论文关键词:网络 arp病毒攻击 mac 防范
论文摘要:蠕虫病毒伴随着internet的发展.传播速度越来越快、破坏能力也越来越强,目前arp攻击技术已经被越来越多的病毒所采用,成为病毒发展的一个新趋势。特别是近期局域网arp病毒攻击事件出现群体高发期,宁夏马莲台发电厂时常出现网络频繁中断现象。调查发现,主要是因为个别用户计算机感染某种arp病毒导致。笔者结合自己的一些网络管理经验,对arp病毒攻击进行了分析和总结,并提出了相应的防范措施。
1、引言:
宁夏马莲台电厂的网络是典型的三层交换,采用了思科的设备,核心层是一台cisco 6500 , 汇聚层是两台cisco 6500,分别连接生产楼和生活区的设备,在生产区楼里如集控室、化验楼、燃供楼、检修间、除灰楼、小车库都挂着cisco 3550作为接入层。全厂一共有200多台计算机通过交换机连成一个局域网。
马莲台电厂网络拓扑图
2、网络故障现象
局域网内的计算机出现外部网站访问速度缓慢,甚至无法打开的现象,客户端用户频繁出现断网并发现ip冲突。WWw.133229.cOM最严重的时候出现部分生产楼网络瘫痪。
3、故障分析:
3.1故障原因查找
在开始不能上网的计算机上运行arp –a,说明:10.216.96.3是网关地址,后面的00-00-0c-07-0a-01是网关的物理地址。此物理地址默认情况下是不会发生改变的,如果发现物理地址不是此地址说明自己已经受到了arp病毒的攻击 。
查找过程:
(1)、执行arp –a 列出了:
10.216.96.18 00-0f-ea-11-00-5e
10.216.96.3 00-0f-ea-11-00-5e (网关)
由于之前我们已经知道网关的正确物理地址是00-00-0c-07-0a-01,此时却变成了00-0f-ea-11-00-5e,说明10.216.96.18正在利用arp进行欺骗,冒充网关。
(2)、执行arp –d 清除arp列表信息。重新运行arp –a看数据类表的可疑ip地址是否存在,不存在说明此ip地址正常;存在,说明该机器肯定有arp病毒。
(3) 使用tracert命令
在任意一台受影响的主机上,在dos命令窗口下运行如下命令:tracert 61.135.179.148(外网ip地址)。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。
3.2 arp攻击原理分析
arp,全称address resolution protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。arp病毒造成网络瘫痪的原因可以分为对路由器arp表的欺骗,和对内网pc的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网mac地址,并按照一定的频率不断更新学习进行,使真实的地址信息无法通过更新保存在路由器中,造成的pc主机无法正常收到回应信息。第二种是通过交换机的mac地址学习机制,当局域网内某台主机已经感染arp欺骗的木马程序,就会欺骗局域网内所有主机和路由器,让所有上网的流量都必须经过病毒主机。
4、调查结论:
通过以上查找分析,局域网内有计算机感染arp 病毒,中毒的机器的网卡不断发送虚假的arp数据包,告诉网内其他计算机网关的mac地址是中毒机器的mac地址,是其他计算机将本来发送网关的数据发送到中毒机器上,导致整个局域网都无法上网,严重乃至整个网络的瘫痪。我们知道局域网中的数据流向是:网关→本机; 如果网络有arp 欺骗之后,数据的流向是:网关→攻击者→本机,因此攻击者能随意窃听网络数据,截获局域网中任一台机器收发的邮件,web浏览信息等,还会窃取用户密码。如盗取qq密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
5、防范所采取措施
5、1 用户端防范措施:
安装arp防火墙或者开启局域网arp防护,比如360安全卫士等arp病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。
如果在没有防范软件安装的情况下,也可以通过编写简单的批处理程序来绑定网关来防止arp欺骗,步骤如下:
(1)首先,获得安全网关的内网的mac地址。以windows xp为例。点击“开始”→“运行”→输入cmd,点击“确定”后,将出现相关网络状态及连接信息,输入arp –a,可以查看网关的mac地址
(2)编写批处理文件arp.bat内容如下:
@echo off
arp –d
arp –s 10.216.96.3(安全网关) 00-09-ac-82-0d (网关的mac地址)注:arp -s 是用来手动绑定网络地址(ip)对应的物理地址(mac)
(3) 编写完以后,点击“文件” →“另存为”。注意,文件名一定要是*.bat,点击保存就可以。
(4) 将这个批处理文件拖到“windows→开始→程序→启动”中,最后重起电脑即可。
5.2 网管员采取的防范措施
(1) 学会使用sniffer抓包软件。
arp病毒最典型的现象就是网络时通时断,用sniffer抓包分析,会发现有很多的arp包。
(2) 在全网部署安装arp防火墙服务端及客户端软件
(3) 使用多层交换机或路由器:接入层采用基于ip地址交换进行路由的第三层交换机。由于第三层交换技术用的是ip路由交换协议,以往的链路层的mac地址和arp协议失效,因而arp欺骗攻击在这种交换环境下起不了作用。
6、结束语
arp欺骗在相当长的时间内还会继续存在,arp欺骗也在不断的发展和变化中,希望广大网络管理员密切注意它,从而减少对我们网络的影响。
参考文献:
[1] 王奇.以太网中arp欺骗原理与解决办法[j].网络安全技术与应用,2007,(2)
[2]谢希仁.计算机网络.北京:人民邮电出版社,2006.
[3] 赵鹏.计算机网络系统中基于arp协议的攻击与保护[j].网络安全技术与应用, 2005.1:101.