基于局域网的ARP病毒的分析与防御(一)
详细内容
[摘 要] 本文针对目前网络中存在的ARP病毒,通过分析ARP协议以及ARP病毒实现攻击的原理,列举了ARP病毒的各种常见现象,并给出了具体的防御方法。
[关键词] ARP协议 ARP病毒 IP地址
随着计算机技术和Inter技术的不断推广应用, 网络逐渐成为人们日常生活中不可缺少的部分。通过网络人们可以完成浏览信息、收发邮件、远程信息管理、与外界进行电子商务交易等活动。但是由于网络的开放性、资源的共享性、联结形式的多样性、终端分布的不均匀性以及网络边界的不可知性, 网络中必然存在众多潜在的安全隐患。近年来, 针对网络的攻击也在不断增加, 其中利用 ARP 协议漏洞对网络进行攻击就是其中的一种重要方式。
一、ARP病毒现象
1.局域网内频繁性地区域或整体掉线,重启计算机或网络设备后恢复正常。
当带有 ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线。出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。
2.网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。
当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道。造成网络设备的承载过重,导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
二、ARP病毒攻击方式
1.中间人攻击。中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间,使他的主机如同两个目标主机通信路径上的一个中继,这样攻击者就可以监听两个目标主机之间的通信。
2.拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求,从而不能对外提供服务的攻击方法。
3.克隆攻击。攻击者首先对目标主机实施拒绝服务攻击,使其不能对外界作出任何反应。然后攻击者就可以将自己的IP与MAC地址分别改为目标主机的IP与MAC地址,这样攻击者的主机变成了与目标主机一样的副本。
三、ARP病毒攻击原理
ARP欺骗的核心思想就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。下面就在理论上说明实施ARP欺骗的过程S代表源主机,也就是将要被欺骗的目标主机;D代表目的主机,源主机本来是向它发送数据;A代表攻击者,进行ARP欺骗。
进一步假设A已知的D的IP地址,于是他暂时将自己的IP地址改为D的IP地址。当S想要向D发送数据时,假设目前他的ARP缓存中没有关于D的记录,那么他首先在局域网中广播包含的D的IP地址的ARP请求。但此时A具有与D相同的IP地址,于是分别来自A与D的ARP响应报文将相继到达S。此时,A是否能够欺骗成功就取决于S的操作系统处理重复ARP响应报文的机制。不妨假设该机制总是用后到达的ARP响应中的地址刷新缓存中的内容。那么如果A控制自己的ARP响应晚于D的ARP响应到达S,S就会将如下伪造映射:D的IP地址 → A的MAC地址,保存在自己的ARP缓存中。在这个记录过期之前,凡是S发送给D的数据实际上都将发送给A。而S却毫不察觉。或者A在上述过程中,利用其它方法直接抑制来自D的ARP应答将是一个更有效的方法而不用依赖于不同操作系统的处理机制。进一步,A可不依赖于上述过程,直接在底层伪造ARP响应报文来达到同样的目的。