◆王曉妮 韓建剛

局域網(wǎng)中ARP病毒定位和防御措施研究

◆王曉妮1韓建剛2

(1.咸陽師范學(xué)院信息中心 陜西 712000 ; 2.西北機電工程研究所電調(diào)室 陜西 712000)

為了防御嚴重威脅局域網(wǎng)安全ARP病毒，本文分析了ARP協(xié)議及其工作原理，ARP協(xié)議存在的漏洞及由此造成的危害，提出了兩種快速定位ARP病毒源的辦法和結(jié)合五種有效解決ARP病毒欺騙的防御措施，能夠很好地保證局域網(wǎng)的安全。

ARP病毒；ARP協(xié)議；漏洞；防御措施

0 引言

隨著通信技術(shù)的迅速發(fā)展和計算機網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題不容忽視。特別是ARP病毒在局域網(wǎng)中廣泛傳播，導(dǎo)致局域網(wǎng)中的用戶主機成為ARP病毒源。病毒主機時常會經(jīng)偽裝成路由器，有時也會潛伏在應(yīng)用軟件中，便于非法盜取用戶網(wǎng)銀、QQ等密碼和隱私信息，破壞局域網(wǎng)的正常運行。ARP病毒的主要目的就是竊取用戶上網(wǎng)的主機信息，病毒發(fā)作時會是局域網(wǎng)時斷時續(xù)，更為嚴重的是甚至整個網(wǎng)絡(luò)癱瘓，嚴重影響用戶正常上網(wǎng)。要想徹底查殺ARP病毒，必須要找到病毒源即中毒主機，但是由于ARP病毒主機善于偽裝，這就為定位ARP病毒源造成了一定的難度。

1 ARP的相關(guān)知識

1.1 ARP 協(xié)議的概念

ARP協(xié)議(Address Resolution Protocol)，它是一個地址解析協(xié)議，它可以將計算機的32位的IP地址轉(zhuǎn)化成48位的MAC地址，利用ARP協(xié)議可以通過目的主機的網(wǎng)絡(luò)地址，查詢到其物理地址，從而確保網(wǎng)絡(luò)通信暢通無阻。由于局域網(wǎng)中的所有主機間相互通信時不能識別各自的IP地址，MAC地址是主機在網(wǎng)絡(luò)中的唯一標識，所以必須把IP地址轉(zhuǎn)化成對應(yīng)的MAC地址才能完成通信。這個地址轉(zhuǎn)化工作必須有ARP協(xié)議去完成，其映射方式分為表格或非表格方式兩種。

1.2 ARP協(xié)議的工作原理

現(xiàn)以局域網(wǎng)中兩臺主機X（IP：218.195.80.2；MAC：26-35-24-fd-54）和Y（IP：218.195.80.3；MAC：23-44-21-fe-db）之間的通信為例來說明ARP的工作原理，如圖1所示。當(dāng)主機X與Y準備通信時，源主機X先要在其高速緩存中查找目標主機Y的IP地址對應(yīng)MAC地址是否存在？如果存在直接將MAC地址寫入MAC幀中，向Y發(fā)送數(shù)據(jù)完成通信。否則在局域網(wǎng)中向所有主機發(fā)送廣播ARP請求數(shù)據(jù)包，詢問“IP為218.195.80.3的MAC地址為多少？”正常情況下其余主機收到請求數(shù)據(jù)包后均不對此做相應(yīng)，直接忽略。只有主機Y對此做出相應(yīng)，發(fā)送ARP響應(yīng)報文“我是IP為218.195.80.3主機，我的MAC地23-44-21-fe-db”。X收到響應(yīng)數(shù)據(jù)包后更新自己的ARP緩存表并開始通信。

1.3 ARP協(xié)議的漏洞及危害

ARP協(xié)議是以局域網(wǎng)內(nèi)各節(jié)點絕對可信為基礎(chǔ)和前提設(shè)計的，是一個無狀態(tài)的數(shù)據(jù)鏈路層高效協(xié)議，幾乎不會自動檢查自己是否發(fā)送過ARP數(shù)據(jù)包，也不知曉收到的ARP響應(yīng)包的合法性，只要收到響應(yīng)包便會更新緩存，這便是ARP協(xié)議存在的漏洞。該安全漏洞具有動態(tài)性、無序性、廣播性、無認證和無連接性，ARP病毒正是利用這些漏洞來攻擊局域網(wǎng)的，而且這種病毒具有隱蔽性、合法性和欺騙性。局域網(wǎng)中一旦感染了ARP病毒，便會出現(xiàn)網(wǎng)絡(luò)的穩(wěn)定性很差、網(wǎng)速很慢，不斷提示網(wǎng)絡(luò)地址沖突，該網(wǎng)段內(nèi)的所有主機都不能正常上網(wǎng)，嚴重時整個網(wǎng)絡(luò)會陷入癱瘓，但重啟設(shè)備后顯示網(wǎng)絡(luò)正常。黑客正是利用ARP協(xié)議設(shè)計漏洞來進行網(wǎng)絡(luò)攻擊，盜取上網(wǎng)用戶的私密信息，獲取非法利益。

圖1 ARP協(xié)議的工作原理

2 ARP欺騙病毒源的定位

2.1主動定位

因為中了ARP病毒的設(shè)備其網(wǎng)卡常常會顯示為混雜模式，我們可以利用ARP專殺工具在校園網(wǎng)中不斷進行掃描，一旦發(fā)現(xiàn)網(wǎng)卡有處于混雜模式的設(shè)備，那就可能就是中了ARP病毒的攻擊。如果交換機的指示燈出現(xiàn)大面積相同頻率的閃爍，則表明局域網(wǎng)的這某一個網(wǎng)段中至少有一臺主機感染了ARP病毒。

2.2被動定位

當(dāng)校園網(wǎng)出現(xiàn)時慢時快、極其不穩(wěn)定的時候，可以通過這四種方式來定位：

（1）arp-a命令。在不能上網(wǎng)的兩臺主機的DOS 命令窗口中執(zhí)行arp-a命令后，發(fā)現(xiàn)運行結(jié)果中除了它們對應(yīng)的網(wǎng)關(guān)IP和MAC地址外，還存在某個IP，便可斷定它對應(yīng)的MAC地址就是病毒源的了。

（2）tracert命令。在懷疑中ARP病毒主機的DOS命令窗口里輸入：tracert61.135.179.148，正常情況下網(wǎng)內(nèi)的主機僅和網(wǎng)關(guān)通信，故ARP cache中只存在網(wǎng)關(guān)的物理地址，而如果存在某主機MAC，說明該主機與某主機間存在過通信活動。若某主機既非服務(wù)器又非網(wǎng)關(guān)，但它在ARP病毒發(fā)作期卻和校園網(wǎng)中的其它主機進行通信，足以說明它正是ARP病毒的元兇。

（3）Sniffer抓包。把Sniffer抓包工具部署在校園網(wǎng)中，主機通過執(zhí)行該抓包軟件便可捕獲到達主機的一切數(shù)據(jù)包，如果有連續(xù)發(fā)送ARP請求包的IP，便可定位其對應(yīng)的物理地址即為ARP病毒源了。

（4）檢查三層交換機的動態(tài)ARP表里的詳細內(nèi)容，便能找到和確定ARP病毒源攻擊的物理地址。

3 ARP病毒的防御措施

通過對ARP病毒的研究，發(fā)現(xiàn)僅靠某種單一的防御措施是根本無法徹底解決，為了更好地防御ARP病毒，可以采取以下這些的具體的防范措施。

3.1增強用戶的防范意識，養(yǎng)成良好的上網(wǎng)習(xí)慣

做好日常的宣傳和培訓(xùn)工作，讓用戶養(yǎng)成定時更換殺毒軟件，及時查殺病毒、升級病毒庫和電腦操作系統(tǒng)補丁等好習(xí)慣。輕易不要打開不明鏈接、電子郵件、禁止瀏覽不文明的網(wǎng)站或色情圖片，禁止接收和運行可疑程序或文件，避免下載存在安全隱患軟件或網(wǎng)絡(luò)資源。

3.2安裝ARP專殺工具

針對ARP病毒專殺工具有彩影ARP、360ARP、金山毒霸、瑞星和風(fēng)云等防火墻等查殺效果都很不錯。用戶可以根據(jù)自己的實際情況，選擇適合自己的殺毒軟件。為了保證殺毒效果，可以經(jīng)常不定期地進行專殺工具的更換。

3.3手工綁定IP/MAC地址

適合用局域網(wǎng)中網(wǎng)絡(luò)設(shè)備IP地址變化較小的區(qū)域，審批上網(wǎng)賬號，注冊時就進行綁定，獲取比較安全的用戶ARP表，減少用戶感染ARP病毒的概率。在交換機端口上手工綁定用戶的IP/MAC地址，限制ARP數(shù)據(jù)包流量，在交換機上設(shè)置可信任的ARP端口，并開啟端口的ARP報文限速功能等措施杜絕ARP病毒攻擊。

3.4劃分VLAN

根據(jù)用戶數(shù)量多少在路由器或交換機上利用VLAN將局域網(wǎng)劃分在不同子網(wǎng)，便于局域網(wǎng)的故障排查和管理，盡可能的縮小ARP病毒的攻擊范圍。

3.5隔離交換機端口

為了防止和避免非法的ARP數(shù)據(jù)包通過交換機，在重要或ARP病毒易發(fā)區(qū)采用具有DAI動態(tài)ARP檢測和DHCP嗅探功能銳捷S2126G交換機，能夠很好地防御ARP病毒。

4 結(jié)束語

ARP病毒利用ARP協(xié)議自身設(shè)計漏洞來對局域網(wǎng)進行欺騙攻擊，正因為其原理簡單、技術(shù)含量低、故便于操作、無孔不入，嚴重威脅網(wǎng)絡(luò)安全。本文根據(jù)自己多年的網(wǎng)管實戰(zhàn)經(jīng)驗，提出了ARP病毒源的定位方法，有效結(jié)合了五種防御措施，能夠很好地處理局域網(wǎng)中ARP病毒。

[1]李延香，袁輝，劉淑英.校園局域網(wǎng)ARP欺騙攻擊的防御方法和實施[J].自動化與儀器儀表，2015.

[2]郭征，吳向前，劉勝全.針對校園網(wǎng)ARP攻擊的主動防護方案[J].計算機工程，2011.

[3]石利平.ARP欺騙研究綜述[J].計算機與現(xiàn)代化，2011.

[4]許衛(wèi)明，吳軍強，許小東.計算機實驗室中的 ARP 病毒防治技術(shù)研究[J].紹興文理學(xué)院學(xué)報，2012.

咸陽師范學(xué)院專項科研基金資助項目(項目編號：13XSYK087)。