本文介绍了ARP攻击的原理以及由此引发的网络安全问题。结合实际情况,提出了在校园网中多层次防范的方法,以解决ARP攻击带来的网络安全问题。最后,介绍了一些实用、简单、有效的检测和抵御攻击的方法。
是否遇到局域网频繁局部或整体掉线,重启电脑或网络设备恢复正常?你的网速是不是有时候快,有时候慢,极不稳定,但是单机测试光纤数据一切正常?经常听到教职工网银、游戏、qq账号频繁丢失的新闻吗?
这些问题有很大一部分归因于ARP攻击。从去年5月份开始,我们的局域网频繁出现ARP攻击。目前,在校园网中已经发现了几十种“ARP攻击”病毒。测试数据显示,APR攻击从未停止,需要有效防范ARP网络攻击,保证网络畅通。
一、ARP的基础知识
1.什么是ARP?
ARP协议是“地址解析协议”的缩写。在局域网中,网络中实际传输的是一个“帧”,其中包含目标主机的mac地址。在以太网中,主机必须知道目标主机的MAC地址,才能与另一台主机直接通信。但是你是怎么得到这个目标MAC地址的呢?它是通过地址解析协议获得的。
所谓‘地址解析’,就是主机在发送帧之前,把目的IP地址转换成目的MAC地址的过程。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,保证通信的畅通。
在局域网中,利用ARP协议完成IP地址到第二层物理地址(即MAC地址)的转换,对网络安全具有重要意义。
2.ARP协议的工作原理
一般情况下,每台主机都会在自己的ARP缓存中建立一个ARP表,以表示IP地址和MAC地址的对应关系。当源主机需要向目的主机发送数据包时,它会先检查自己的ARP表中是否有这个IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;
如果没有,向本地网段发起ARP请求的广播包,查询该目的主机对应的MAC地址。ARP请求数据包包括源主机的IP地址、硬件地址和目的主机的IP地址。网络中的所有主机收到这个ARP请求后,都会检查数据包中的目的IP是否与自己的IP地址一致。
如果不是,则忽略该数据包;如果相同,主机先将发送方的MAC地址和IP地址添加到自己的ARP表中,如果这个IP的信息已经存在于ARP表中,则将其覆盖,然后向源主机发送一个ARP响应包,告诉对方这是自己需要查找的MAC地址;在收到这个ARP响应数据包后,源主机会将目的主机的IP地址和MAC地址添加到它的ARP列表中,并使用这些信息开始数据传输。
如图所示:
: 
1.想发送一个网络数据包到192.168.1.1,但是不知道MAC地址?
2.局域网中发出的广播包‘192 . 168 . 1 . 1’的MAC地址是什么?'
3.其他机器不响应,只有192.168.1.1响应‘192 . 168 . 1 . 1的MAC地址是00-aa-00-62-C6-09’
从上面可以看出,ARP协议的基础是信任局域网内的所有人,所以很容易在以太网上实现ARP欺骗。更何况ARP协议工作在比IP协议更低的协议层,所以其危害更加隐蔽。
二、ARP欺骗的原理
ARP攻击首先被用来窃取密码。网络中的中毒电脑可以伪装成路由器,窃取用户密码。后来,它们被嵌入软件中,扰乱了其他局域网用户的正常网络通信。这里简单解释一下ARP欺骗的原理:假设这样一个网络,一台交换机连接三台机器,依次是计算机A、B、c。
a的地址是:IP:192 . 168 . 1 . 1 MAC:aa-aa-aa-aa-aa。
b的地址是:IP: 192.168.1.2 MAC: bb-bb-bb-bb。
c的地址是:IP:192 . 168 . 1 . 3 MAC:cc-cc-cc-cc-cc。
第二步:正常情况下,在电脑A上运行ARP -A查询ARP缓存表,应该会出现以下信息。
接口:接口0x1000003上的192.168.1.1
互联网地址物理地址类型
192.168.1.3 CC-CC-CC-CC-CC-CC动态
步骤3:在计算机B上运行ARP欺骗程序,发送ARP欺骗数据包。
给B A发一个假的ARP回复,这个回复里的数据是发件人的IP地址是192 . 168 . 10 . 3(C的IP地址),MAC地址是DD-DD-DD-DD-DD(C的MAC地址应该是CC-CC-CC-CC-CC-CC,这里是伪造的)。当A收到B伪造的ARP回复时,会更新本地ARP缓存(A不知道是伪造的)。而A并不知道它其实是b发来的,A在这里只有192 . 168 . 10 . 3(C的IP地址)和一个无效的DD-DD-DD-DD-DD MAC地址。
第四步:作弊之后,我们在电脑A上运行ARP -A,查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
接口:接口0x1000003上的192.168.1.1
互联网地址物理地址类型
192.168.1.3动态
上例中,电脑A上的电脑C的MAC地址已经错误,所以即使以后电脑A访问电脑C,这个地址192.168.1.3也会被ARP协议错误地解释为MAC地址DD-DD-DD-DD-DD。
当局域网中的一台机器反复向其他机器,尤其是网关发送这种无效的、伪造的ARP回复包时,就会开始出现严重的网络拥塞。由于网关的MAC地址错误,网络中的电脑发送的数据无法正常发送到网关,自然无法正常上网。
这就造成了我们无法接入外网的问题。另外,因为很多时候网关还是控制我们的局域网(LAN)上网,那么我们的局域网接入就有问题了。下图更直观地展示了ARP欺骗攻击:
三。ARP欺骗的危害
ARP攻击最早出现在去年5月的校园网中。目前,校园网中的计算机感染的“ARP欺骗”病毒有几十种变种。根据这些变种的工作特点和外部特征,大致可以分为三类,其中ARP欺骗’和‘恶意窃听’对学校局域网的正常运行和网络用户的信息安全威胁最大。
只要ARP攻击开始,局域网内的计算机就无法与其他计算机通信,网络对这种病毒没有容忍度。只要局域网中有一台感染了ARP欺骗’病毒的电脑,整个局域网的通信就会中断。
恶意窃听病毒是ARP欺骗系列中危害最大的病毒。不会造成局域网的中断,只会让网络延迟。而中毒主机会截获局域网内的所有通信数据,并将截获的数据发送给特定的外部用户,对局域网用户的网络使用造成非常非常严重的影响,直接威胁自身的信息安全。
四。ARP攻击的原因和特征
正常的局域网应该没有ARP攻击。经过长时间的观察,发现ARP攻击主要由以下原因引起:
1.人为破坏
是有人安装P2P监控软件的主要内网,如P2P终结者、网络执法官、聚网管家、QQ第六感等。恶意监控其他机器,限制流量,或者在内网进行DDOS攻击。
2.特洛伊病毒
传奇、卡丁车、舞团等游戏插件,如:及时雨PK版、奔牛车、舞团等。里面含有一些木马程序,也会造成ARP欺骗。
其实真正恶意闹事的人很少。一两次,闹一闹就腻了。更何况事后网管肯定会找闹事的主机。所以人为破坏是比较好的解决办法。最麻烦的就是使用带有木马的游戏插件,浏览带有恶意代码的网页。
当ARP攻击发生时,最明显的特征就是网络频繁掉线,速度变慢。如果你看看这个过程,你会发现down.exe、1.exe、cmd.exe和9sy.exe中的任何一个或多个都被加了进去。严重时可以自动下载维京病毒logo_1.exe.rundl132.exe,感染可执行文件,图标会变成一朵花。
五、常见的预防方法
目前攻击ARP系列的方式方法多种多样,没有绝对全面有效的防范方法。从实践经验来看,最有效的防范方法是给所有窗口打补丁,正确配置和使用网络防火墙,安装杀毒软件,及时更新病毒库。
对于Windows补丁,不仅仅是SP2(XP)或者SP4(2000),所有后续的安全更新都必须及时完成,最大限度的防止病毒和木马的攻击。此外,正确使用u盘等移动存储设备,防止病毒和木马通过校外电脑传播。
以下是一些防止ARP攻击的常用方法:
1.静态绑定
静态绑定IP和MAC,将主机和网关都绑定到网络中的IP和MAC。
欺骗通过ARP的动态性和实时性规则欺骗内网机器,所以我们可以通过设置所有ARP为静态来解决内网PC的欺骗。同时在网关处也需要IP和MAC的静态绑定,这样双向绑定更安全。缺点是每台电脑都需要绑定,重启后还需要绑定,工作量大。虽然可以通过批处理文件实现绑定,但是也比较麻烦。
2.使用保护软件
目前,arp防护软件种类繁多。我们学校常用的一个软件就是彩影软件的ARP防火墙。
ARP防火墙采用系统内核拦截技术和主动防御技术,包含六大功能模块,可以解决大部分欺骗和ARP攻击带来的问题,从而保证通信安全(保证通信数据不被网管软件/恶意软件监控),保证网络畅通。
3.具有ARP保护功能的网络设备
ARP攻击引起的网络问题是当前网络管理中最令人头疼的攻击,尤其是在局域网管理中。他的攻击技术低,任何人都可以通过攻击软件完成ARP欺骗攻击。同时也没有特别有效的方法来防止ARP攻击。
