ARP 病毒攻击机理与防御.pptVIP

* 1 前言 由于进一段时间，工程技术大队局域网内经常受到ARP病毒的攻击，因此特别了解一下arp病毒。arp病毒其病毒攻击原理是通过伪造IP地址和MAC地址实现ARP欺骗，破坏内网中的主机和路由交换设备ARP高速缓存机制，其症状严重时会使网络流量加大、设备CPU利用率过高、短时间内断网（全部断网或是部分断网）和主机上网不稳定或交换机短时瘫痪的严重状况 2 ARP地址解析协议分析 针对ARP病毒攻击，首先分析ARP协议以及它的工作原理。 ARP即地址解析协议是用来确定这些映像的协议。 所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 在我们使用的每台装有TCP/IP协议的主机或服务器内都配有一个ARP缓存表，该表里的IP地址与MAC地址是一一对应的 ………… 00-00-0c-07-ac-04 0 00-0f-3d-83-76-33 3 MAC地址 IP地址 如果找到，也就知道目标B的MAC地址，可直接把目标MAC地址写入帧里面发送给B； 如果在ARP缓存表中没有找到相对应的IP地址，A就会在同网段内发送一个以太网广播数据包，目标MAC地址是“FF.FF.FF.FF.FF.FF”,即向同一网段内的所有主机发出这样的请求包，询问B的MAC地址，此时只有目的B接收到这个帧时，会向A发出：“B的MAC地址是00-00-0c-07-ac-04”――这样一个含有IP和以太网地址对的数据应答包。 假定A向B传送数据，其ARP的工作过程是A会在自己的ARP缓存表中寻找目标B的IP地址 A B 而网络上其他主机对ARP询问不会给予回应。这样，A就知道了B的MAC地址，它就可以向B传递信息。 同时A将这个地址对高速缓存起来，重新更新自己的ARP缓存表。 下次再向主机B发送信息时，就直接从ARP缓存表里查找即可。 ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以减少ARP缓存表的长度，加快查询速度。 3 ARP攻击原理 通过上述ARP工作原理得知，系统的ARP缓存表是可以随时更新的动态转换表，表中的IP和MAC是可以被修改的，这样在以太网中很容易实现ARP欺骗。 ARP攻击可分为几种： “中间人”攻击 MAC/CAM攻击 DHCP攻击 地址欺骗 等攻击的形式表现为对内网PC机和网络交换机、DHCP服务的欺骗。 3.1 对内网IP/MAC的欺骗 攻击者想探听同一网络中两台主机之间的通信，他会分别给这两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC地址是第三方的攻击者所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过“中间人”所在的主机间接进行的 攻击者只需更改数据包中的一些信息，就能成功地做好转发工作，目前利用ARP原理编制的工具十分简单易用，可以直接嗅探和分析FTP、HTTP等超过30秒应用的密码和传输内容，随时切断指定用户的连接。当攻击者发送大量持续伪造的ARP包时，会造成局域网中机器ARP缓存混乱，上网不稳定 典型的攻击是 “中间人”攻击 3.2 Switch的CAM欺骗 Switch（交换机）主动学习客户端的MAC地址，并建立维护端口和MAC地址的对应表，以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。交换机开始时，这个表是空的，交换机从来往数据帧中学习，这个CAM表也就不断的填充和更新。所以整个Switch的端口表CAM是动态的。对交换机的CAM攻击是指利用木马程序产生欺骗MAC，快速填满CAM表，交换机CAM表被填满后，交换机以广播方式处理通过交换机的报文,把以前正常的 MAC 和 Port 对应的关系破坏了,这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有端口,同时 TRUNK 接口上的流量也会发给所有接口和邻接交换机,造成交换机负载过大,网络缓慢和丢包甚至瘫痪。 在 ARP 欺骗木马开始运行的时候,局域网有相当数量的主机 MAC 地址会更新为病毒主机的 MAC 地址。当 ARP欺骗的木马程序停止运行时,主机才在交换上恢复其真实的 MAC地址。 3.3 DHCP 服务的攻击 采用 DHCP sewer 可以自动为用户设置网络 IP 地址、掩码、网关、DNS 等网络参数，简化用户网络设置，提高管理效率。但由于 DHCP 的运作通常没有服务器和客户端的认证机制，病毒对其攻击的方式通常表现 DHCP server 的冒充，DHC