针对校园网ARP病毒攻击的分析及防范

2012-08-15孙博

长春教育学院学报 2012年2期

关键词：局域网IP地址校园网

孙博

针对校园网ARP病毒攻击的分析及防范

孙博

ARP病毒是一种伪造IP地址和MAC地址实现ARP欺骗，从而使网络瘫痪的一种病毒。通过对ARP病毒的攻击原理进行分析，可以总结出一套检测它的方法，并整理出一些平时在校园网维护中对其有效的防范方法，从而提高校园网的安全性。

校园网；ARP病毒；攻击原理；检测和防范

在校园网规模不断扩大、使用人数不断增加的今天，各种网络安全问题不断凸现出来。其中，ARP病毒攻击所引起的网络故障极大地影响了校园网的正常运行。由于ARP病毒传播速度很快、变种众多，且国内外网络安全厂商一时都没有提出有效的解决方案，所以ARP病毒攻击是目前校园网管理和维护中需要迫切解决的一大难题。

校园网络中的关键设备，如路由器、三层交换机、装有TCP/IP协议的电脑等都提供ARP缓存表，用来提高通信速度。ARP病毒攻击通过伪造的MAC地址与局域网中的IP地址对应，并修改路由器或电脑中的ARP缓存表，使得具有合法MAC地址的电脑无法与IP地址对应，从而无法通过路由器连接网络。在掉线重启路由器或交换机之后，ARP缓存表会自动刷新，网络会重新恢复正常。但在短时间内，ARP病毒又会发动攻击使得网络再度瘫痪，如此反复。一些没有经验的网络管理员很容易被这种现象迷惑，以为是路由器或交换机设备故障，从而没有及时处理而产生更严重的后果。

一、对ARP病毒攻击原理的分析

ARP协议的主要功能是将局域网中的IP地址转换成MAC地址，ARP病毒正是通过ARP协议的这一功能，伪造IP地址和MAC地址实现ARP欺骗，从而在网络中产生大量的ARP通信量使网络阻塞，进行ARP重定向和嗅探攻击，使局域网内电脑的ARP表混乱。

迄今在校园网中发现的病毒程序，如PWsteal、lemir或其变种，属于木马/蠕虫类病毒，windows操作系统都会受到影响。影响网络畅通的ARP病毒攻击有两种方式：对三层路由交换机的ARP表欺骗以及对内网网关的欺骗。第一种攻击方式是病毒先截获网关数据，再将一系列的错误的内网MAC信息不断地发送给三层路由交换机，造成其发出错误的MAC地址，导致正常的PC无法收到信息。第二种攻击方式是病毒伪造网关，它先建立一个假网关，让被它欺骗的PC向假网关发送数据，造成PC无法正常连接网络。

二、ARP病毒的危害

ARP病毒对于校园网的日常安全运行造成了很大的阻碍，其危害性可以总结为以下几点。

1.阻止其他用户连接网络，造成局域网瘫痪。将ARP欺骗包指向不能提供数据传输服务的、无效的MAC地址；或指向中毒的主机，但中毒主机不为用户向“真网关”传递数据。这将导致局域网全网掉线，其他主机无法访问网络。

2.盗取用户个人隐私数据，如账号密码等。将ARP欺骗包指向中毒主机的MAC地址，则局域网中被欺骗的主机会将数据传送给中毒主机。中毒主机系统中的病毒可以通过嗅探这些数据的内容，进行包括破译密文等处理，从而得到包括网络游戏、网络银行账号密码在内的各种信息，直接或间接威胁到用户的隐私和财产安全。这样的病毒明显具有木马的性质。

3.修改网关回传数据，并插入恶意代码。ARP欺骗造成的局域网上网断线只是表面现象，更深层的危害在于，ARP欺骗造成了网络数据的违规‘出站’和‘回传’（即被欺骗主机将数据传到了原本不应该被信任的目标）。攻击者因此可以利用‘回传’给他的数据，作出进一步危害用户安全的行为，包括利用数据中的信息发动有针对性的‘进站’攻击（即向被欺骗主机发送带有恶意攻击性代码的数据）。将ARP欺骗包指向中毒主机的MAC地址，中毒主机接收到被欺骗主机传来的信息，并充当“伪网关”，在被欺骗主机与“真网关”之间进行数据交互。然而，“伪网关”得到由“真网关”传来的数据后，在将数据传回给被欺骗主机的过程中，在其中加插了恶意代码，不知情的被欺骗主机接收了数据，主机系统中的应用程序执行了包括恶意代码在内的内容，就直接导致用户的计算机安全遭到破坏。

三、对ARP病毒的检测

在了解了ARP病毒的攻击原理之后，笔者在日常校园网的维护和管理中总结出两个检测ARP病毒的方法：1.分析网关ARP缓存表的方法。登陆局域网的上联三层交换机查看其ARP缓存表，这么做的目的是因为ARP病毒攻击主要是针对网关进行攻击，所以在网关的ARP表中会保留错误的MAC记录。如果检查ARP表时发现有很多IP都指向同一个MAC地址，那么此MAC地址对应的主机就是ARP病毒源；如果网关ARP表正常，但存在多主机同一端口连接网关的，也可查出ARP病毒源。2.使用软件抓包法。在校园网内任意一台电脑上运行sniffer抓包软件，如果发现某个IP不断发送ARP请求包，那么一般这台电脑就是ARP病毒源。

四、针对ARP病毒攻击的防范

在了解了APR病毒的攻击原理和攻击方式后，如何对其进行防范是校园网安全和畅通的关键。对于ARP病毒的防范我们可以从交换机和PC两个层面入手。

交换机层面。目前多数新型号的交换机都支持APR入侵检测功能，如H3C的$3600以上的交换机都加了此功能。它的工作原理是：将经过交换机的所有ARP(请求与回应)报文重定向到CPU，利用DHCP Snooping表或手工配置的IP静态绑定表，对ARP报文进行合法性检测。开启ARP入侵检测功能后，如果ARP报文中的源MAC地址、源IP地址、接收ARP报文的端口编号以及端口所在VLAN与DHCP Snooping表或手工配置的IP静态绑定表表项一致，则认为该报文是合法的ARP报文，进行转发；否则认为是非法的ARP报文，直接丢弃。除了开启ARP入侵检测功能之外，还应该对ARP报文进行限速控制，因为当某一个端口以高频率发送ARP报文的时候会占用交换机大量的CPU资源，严重时甚至会造成交换机死机，所以千万不要忽视这点。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态。此时，变换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。

PC层面。PC层面我们只需要安装一款ARP防火墙，现在的免费杀毒软件都自带了ARP防火墙，如360安全卫士等。

上面介绍了对于ARP攻击的防范，那么在具体的校园网环境下该如何防范ARP病毒，以下我总结了几条我校对于ARP病毒攻击所采取的方法，可以有效地对其进行防范。

1.对于连入校园网的每台电脑的IP和MAC地址进行绑定：在每台电脑进入DOS，输入arp-s网关IP网关MAC地址，回车后即完成了绑定。但是这个操作必须在每次系统启动时进行操作，很麻烦。我们可以把此命令做成一个批处理文件，放在系统的启动里，批处理文件如下：

@echo off

arp-d

arp-s网关的IP网关的MAC地址

2.在接入层交换机的各个端口绑定对应PC的IP/MAC地址。

3.安装最新的杀毒软件。安装如瑞星或360等杀毒软件升级到最新病毒库并定期对机器进行扫描，使用防止ARP攻击的软件如：ARPfix或AntiARP等。

4.处理病毒源。一旦发现ARP攻击，在检测到病毒源机器后对该机器进行杀毒或重做系统操作，这样可以有效的阻断ARP病毒继续对局域网中的其他机器进行攻击。

5.加强密码管理。ARP病毒是一种木马类病毒，对于用户的信息如QQ密码、网银密码等隐私信息都会被它窃取。所以我们必须给交换机的系统管理员设置足够复杂的密码，以防黑客轻易攻陷。也可以禁用一些不用的账户及来宾账户来起到加强安全的目的。

6.使用ARP病毒防火墙。

7.关闭不需要的服务。可以适当地关闭网络共享来起到阻断ARP病毒传播的作用，也包括C$、D$等管理共享。