章海寧

（天津中德應(yīng)用技術(shù)大學(xué)，天津 300350）

局域網(wǎng)ARP病毒的攻擊方式和解決辦法研究

章海寧

（天津中德應(yīng)用技術(shù)大學(xué)，天津 300350）

長久以來，ARP病毒攻擊問題成為困擾局域網(wǎng)的一個(gè)難題。為此，文章探討了局域網(wǎng)ARP病毒的攻擊方式和解決辦法。

局域網(wǎng)；ARP病毒；攻擊方式

當(dāng)前，各個(gè)企事業(yè)單位、工作室、學(xué)校和機(jī)關(guān)單位等都建立了自己的局域網(wǎng)。局域網(wǎng)是將計(jì)算機(jī)使用各種通信設(shè)備互聯(lián)在一起的用于資源共享的局部區(qū)域內(nèi)網(wǎng)絡(luò)，具有成本低、傳輸速率高、傳輸信道共享等特點(diǎn)，給工作帶來了極大的便利，但是針對局域網(wǎng)的木馬病毒也紛至沓來，造成電腦經(jīng)常掉線，重啟計(jì)算機(jī)或者是網(wǎng)絡(luò)設(shè)備后，計(jì)算機(jī)又能恢復(fù)正常。查看進(jìn)程，會(huì)看見增加了down.exe, 1.exe, cmd.exe, 9sy.exe中的任意一個(gè)或多個(gè)，嚴(yán)重的還能自動(dòng)還下載病毒，logo_1.exe, .rundl132.exe，感染可執(zhí)行文件，圖標(biāo)變換。不斷彈出“本機(jī)的XXX段硬件地址與網(wǎng)絡(luò)中的XXX段地址沖突”的對話框。同時(shí)網(wǎng)速也出現(xiàn)時(shí)快時(shí)慢，非常不穩(wěn)定，采用單機(jī)進(jìn)行光纖數(shù)據(jù)測試時(shí)，又一切正常。這其實(shí)就是局域網(wǎng)遭地址解析協(xié)議（Address Resolution Protocol, ARP）木馬病毒攻擊，ARP漏洞也成為網(wǎng)絡(luò)攻擊和木馬病毒經(jīng)常利用的漏洞，造成ARP木馬病毒攻擊主要由于局域網(wǎng)內(nèi)的計(jì)算機(jī)遭受病毒引發(fā)，或是操作者利用局域網(wǎng)中的某臺(tái)計(jì)算機(jī)故意發(fā)起，而ARP地址解析協(xié)議的工作過程是這種攻擊行為得以進(jìn)行的關(guān)鍵。

1 ARP協(xié)議的概述

ARP協(xié)議屬于TCP/IP協(xié)議的范疇，其全稱為地址解析協(xié)議，主要根據(jù)IP地址取得物理地址，該協(xié)議提供了從IP地址到物理地址的映射。也就是說，為保證通信的順利進(jìn)行，該協(xié)議通過已知的網(wǎng)絡(luò)層地址得到數(shù)據(jù)鏈路層的MAC地址，其中已知的網(wǎng)絡(luò)層屬于OSI的第三層，亦可稱為IP層，而數(shù)據(jù)鏈路層屬于OSI的第二層，亦可成為MAC層。ARP協(xié)議的工作原理：在以太網(wǎng)中傳輸?shù)臄?shù)據(jù)包是以太包，在局域網(wǎng)中，通過MAc地址傳輸數(shù)據(jù)包，為實(shí)現(xiàn)數(shù)據(jù)傳送的準(zhǔn)確性，需要借用ARP緩存表，這樣的緩存表普遍存在于局域網(wǎng)內(nèi)的每一臺(tái)主機(jī)中，以保證IP地址與MAC的一對一性。具體來說，首先是主機(jī)A向主機(jī)B發(fā)送報(bào)文，并查詢本地的ARP緩存表，確認(rèn)目標(biāo)IP地址的物理地址，與此同時(shí)，這些IP地址以及硬件地址被存入主機(jī)的ARP緩存當(dāng)中，當(dāng)再一次發(fā)送請求時(shí)，可通過直接查找ARP緩存，便可實(shí)現(xiàn)IP地址與MAC地址的一一對應(yīng)，繼而開展數(shù)據(jù)傳輸。當(dāng)查詢不到目標(biāo)計(jì)算機(jī)mac地址的時(shí)候，則A會(huì)發(fā)起ARP請求報(bào)文，以廣播包的形式向本地網(wǎng)段查問與目標(biāo)計(jì)算機(jī)的IP相對應(yīng)的MAC地址，報(bào)文的具體內(nèi)容是：主機(jī)A的IP地址到物理地址的映射及主機(jī)B的IP地址，請求主機(jī)B回答其物理地址。如此一來，局域網(wǎng)內(nèi)所有的主機(jī)均能收到含有上述內(nèi)容的ARP請求報(bào)文，這當(dāng)然也包括主機(jī)B，隨后所有主機(jī)檢查并識(shí)別該數(shù)據(jù)包中的目的IP及其自己的IP地址，主機(jī)B識(shí)別出數(shù)據(jù)包中的目的IP就是自己的IP地址，便會(huì)向主機(jī)A發(fā)送ARP響應(yīng)報(bào)文，該相應(yīng)報(bào)文中回復(fù)了主機(jī)B的MAC地址，當(dāng)主機(jī)A收到來自主機(jī)B的相應(yīng)之后，會(huì)更新本地的ARP緩存，繼而使用這個(gè)MAC地址發(fā)送數(shù)據(jù)。在局域網(wǎng)內(nèi)，本地網(wǎng)絡(luò)得以順利流通，主要是依靠ARP緩存表，而ARP緩存表是不斷變化的，假設(shè)在ARP緩存表中已經(jīng)包含了所需的IP信息，該IP信息會(huì)被覆蓋，并向數(shù)據(jù)源主機(jī)發(fā)送出ARP響應(yīng)數(shù)據(jù)包，以訴諸數(shù)據(jù)源主機(jī)自己需要查找的MAC地址是什么。

ARP協(xié)議的屬性就是信任局域網(wǎng)內(nèi)所有的人，具體表現(xiàn)為，該協(xié)議只需認(rèn)定目標(biāo)地址與自身的mac是否一致，一旦一致，便會(huì)第一時(shí)間接收，并回應(yīng)對方請求，正因?yàn)檫@樣無條件的信任，而從不檢查所受到的數(shù)據(jù)包、應(yīng)答包的真實(shí)性及合法性，極易出現(xiàn)以太網(wǎng)上的ARP欺騙。電腦不斷刷新ARP表以確保ARP表的有效性，即便網(wǎng)絡(luò)中出現(xiàn)欺騙包，也會(huì)被無條件地接收，繼而欺騙包的ip地址和mac地址被更新到ARP緩存表中，且由于ARP協(xié)議層的工作級別低于IP協(xié)議層，因而欺騙包及其欺騙性的ip、mac地址所表現(xiàn)出的危害性更為隱蔽。

2 局域網(wǎng)ARP病毒的攻擊方式

2.1 冒充網(wǎng)關(guān)IP地址

病毒制造者將目光投向局域網(wǎng)，發(fā)送偽造的網(wǎng)關(guān)arp報(bào)文，病毒制造者就是利用主機(jī)通過ARP協(xié)議來尋找網(wǎng)關(guān)的MAC地址的，獲取網(wǎng)關(guān)的MAC地址后，主機(jī)就可以直接把數(shù)據(jù)包發(fā)給網(wǎng)關(guān)這一特點(diǎn)。把同網(wǎng)段內(nèi)其他終端的網(wǎng)關(guān)mac重定向到錯(cuò)誤的mac地址，造成局域網(wǎng)的其他用戶上不了網(wǎng)。

2.2 ARP欺騙供給

當(dāng)電腦收到ARP應(yīng)答數(shù)據(jù)包之后，隨即會(huì)及時(shí)更新本地的ARP緩存，同時(shí)將接收到的目標(biāo)主機(jī)IP地址和MAC地址存儲(chǔ)在ARP緩存當(dāng)中，這給ARP欺騙供給提供了有利時(shí)機(jī)。如果操作者利用局域網(wǎng)中的主機(jī)B給主機(jī)A發(fā)送一個(gè)偽造的ARP應(yīng)答，該應(yīng)答由B冒充路由偽造而成，就是說，主機(jī)B所偽造的ARP應(yīng)答中，其IP地址實(shí)際上是另一臺(tái)機(jī)器C的IP地址，其MAC地址則是路由的，當(dāng)主機(jī)A受到這項(xiàng)欺騙性質(zhì)的ARP應(yīng)答之后，將其應(yīng)答的內(nèi)容更新至本地緩存中。由于局域網(wǎng)內(nèi)部是通過MAC地址實(shí)現(xiàn)網(wǎng)絡(luò)流通，而并非通過IP地址，因而當(dāng)主機(jī)A接受到主機(jī)B偽造的ARP應(yīng)答，會(huì)認(rèn)為機(jī)器C的IP地址并未改變，但其MAC地址已經(jīng)路由改變。如此一來，主機(jī)A將C的MAC地址改為MAC地址，當(dāng)主機(jī)A向B發(fā)生路由數(shù)據(jù)時(shí)，數(shù)據(jù)會(huì)發(fā)送給機(jī)器C。

2.3 ARP泛洪攻擊

攻擊者通過不斷發(fā)送偽造的ARP廣播數(shù)據(jù)包，對于局域網(wǎng)內(nèi)的所有主機(jī)與網(wǎng)關(guān)給予廣播，搶占網(wǎng)絡(luò)帶寬予干擾正常通信，造成網(wǎng)關(guān)ARP表項(xiàng)被占滿，最終使得交換機(jī)忙于處理廣播數(shù)據(jù)而耗盡網(wǎng)絡(luò)帶寬。同時(shí)局域網(wǎng)內(nèi)部的主機(jī)或者網(wǎng)關(guān)不能找到正確的通信對象，最終使得正常通信被阻斷，讓合法用戶的ARP表項(xiàng)不能正常學(xué)習(xí)工作。

3 局域網(wǎng)ARP病毒攻擊的解決辦法

3.1 安裝ARP防火墻

安裝ARP防火墻，如360安全衛(wèi)士、金山衛(wèi)士、卡巴斯基、瑞星殺毒軟件等，在局域網(wǎng)中，計(jì)算機(jī)感染ARP類型病毒以后，可以從防火墻的日志中判斷出感染病毒的主機(jī)。感染病毒的主機(jī)會(huì)不斷地發(fā)出大量數(shù)據(jù)包，假設(shè)在日志里看到來自同一IP的大量數(shù)據(jù)包，這樣就說明這臺(tái)機(jī)器感染病毒了。安裝ARP防火墻所具備的主要功能，首先這些軟件具有通過在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包和主動(dòng)通告網(wǎng)關(guān)本機(jī)正確的MAC地址，保障系統(tǒng)不受ARP欺騙、ARP攻擊影響，并保障本機(jī)ARP緩存表的正確性，確保單機(jī)和網(wǎng)關(guān)間數(shù)據(jù)流向不經(jīng)過第三方軟件，保持網(wǎng)絡(luò)暢通和通訊安全。其次攔截IP沖突。在系統(tǒng)內(nèi)核層攔截接收到的IP沖突數(shù)據(jù)包，這樣可以杜絕本機(jī)因IP沖突造成掉線等問題發(fā)生。再次自動(dòng)監(jiān)測本機(jī)ARP緩存表，假設(shè)有網(wǎng)關(guān)MAC地址被惡意程序篡改，就會(huì)發(fā)出報(bào)警，并進(jìn)行自動(dòng)修復(fù)，以確保網(wǎng)絡(luò)暢通和通訊安全。最后主動(dòng)防御。主動(dòng)與網(wǎng)關(guān)保持通訊，通告網(wǎng)關(guān)正確的MAC地址，保障網(wǎng)關(guān)不受ARP欺騙影響，確保網(wǎng)絡(luò)暢通和通訊安全。

3.2 把IP和MAC靜態(tài)綁定

欺騙是以ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，因此把ARP全部設(shè)置為靜態(tài)就能解決對內(nèi)網(wǎng)PC的欺騙行為，同時(shí)還要把主機(jī)與網(wǎng)關(guān)都做IP和MAC綁定，這樣可以實(shí)現(xiàn)最簡單有效的ARP攻擊防御措施。但是由于內(nèi)網(wǎng)可能涉及的計(jì)算機(jī)數(shù)量大，每臺(tái)電腦要實(shí)現(xiàn)雙向綁定IP，MAC，其工作量非常大，根本無法完成，而且在電腦重啟以后，ARP路由表會(huì)被清除，仍需綁定，面對這樣的問題，可以采用批處理方式來解決，把運(yùn)行的文件加入到開機(jī)運(yùn)行中，就可以解決這個(gè)問題的存在。

3.3 VLAN技術(shù)隔離端口

VLAN即為虛擬局域網(wǎng)，是為確保部分安全性比較敏感的部門不被隨意訪問瀏覽而實(shí)現(xiàn)的網(wǎng)絡(luò)用戶邏輯分段，要順利開展工作，需要將其連接到第二層交換機(jī)端口，并根據(jù)用戶的需要開展網(wǎng)絡(luò)分段，而不應(yīng)受限于網(wǎng)絡(luò)用戶的物理位置。此外，為了杜絕當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)的設(shè)備數(shù)量增加到一定規(guī)模后，造成數(shù)量龐大的廣播報(bào)文消耗網(wǎng)絡(luò)帶寬，以限制有效數(shù)據(jù)的傳遞問題。因此局域網(wǎng)的管理人員可以將網(wǎng)絡(luò)規(guī)劃出很多個(gè)VLAN，當(dāng)有非法用戶在利用ARP欺騙攻擊網(wǎng)絡(luò)時(shí)，或者是因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)管理員可先找到該用戶所在的交換機(jī)端口，并把該端口劃一個(gè)單獨(dú)的VLAN，把該用戶和局域網(wǎng)里的其他用戶隔離開來，以保證其他用戶安全。

[1]邢少銘.淺析ARP攻擊及防范[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2011（13）：30-31.

[2]袁華，張凌.一個(gè)地址解析協(xié)議的實(shí)驗(yàn)教學(xué)案例[J].計(jì)算機(jī)教育，2015（22）：83-87.

[3]李芳，夏宇.地址解析協(xié)議病毒攻擊與防御分析[J].軟件，2013（2）：121-123.

[4]申健，周倩芳.校園無線局域網(wǎng)安全管理及入侵檢測系統(tǒng)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2016（8）：88-89.

[5]姜傳江，馬赟.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)及相關(guān)問題解析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（8）：22-23.

[6]黃超，王勇.VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（8）：77.

Study on LAN ARP virus attack methods and solutions

Zhang Haining
（Tianjin Sino-German University of Applied Science, Tianjin 300350, China）

For a long time, ARP virus attacks have become a difficult problem plagued the local area network. Therefore, the way attack ARP virus in local and solutions are explored in this paper.

local area network; ARP virus; attack mode

章海寧（1978— ），男，天津，實(shí)驗(yàn)師；研究方向：計(jì)算機(jī)網(wǎng)絡(luò)管理。