机在没有发出ARP Request的前题下，收到攻击者的ARP Reply数据包后，也会用数据包中伪造的信息刷新自己的ARP缓存表，如果攻击者定时向目标主机发送该数据包，而且时间间隔比ARP缓存的刷新间隔要短的话，目标主机就会一直维持着一张含有错误信息的ARP缓存表。

从上面可以看出，ARP协议的基础是对局域网内所有的人都信任，这就很容易实现在以太网上进行的ARP欺骗。若对目标A进行欺骗，正常情况下A和C之间进行通信，B却冒充C，向A发送一个自己伪造的ARP Reply，而这个应答中的数据为发送方IP地址是192.168.0.3 (C的IP地址)，MAC地址却是bb-bb-bb-bb-bb-bb。则当A接收到B伪造的ARP Reply后，就会更新自己的ARP缓存表，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。于是A发送给C的所有数据包都变成发送给B的了。这正好是B能够接收到A发送给C的数据包了，欺骗成功。

以上B如果冒充的不是C电脑，而是冒充网关，那后果会更加严重。局域网中的电脑要连接互联网，都要经过局域网中的网关进行转发。在局域网中，网关的IP地址假如为192.168.0.254。如果有一台主机是B的电脑向全网不停的发送IP地址是192.168.0.254, MAC地址是bb-bb-bb-bb-bb-bb进行ARP欺骗广播，局域网中的其它电脑都会更新自身的ARP缓存表，将B电脑当成网关，这样，当它们发送数据给网关，结果都会发送到MAC地址是bb-bb-bb-bb-bb-bb这台电脑中。B电脑就将会监听整个局域网发送给互联网的数据包。让原本流向网关的流量改道流向B电脑，造成受害者不能正常上网，“网络掉线”频繁发生。

6 防范ARP病毒障碍的对策

1) 采用客户机及网关服务器上进行IP-MAC双向静态ARP绑定的办法来解决。

(1) 在所有的客户端机器上做网关服务器的ARP静态绑定。

首先在网关服务器的电脑上查看本机MAC地址

C:Documents and settingsAdministrator>ipconfig/all

Ethernet adapter本地连接:

Connection-specific DNS Suffix.:

Description...........:Realtek RTL8139/810x Family Fast Ethernet NIC

Physical Address.........:00-16-96-10-9A-AC

Dhcp Enabled...........:No

IP Address............:192.168.0.254

Subnet Mask...........:255.255.255.0

然后在客户端机器的DOS命令下做ARP的静态绑定

C:Documents and settingsAdministrator>arp–s 192.168.0.254 00-16-96-10-9A-AC

如有条件，建议在客户机端上做所有其他客户机的IP和MAC地址绑定。

(2) 在网关服务器的电脑上做客户机器的ARP静态绑定

首先在所有的客户端机器上查看IP和MAC地址，命令如上。

然后在网关服务器上做所有客户端服务器的ARP静态绑定。如：

以上ARP的静态绑定最后做成一个批处理文件ARP.bat，内容如下：

保存为arp.bat, 计算机重新启动后需要重新进行绑定，因此可以将该批处理文件arp.bat文件拖到windowsXP默认启动目录[开始]菜单->程序->启动”中。让电脑一启动就执行以上操作，保证配置不丢失。

2) 安装和更新杀毒软件，升级病毒库。

IP和MAC进行绑定后，若更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：建议安装卡巴或者360杀毒或诺顿，另外如果要安装两款杀软的话只要将其中一款关掉，只运行其中一款就不会发生冲突，这三款杀毒软件完全可以杀APR病毒。另外及时进行病毒库更新，也可以抵御层出不穷的各类新病毒的攻击。

3) 及时打好客户端操作系统的补丁。

专家指出，ARP病毒之所以会反复发作，主要是由于目前网页木马都是利用微软系统的漏洞进入到系统里面的，给局域网所有的电脑都打上系统补丁并及时做好系统更新，可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。

4) 在客户端安装防ARP攻击的软件，如AntiARP防火墙，该软件可以有效拦截ARP攻击，保障系统不受ARP欺骗、攻击影响，拦截IP冲突;进行ARP数据分析;监测ARP缓存。自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，查杀ARP病毒。发现本机有对外攻击行为时，自动定位本机感染的恶意程序、病毒程序。

7 结束语

ARP欺骗是目前网络管理，特别是局域网管理中最让人头疼的攻击。ARP欺骗利用的是ARP协议本身的缺陷----信任局域网上的任何人!它的攻击技术含量低，随便一个想做坏事的人都可以通过攻击软件来完成ARP欺骗攻击。同时防范ARP欺骗也没有什么特别有效的方法。当前最根本的办法在客户端自身的防范上，如及时下载安装系统补丁、安装杀毒软件及时升级，安装ARP防火墙等防范软件。另外扫除各种网络障碍，保障网络的通畅，加强网络安全制度建设和提高网络管理人员素质也是极其重要的工作。

参考文献

[1]邱雪松.ARP病毒原理与防御[J].柳钢科技, 2006.

[2]谭敏, 杨卫平.ARP病毒攻击与防范[J].网络安全技术与应用, 2008, (4) .

防范ARP病毒攻击的策略 第6篇

关键词：ARP,攻击,防范,策略

近年来一种“ARP欺骗” (Address Resolution Protocol地址解析协议) 病毒袭击了很多单位的局域网, 导致了网内计算机用户不能正常访问互联网。本校校园网也多次受到ARP病毒的攻击。就此, 谈谈防范ARP病毒的措施。

一、ARP的工作原理

ARP协议是Address Reso Lution Protocol地址解析协议的缩写, 是用来解释地址的协议。具体来说, 就是将网络层IP地址解析为数据链路层地址。TCP/IP协议中规定, 每一台接入局域网的主机都要配置一个32位的IP地址, 而局域网内主机之间的通信是靠一个48位的MAC地址来确定目标, 以太网设备并不识别IP地址, 因此IP驱动器必须把IP地址转换成以太网MAC地址。在这两种地址之间存在着某种静态或动态算法的映射, ARP协议就是用来确定这些映射的协议。

在每台安装有TCP/IP协议的主机里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。我们以主机A向主机B发送数据为例, 当发送数据时, 主机A会在自己的ARP缓存表中查询是否有目标IP地址, 如果查询到目标IP地址, 也就知道目标MAC地址, 直接把目标MAC地址写入帧里面发送;如果没查询到目标IP地址, 主机A就会在网络上发送一个广播“主机B的MAC地址是什么”, 网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应“我是主机B, MAC地址xx-xx-xx-xxxx-xx”, 这样主机A就知道了主机B的MAC地址, 主机A就可以向主机B发送信息, 同时主机A还更新自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查询。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

二、ARP欺骗攻击

通过上面ARP工作原理, 我们可以清楚看到ARP攻击就是通过伪造IP与MAC对应关系实现ARP欺骗, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存表中的IP与MAC条目, 造成在链路层上数据不能传输, 从而引起网络中断。ARP欺骗基本上分为四大类。

第一类是对路由器ARP表的欺骗。毒机告诉路由器一系列错误的网内MAC地址, 并按照特定的频率不断进行, 真实地址信息无法更新保存到路由器中, 因而路由器的所有数据只能按照错误的MAC地址进行发送, 使得正常计算机无法正确接收到信息。

第二类是对局域网内计算机的网关欺骗。此方式是利用毒机建立伪造网关, 让被毒机欺骗的计算机向毒机发送数据, 不能向真实网关发送数据。

第三类是“中间人”攻击。“中间人”攻击又称为ARP双向欺骗, 网络中某台PC上网突然掉线, 一会又恢复, 但是恢复后一直上网很慢, 查看该PC机的ARP表, 网关MAC地址已被修改, 而且网关上该PC机的MAC地址也是伪造的, 该PC机和网关之间的所有流量都转到另外一台机子上。

第四类是泛洪攻击。泛洪攻击导致网络经常中断, 或者网速很慢, 查看ARP表项也都正确, 但是在网络中抓包分析, 发现大量的ARP报文发往交换机、路由器或某台PC机, 导致CPU忙于处理ARP协议, 负担过重, 造成设备没有资源转发正常的数据流量。

三、防范ARP欺骗攻击的策略

可以通过网络升级改造防范ARP欺骗攻击。针对ARP欺骗攻击, 一些网络设备或软件开发商已研发生产了相关软硬件, 可以通过引进这类软硬件设备和网络升级改造, 以防范ARP欺骗攻击, 但这需要一定的经费投入, 在此经费没有到位的情况下, 我们还可以采取以下一些方法。

1、预防措施

防范ARP欺骗攻击最主要是做好预防, 具体可以采用以下措施:

(1) 及时更新计算机的病毒库以及升级操作系统。往往病毒就是利用了Windows系统漏洞入侵个人电脑的, 因此局域网内的每一个用户要及时打上安全补丁, 安装杀毒软件定期扫描, 建议启动操作系统和杀毒软件的自动更新功能。

(2) 使用支持ARP过滤的防火墙。出于成本方面的考虚, 往往大家采用大量的非管理型交换机, 无法进行IP+MAC+端口绑定。当单位的计算机数量比较多的时候在PC端进行IP+MAC地址绑定时, 由于机器重启后需要重新绑定, 虽然可以通过编辑批处理文件的方式自动运行, 但工作量无疑是巨大的, 所以可以采用ARP防火墙或者是支持ARP过滤的防火墙。目前比较流行的有Antiarp防火墙、金山ARP防火墙、奇虎360ARP防火墙、瑞星防火墙等。其中AntiARP因其功能强大且安装简单而深受好评。

(3) 将IP地址和MAC地址进行静态绑定。从前面ARP欺骗的工作原理中可以得知, 欺骗者通过修改ARP缓存表中IP地址所对应的MAC地址来达到欺骗的目的, 如果将IP地址与MAC地址进行静态绑定, 使之不能修改, 则欺骗者的伎俩无法得逞。

(4) 利用各种监测网络的软件及硬件可以检测局域网中每台计算机发出的ARP数据包, 能够发现是否存在ARP欺骗, 以及哪台计算机正在进行ARP欺骗。

2、处理措施

当局域网内已被ARP欺骗攻击, 可以采用以下处理措施。

(1) 客户端将IP地址和MAC地址进行静态绑定

编辑批处理文件jxcia.bat如下

@echo off

arp-d*

arp-s 192.168.1.254 AA-BB-CC-DD-EE-FF

其中:192.168.1.254 AA-BB-CC-DD-EE-FF需要更改为具体的网关IP地址和MAC地址。

Echo off是关闭回显, arp–d*是清空arp表, 最后arp–s是为主机加入一条静态arp记录, 用以保证能够正常访问到网关。把jxcia.bat加入到C:Documents and Settingszhl「开始」菜单程序启动其中, zhl为本地用户开机启动的用户名。

将IP地址和MAC地址进行静态绑定也可以采用编辑注册表, 键值如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

“MAC”=”arp s网关IP地址网关MAC地址”

然后保存成Reg文件以后在每个客户端上点击导入注册表。

(2) 查找并清理毒机

采用技术手段, 查找到感染ARP病毒的计算机。

查找方法一, 在电脑上ping一下网关的IP地址, 然后使用ARP-a的命令看得到的网关对应的MAC地址是否与实际情况相符, 如不符, 可去查找与该MAC地址对应的电脑。

查找方法二, 使用抓包工具, 分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己, 有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易, 第二种处理比较困难, 如果杀毒软件不能正确识别病毒的话, 往往需要手工查找感染病毒的电脑和手工处理病毒, 比较困难。

查找方法三, 使用mac地址扫描工具, nbtscan扫描全网段IP地址和MAC地址对应表, 有助于判断感染ARP病毒对应MAC地址和IP地址。

查找到毒机后, 将其从网络中断开, 然后杀毒。

四、结束语

ARP病毒是利用协议的缺陷进行攻击, 目前要重新设计更改ARP协议是不现实的, 因此网络避免不了ARP攻击, 但我们可以通过采用软、硬件的办法, 双管齐下, 尽量预防网络受到ARP攻击, 使ARP攻击的危害降到最低。解决及防范ARP病毒欺骗有更多更好的方法, 这还有待于我们继续探索研究。

参考文献

[1]陈一匡:《浅析ARP欺骗对校园网的危害及防范》, 《电脑知识与技术》, 2009. (5) 。

[2]程渊:《大型校园网防范ARP病毒入侵方案》, 《科技创新导报》, 2008.04。

[3]张少芳、赵李东:《详解ARP欺骗及防范方法》, 《大众科技》, 2009. (1) 。

ARP病毒攻击与防范 第7篇

随着信息化进程的深入和互联网的迅速发展，信息交流共享日益频繁，网络活动呈级数式增加。与此同时，网络的安全问题也给我们带来了难以想象的影响，人们在享受网络便利的同时又深受安全问题的困扰。其中实现简单、运行高效的TCP/IP协议，它所提供的信息和资源共享是建立在网络内部各节点之间相互信任基础之上的，这使得TCP/IP协议的完全开放性具有诸多安全隐患。作为网络中一种典型的攻击方式，ARP利用TCP/IP协议的漏洞进行欺骗攻击，现已严重影响到人们正常上网和通信安全[1]。而且ARP攻击手段不断升级，攻击方式复杂多样，攻击力度大大增强。

2 ARP欺骗攻击

2.1 ARP协议

在局域网中，当一个主机和另一个主机进行通信，必须知道目标主机的MAC地址，而目标主机的MAC地址通过ARP协议获得。ARP协议是地址解析协议(Address Resolution Protocol)的英文缩写，负责将网络层32位的IP地址转换成48位数据链路层的MAC硬件地址，以保证通信的顺利进行。在局域网络中实际传输的是“帧”，里面含有目标主机的MAC地址[2]。地址解析就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程，ARP协议的基本功能就是执行地址解析，以保证通信的顺利进行。

2.2 ARP攻击方式

ARP协议的缺陷性导致ARP病毒在局域网内的泛滥，其攻击方式一般分为欺骗主机、欺骗网关和双向欺骗3类[3]。

2.2.1 欺骗主机

具体有两种形式，攻击者通过发送错误的网关MAC地址给受攻击者或发送错误的终端MAC地址给受攻击者，从而导致受攻击主机无法与网关或者本网段内的其它计算机终端进行通信。

2.2.2 欺骗网关

攻击者通过发送错误的终端MAC地址给网关，从而导致网关无法和受攻击计算机终端用户进行通信。

2.2.3 双向欺骗

攻击者通过欺骗主机和欺骗网关相结合的方法，导致网关和计算机终端用户无法正常进行通信。

2.3 ARP攻击危害

ARP欺骗攻击可以使局域网内的计算机网速变慢，时断时续，甚至是网络中断。而且这种现象只要在局域网内的任何一台计算机上感染，很快便会蔓延到局域网的其他计算机，极有可能造成整个局域网的网络中断，严重的可能造成整个网络的瘫痪，ARP攻击除了可以影响到用户的正常上网外，还可能在网络上窃取用户密码，盗取账号等[4]。归纳ARP类欺骗攻击的危害可归纳为如下几大类：

(1)网络异常。具体表现为：掉线、IP冲突等。

(2)数据窃取。具体表现为：个人隐私泄漏(例如邮件)、账号被盗用(例如银行账号)。

(3)数据篡改。具体表现为：访问的网页被添加了恶意内容。

(4)非法控制。具体表现为：网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。

3 ARP防御系统建设

3.1 主要内容

ARP病毒攻击防范系统软件是一款局域网管理软件，用于管理局域网，可以在局域网中任意一台机器上运行主程序，可限制各用户上线时所用的IP、时段，并将非法用户隔离出局域网。网络中任一台主机，开机即会被实时检测并记录其网卡地址、所用的IP、上线时间、下线时间等信息，这些信息自动永久保存，并可依各种条件进行查询。一旦有未登记主机接入，软件会自动将其MAC、IP、主机名、上下线时段等信息作永久记录，并可采用声音、向指定主机发消息等多种方式报警，还可以根据管理员的设定，自动对该主机采取IP冲突、与关键主机隔离、与网络中其他所有主机隔离等控制措施。

3.2 功能简析

(1)软件开发了“设置”模块，实现了网络实时“监视”功能，即系统能够实时显示网内所有用户的上网信息，包括网内所有用户的网卡号、所用的IP、上线时间、下线时间等，使网络管理者能够随时掌握网络的运行情况和上网行为，实现了网络管理方式的新突破。

(2)通过开发“用户”管理功能，实现自动拒绝非法用户的上网行为。即可通过系统设置，对非法用户实施“管制”，一旦有未登记主机接入，软件会自动记录其信息并对该主机采取IP冲突、与关键主机隔离等控制措施，使其无法进入网络，从而大幅度降低网络遭受非法侵入的概率，起到了有效保护网络安全的作用。

(3)通过开发“控制”管理功能，解决了网络“病毒源”的查找繁琐、排除困难的问题，系统自动报警，形象地显示“中毒”计算机终端，管理人员可利用该软件进行控制，将其从整个网络中“隔离”，阻止了网内病毒的传播，保证其它用户正常上网，起到了网络畅通率和利用率的作用。

(4)通过开发“用户列表”管理功能，解决了网内计算机用户长期存在的IP地址不能有效管理、时而发生地址冲突的问题。系统可对网内每台主机指定一个固定的IP，当该主机采用超出范围的IP时，系统会判定其为“非法用户”并对其进行控制，使其无法上网。从而防止了网内用户IP地址的人为随意更改,有效保护了广大网络用户的合法权益。

4 结语

ARP病毒攻击防范系统具有可靠性高、监控范围广、占用网络资源少、可实时监控等优势，可以穿透防火墙、对整个局域网用户进行实时监控，部署成本低、利用效率高，全面提高了网络安全维护的效率和质量，提升了局域网网络的安全性和稳定性，适用于局域网内部部署使用。

摘要：本文通过分析ARP攻击的原理、方式和危害,介绍了局域网ARP攻击主动防护系统的功能以及在局域网部署该系统的良好作用。

关键词：ARP攻击,主动防范,局域网,系统

参考文献

[1]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报,2009,28(1):57-59.

[2]郭征,吴向前,刘胜全.针对校园网ARP攻击的主动防护方案[J].计算机工程,2011,37(5):181-183.

[3]史子新.校园网ARP攻击原理与防范[D].兰州:兰州大学,2011.

ARP攻击与防范 第8篇

ARP (Address Resolution Protocol) 是地址解析协议, 是一种将IP地址转化成物理地址的协议。在局域网中, 一个主机要和另一个主机进行直接通信, 除需要知道目标主机的IP地址外, 还必须要知道目标主机的MAC地址。这个目标MAC地址就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。即ARP协议是用来来完成IP地址转换为MAC地址 (即第2层物理地址) 的。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的, 默认情况下, ARP从缓存中读取IP-MAC条目, 缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此, 只要网络上有ARP响应包发送到本机, 即会更新ARP高速缓存中的IP-MAC条目。在DOS窗口输入命令arp-a可以看到如下所示的对应关系:

通过以上示例可以看出, IP地址192.16.16.1对应的物理地址 (即MAC地址) 为aa-aa-aa-aa-aa-aa, 其类型为动态。我们以主机A (192.168.1.1) 向主机B (192.168.1.2) 发送数据为例。当发送数据时, 主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了, 也就知道了目标MAC地址, 直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址, 主机A就会在网络上发送一个广播, 目标MAC地址是“FF.FF.FF.FF.FF.FF”, 这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么”?网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应:“192.168.1.2的MAC地址是bb-bbbb-bb-bb-bb”。这样, 主机A就知道了主机B的MAC地址, 它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

从上面可以看出, ARP协议的基础就是信任局域网内所有的人, 那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗, A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候, 把C的MAC地址骗为DD-DD-DD-DD-DD-DD, 于是A发送到C上的数据包都变成发送给D的了。这就正好是D能够接收到A发送的数据包了, 这样欺骗就成功了。

ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 从而在网络中产生大量的ARP通信量使网络阻塞。用伪造源MAC地址发送ARP响应包, 是对ARP高速缓存机制的攻击。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。当攻击者大量向局域网中发送虚假的ARP信息后, 就会造成局域网中的机器ARP缓存的崩溃。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。因此, 当局域网中的某台机器B向A发送一个自己伪造的ARP应答, 而如果这个应答是B冒充C伪造来的, 即IP地址为C的IP, 而MAC地址是伪造的, 则当A接收到B伪造的ARP应答后, 就会更新本地的ARP缓存, 这样在A看来C的IP地址没有变, 而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行, 而是按照MAC地址进行传输。所以, 那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址, 这样就会造成网络不通, 导致A不能Ping通C。这就是一个简单的ARP欺骗。

2 ARP欺骗的种类

ARP欺骗是黑客常用的攻击手段之一, ARP欺骗分为两种, 一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

前一种ARP欺骗的原理是———截获网关数据。它通知路由器一系列错误的内网MAC地址, 并按照一定的频率不断进行, 使真实的地址信息无法通过更新保存在路由器中, 结果路由器的所有数据只能发送给错误的MAC地址, 造成正常PC无法收到信息;后一种ARP欺骗的原理是———伪造网关。它的原理是建立假网关, 让被它欺骗的PC向假网关发数据, 而不是通过正常的路由器途径上网。在PC看来, 就是上不了网, “网络掉线了”。

一般来说, ARP欺骗攻击的后果非常严重, 大多数情况下会造成大面积掉线。有些网管员对此不甚了解, 出现故障时, 认为PC没有问题, 交换机没掉线的“本事”, 电信也不承认宽带故障。而且如果第1种ARP欺骗发生时, 只要重启路由器, 网络就能全面恢复, 那问题一定是在路由器了。为此, 宽带路由器背了不少“黑锅”。

3 ARP攻击主要的方式

3.1 简单的欺骗攻击

这是比较常见的攻击, 通过发送伪造的ARP包来欺骗路由和目标主机, 让目标主机认为这是一个合法的主机, 便完成了欺骗。这种欺骗多发生在同一网段内, 因为路由不会把本网段的包向外转发, 当然实现不同网段的攻击也有方法, 便要通过ICMP协议来告诉路由器重新选择路由。

3.2 交换环境的嗅探

在最初的小型局域网中我们使用HUB来进行互连, 这是一种广播的方式, 每个包都会经过网内的每台主机, 通过使用软件, 就可以嗅谈到整个局域网的数据。现在的网络多是交换环境, 网络内数据的传输被锁定在特定目标。既已确定的目标通信主机, 在ARP欺骗的基础之上, 可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。

3.3 MAC Flooding

这是一个比较危险的攻击, 可以溢出交换机的ARP表, 使整个网络不能正常通信。

3.4 基于ARP的DOS

这是新出现的一种攻击方式, DOS又称拒绝服务攻击。当大量的连接请求被发送到一台主机时, 由于主机的处理能力有限, 不能为正常用户提供服务, 便出现拒绝服务。这个过程中如果使用ARP来隐藏自己, 在被攻击主机的日志上就不会出现真实的IP, 攻击的同时, 也不会影响到本机。

4 定位ARP攻击源头和防御方法

4.1 定位ARP攻击源头

(1) 主动定位方式:因为所有的ARP攻击源都会有其特征———网卡会处于混杂模式, 可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的, 从而判断这台机器有可能就是“元凶”。定位好机器后, 再做病毒信息收集, 提交给趋势科技做分析处理。

(2) 被动定位方式:在局域网发生ARP攻击时, 查看交换机的动态ARP表中的内容, 确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具, 定位ARP攻击源的MAC。

也可以直接Ping网关IP, 完成Ping后, 用ARP-a查看网关IP对应的MAC地址, 此MAC地址应该为欺骗的MAC。

通过上述方法, 我们就能够快速地找到病毒源, 确认其MAC—〉机器名和IP地址。

4.2 防御方法

(1) 使用可防御ARP攻击的3层交换机, 绑定端口-MAC-IP, 限制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。

(2) 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大地减少该问题的发生。

(3) 在发生ARP攻击时, 及时找到病毒攻击源头, 并收集病毒信息, 可以使用趋势科技的SIC2.0, 同时收集可疑的病毒样本文件, 一起提交到趋势科技的TrendLabs进行分析, TrendLabs将以最快的速度提供病毒码文件, 从而进行ARP病毒的防御。

摘要：全球性的网络化、信息化进程正改变着人们的生活方式, 各学校也建立了自己的计算机网络。但是计算机病毒、网络入侵等也随之危害到了各学校的计算机网络。对威胁学校计算机网络的ARP攻击作了简单介绍, 并对其对应的防范措施进行了说明。

关键词：网络安全,ARP攻击,网络入侵

参考文献

[1]W.Richard Stevens.TCP/IP详解 (卷1) :协议[M].范建华, 胥光辉, 张涛, 译.北京:机械工业出版社, 2000.

[2]杨家海.网络管理原理与实现技术[M].北京:清华大学出版社, 2002.

[3]郭卫兴, 刘旭, 吴灏.基于ARP缓存超时的中间人攻击检测方法[J].计算机工程, 2008 (13) .

ARP攻击与防范措施 第9篇

由于计算机网络具有开放性, 并且联结形式多样, 因此, 无论是在局域网还是在广域网中, 都存在着自然和人为等诸多因素的威胁, 加之网络自身的脆弱性, 致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。其中欺骗类攻击是网络中常见的一种攻击方式, ARP欺骗攻击就是一种典型的欺骗类攻击。因此, 了解ARP攻击的基本原理, 采取有针对性的必要措施, 防患于未然, 才能确保网络信息的保密性、完整性和可用性。

1 ARP协议工作原理

ARP (Address Resolution Protocol, 地址解析

协议) 用来动态地将第三层网络地址转换成数据链路层的物理地址, 也就是通过已知目标设备的IP地址, 找到目标设备的MAC地址, 以保证通信的进行。

在基于以太网交换技术的局域网中, 当数据准备发送时, 由数据链路层将上层数据封装在以太网数据帧中, 然后在以太网中传输。然而在封装过程中, 数据链路层并不知道以太网数据帧头中目的主机的MAC地址, 唯一的信息是IP数据报头中的目的主机IP地址。为了找到与目的主机IP地址相对应的MAC地址, 根据ARP协议, 源主机会发送一个称为ARP Request的以太网数据帧给以太网上的每一个主机, 这个过程称为ARP广播。ARP请求数据帧中包含目的主机的IP地址, 它向以太网上的每一个主机询问“如果你是这个IP地址的拥有者, 请回答你的MAC地址”。只有拥有此IP地址的主机收到这份广播报文后, 才会向源主机回送一个包含其MAC地址的ARP应答。并且, 为了尽量减少广播ARP请求的次数, 每个主机都有一个ARP缓存 (ARP Cache) , 这个缓存存放了最近的IP地址与MAC地址之间的映射记录。ARP缓存表采用老化机制, 主机每隔一定时间或者当收到ARP应答, 都会用新的地址映射来更新ARP缓存, 删除在一段时间内没有使用过的IP地址与MAC地址的映射关系。因为ARP是一个无状态的协议, 所以对于大多数操作系统, 如果收到一个ARP应答, 不管是否在此之前发过ARP请求, 都会更新自己的ARP缓存, 这就为系统安全留下了隐患。

2 ARP欺骗攻击的实现过程

ARP欺骗攻击的核心就是向目标主机发送伪造的ARP应答, 并使目标主机接收应答中伪造的IP与MAC的映射关系, 并以此更新目标主机的ARP缓存。假设网络中, A的IP地址为192.168.0.1, MAC地址为aa-aa-aa-aa-aa-aa, B的IP地址为192.168.0.2, MAC地址为bbbb-bb-bb-bb-bb;C的IP地址为192.168.0.3, MAC地址为cc-cc-cc-cc-cc-cc。

A向B发送一个自己伪造的ARP应答, 而这个应答中的数据发送方IP地址是C的IP地址192.168.0.3, MAC地址是伪造的一个其它地址dd-dd-dd-dd-dd-dd。当B接收到A伪造的ARP应答, B并不知道MAC地址被伪造了, B就会更新它自己本地的ARP缓存。现在和IP地址192.168.0.3对应的MAC地址在B的ARP缓存表上被改变成了一个不存在的MAC地址。从B开始Ping 192.168.0.3, 网卡递交的MAC地址是dd-dd-dd-dd-dd-dd, 结果当然不能Ping通C。如果A向B发送的伪造ARP应答中的MAC地址是aa-aa-aa-aa-aa-aa, 那么B发往C的数据就会错误地发送到A。此时, A就可以窃取C的数据。这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否, 甚至还可以直接对网关进行攻击, 使网络上的计算机发来的数据无法发送到正常网关, 而攻击者可以伪装成网关, 从而截取网络中其他计算机发送的数据。

3 ARP攻击的防范措施

3.1 设置静态ARP缓存表

ARP协议攻击最根本的原理就是改变IP地址与MAC地址的正确对应关系。所以, 可以采取静态ARP表来防范, 就是在目标主机的ARP缓存中设置静态地址映射记录。这样, 当主机A向主机B发送数据前就不需要通过向所在的局域网广播ARP请求来获得B的MAC地址, 它会直接查询ARP静态记录表来获得B的MAC地址。攻击者也就没有机会向A发送ARP应答。但是, 攻击者在未接收到ARP请求的情况下仍凭空伪造ARP应答发送给A, A将拒绝用伪造的数据更新ARP缓存中的静态记录。这种方法的缺点很明显, 就是在经常更换IP地址的局域网环境里, 由于每个主机都采用ARP静态记录, 手工维护十分繁琐, 通常只针对网关建立静态映射。

3.2 交换机上绑定端口和MAC地址

设置交换机的每个端口与MAC地址相对应。如果来自该端口的MAC地址发生变动, 就自动封锁该端口, 使主机无法连接到局域网。这样, 攻击者就无法发送伪造的ARP数据帧, 从而阻止了ARP欺骗的发生。

3.3 禁用网络接口ARP解析

在操作系统中可以做静态ARP协议设置 (因为对方不会响应ARP请求报文) , 并禁止网络接口做ARP解析以对抗ARP欺骗攻击。例如在Linux下使用ifconfig eth0-ARP可以使网卡驱动程序停止使用ARP, 然后建立静态ARP映射“ARP-s IP MAC”, 即可有效防范ARP攻击。

3.4 利用防火墙和防病毒软件加强监控

可以借助防火墙和防病毒软件, 监控进出主机的网络数据。在局域网内的每台机器都安装防火墙软件和防病毒软件, 每个网段也应安装防火墙软件。通过对防火墙和防病毒软件的正确配置, 可以有效的抵御ARP攻击, 以及防范基于ARP的病毒和木马程序的侵入。

4 结束语

本文通过分析ARP协议的工作原理, 探讨了基于ARP协议欺骗攻击的实现过程, 提出了多种可行的安全防御策略, 对于防范ARP欺骗攻击, 一般需要多种措施配合使用, 可以从制度和技术两方面采取多种有效措施防治, 以减少网络受到的危害, 提高工作效率, 降低经济损失。如果要从根本上解决这一问题, 最好的方法是重新设计一种安全的地址解析协议, IPV6中已经考虑到了这个问题, 采用了更安全的方式以防范来自底层的攻击。

参考文献

[1]门飞, 朱磊明.ARP协议攻击原理及其防范[[J].信息网络安全, 2003, 10:26-27.

[2]李海鹰, 程灏, 吕志强.针对ARP攻击的网络防御式设计与实现[J].计算机工程, 2005, 31 (5) :170-171.

[3]徐涛.基于Ethernet的ARP欺骗原理及防御[J].网络安全技术与应用, 2007, 7:22-24.