ARP欺骗:先认识再防御
近年來,隨著信息技術的不斷發展,網絡已深入到人們的日常生活工作中。由于局域網具有網絡資源共享、易統一管理等諸多優點,因此得到了越來越多的重視和普及。但不得不說的是,網絡資源的開放性、共享性和互聯性在給人們帶來生活便利的同時也潛伏著許多安全隱患,針對局域網的病毒種類日益增多,其中以ARP攻擊現象最為突出。本文將對ARP欺騙及其防御措施的相關知識點做簡單梳理,并選取一種具有代表性的ARP病毒進行行為分析并給出手工處理方案。
時常聽說ARP欺騙,那么到底什么是ARP欺騙呢?
局域網的通信不是根據IP地址進行的,而是按照MAC地址進行傳輸的,而ARP(Address Resolution Protocol)就是一種將IP地址轉化成物理地址的協議。ARP攻擊通過偽造MAC地址實現ARP欺騙,下面舉例說明。
| 主機名 | IP地址 | MAC地址 |
| A | 192.168.0.1 | AA-AA-AA-AA-AA-AA |
| B | 192.168.0.2 | BB-BB-BB-BB-BB-BB |
| C | 192.168.0.3 | CC-CC-CC-CC-CC-CC |
表1:IP-MAC對照表
表1顯示的是局域網中A、B、C三臺計算機的IP地址和MAC地址,我們假設B感染了ARP病毒,由黑客后臺操控。黑客會發送偽裝的ARP reply包告訴A說“C的MAC地址是B的MAC地址”,再發送偽裝的ARP reply包告訴C說“主機A的MAC地址是B的MAC地址”。這樣A與C之間的通訊都將先經過B,然后由B進行轉發。于是黑客就可以通過B竊取到所有A與C之間的數據傳輸,并造成A與C的通信失敗,這就是一個簡單且具有代表性的ARP欺騙實例。
如何防御ARP欺騙?
了解了ARP欺騙攻擊原理后,大致可以從以下三個方面進行防范:
1)?提高客戶端本機的安全性
及時更新本機的操作系統和應用程序補丁,防止黑客利用這些漏洞來攻擊用戶。安裝和更新殺毒軟件,開啟主動防御和實時監控,并定期殺毒。
2)?利用交換機防止ARP攻擊
在交換機上綁定MAC地址與IP地址,為每臺主機添加一條IP地址和MAC地址對應的關系靜態地址表,用戶發送數據包時,若交換機獲得的IP和MAC地址與之前建立的映射表匹配,則發送的包能通過,否則將丟棄該數據包,從而有效地防止ARP欺騙。
3)?借助第三方軟硬件
防火墻是一種協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。防火墻可以是一臺專屬的硬件,也可以是一套軟件,通過防火墻可以設置相關網絡規則,強化網絡安全策略,提高局域網數據流的安全性。
感染ARP病毒后的解決方法
盡管做了各種防御措施,但仍有可能百密一疏被病毒鉆了漏洞。如果網絡安全管理員發現局域網表現出網速時快時慢、頻繁性區域或整體掉線等典型的ARP病毒現象時,就要警醒了,這很有可能是感染了ARP病毒,接下來就要開展一系列的“與病毒作斗爭”的工作了。
1)? 首先要在局域網中定位病毒源。定位方法有很多,這里只介紹一種最簡單的,不借助第三方工具的“命令行法”。由于感染ARP病毒的電腦會不斷向全網發送ARP欺騙廣播,使局域網其他電腦動態更新自身的ARP緩存表,將網關的MAC地址更新成染毒機的MAC地址,所以只要在已經受到ARP攻擊的計算機上查看當前網關的MAC地址,就能獲得染毒機的MAC地址了。在cmd命令行提示符窗口中輸入“ARP -a”后回車便可返回當前網關的MAC地址,也就是染毒機的MAC地址。這時我們再根據網絡正常時的IP-MAC對照表就能定位到染毒機的IP地址了。
2)? 將染毒機斷網隔離出來,單獨進行病毒的清除。一般會借助殺毒軟件和一些ARP專殺工具,但如果殺毒軟件不能正確識別病毒的話,就需要手動清除了。
下面通過對某一ARP病毒的分析,簡要介紹其手動處理方法。
Trojan.DL.Win32.Undef.snc病毒行為分析及手動處理方法
病毒運行后會Sleep 30秒鐘沒有任何行為,借此躲避一些殺毒軟件的主動防御和啟發式掃描。然后向系統System32目錄下釋放npf.sys、Packet.dll、WanPacket.dll、wpcap.dll和360smty.exe五個文件。其中npf.sys、Packet.dll、WanPacket.dll和wpcap.dll是winpcap(windows packet capture)抓包工具的正常文件,并且都有合法的數字簽名。360smty.exe才是Arp欺騙病毒,該病毒是從網絡中一款開源ARP工具(ARP cheat and sniffer)修改過來的,會在文件的末尾附加8M的垃圾數據,從而達到防止云上傳查殺的目的。隨后病毒調用特殊參數啟動360smty.exe,使局域網中所有的機器在訪問網頁的時候,會在返回的頁面數據中插入掛馬語句,導致沒有及時更新微軟安全補丁的機器中木馬,并有可能使整個局域網網絡異常。
圖1:病毒釋放的5個文件,只有360smty.exe是病毒程序
由于該病毒對本機影響并不大,所以處理過程很簡單。首先結束360smty.exe進程,然后手工刪除病毒釋放到系統目錄下的5個文件即可。
ARP病毒是目前局域網中較為廣泛傳播的病毒之一,它嚴重威脅著局域網的穩定性和安全性,發作時會導致局域網頻繁中斷甚至最終癱瘓,并盜取局域網用戶私密信息,危害十分嚴重。所以作為網絡安全管理人員對ARP病毒要有一定的認知,方能有效地防御ARP攻擊,希望本文能對大家有所幫助。
總結
以上是生活随笔為你收集整理的ARP欺骗:先认识再防御的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: VC++调用UpdateLayeredW
- 下一篇: WinSock嗅探虚拟主机拿站取webs