[摘 要] 本文介绍了ARP的工作原理,分析了ARP病毒的症状,提出了在校园网中如何防范ARP病毒攻击以及找到感染ARP病毒的机器的办法,以便更好地维护校园网的安全。 [关键词] 校园网; 病毒; 防范; ARP
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 23. 060
[中图分类号] TN915.08 [文献标识码] A [文章编号] 1673 - 0194(2012)23- 0100- 02
我们知道,在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。那么IP地址是如何转换为第二层物理地址(即MAC地址)的呢?在局域网中,这是通过ARP协议来完成的。ARP协议用于将网络中的IP地址解析为硬件地址(MAC地址),以保证通信的顺利进行。ARP协议对网络安全具有重要的意义。
1 ARP的工作原理
(1) 首先,每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。
(2) 当源主机需要将一个数据包发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址以及目的主机的IP地址。
(3) 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址。
(4) 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。这样,源主机就知道了目标主机的MAC地址,它就可以向目标主机发送信息了。同时它还更新了自己的ARP缓存表,下次再向该主机发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp-a”就可以查看ARP缓存表中的内容; 用“arp-d”命令可以删除ARP表中某一行的内容;用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应。
2 ARP病毒的症状
有时候我们会无法正常上网,有时候又好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。这就是我们常说的典型的 ARP攻击网络欺骗行为。
常见ARP攻击有两种类型:ARP扫描和ARP欺骗。
2.1 ARP扫描(ARP请求风暴)
通讯模式(可能):请求→请求→请求→请求→请求→请求 →应答→请求→请求→请求……
出现原因(可能):病毒程序,侦听程序,扫描程序。如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其他主机发出的。如果部署不正确,这些ARP请求广播包是来自和交换机相连的其他主机。
2.2 ARP欺骗
ARP协议并不只在发送了ARP请求后才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。
注意:一般情况下,ARP欺骗的某一方应该是网关。
3 基本ARP病毒防制法
3.1 预防措施
(1) 学校管理员检查局域网病毒,安装杀毒软件(金山毒霸/瑞星,必须要更新病毒代码),对机器进行病毒扫描。
(2) 给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)。
(3) 给系统管理员账户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的账户。
(4) 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其他方法来防护。
(5) 关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C■、D■等管理共享。完全单机的用户也可直接关闭Server服务。
(6) 不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件、外挂程序等。
(7) 设置静态ARP表能忽略执行欺骗行为的ARP应答,达到防范ARP欺骗攻击的目的。
(8) 要想彻底避免ARP欺骗的发生,我们需要让各个计算机的MAC地址与IP地址唯一且相对应。虽然我们可以通过为每台计算机设置IP地址的方法来管理网络,但是遇到那些通过ARP欺骗非法攻击的用户来说,他可以事先自己手动更改IP地址,这样检查起来就更加复杂了,所以说保证每台计算机的MAC地址与IP地址唯一是避免ARP欺骗现象发生的前提。
① 建立DHCP服务器保证MAC地址与IP地址唯一性。首先我们可以在Windows 2000 Server或其他服务器版操作系统上启用DHCP服务,为学校建立一个DHCP服务器,一般来说建议在网关上搭建。因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,由于网关这里有监控程序,所以可以在第一时间发现攻击行为。当然为了减少攻击的发生概率,我们也可以把网关地址设置为网段的第二个地址。
② 建立MAC地址数据库。把学校内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。可以以Excel表格的形式,也可以保存为数据库文件。
③ 禁止ARP动态更新。为了防止网关被随意攻击,我们还需要在网关机器上关闭ARP动态刷新功能,这样即使非法用户使用ARP欺骗攻击网关,对网关是无效的,从而确保主机安全。
(9) 使用ARP防护软件。目前关于ARP类的防护软件比较多,比较常用是欣向ARP工具,AntiARP等。其防护的工作原理是以一定频率向网络广播正确的ARP信息。
3.2 找到感染ARP病毒的机器
(1) 在电脑上ping一下网关的IP地址,然后使用ARP-a命令,看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。
(2) 使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒,往往需要手工查找感 染病毒的电脑和手工处理病毒,比较困难。
(3) 使用MAC地址扫描工具,NbtScan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应的MAC地址和IP地址。
总之,最好的方法,就是对病毒源头的机器进行处理,如杀毒或重装系统。此操作比较重要,解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。
