对ARP病毒认识与典型障碍处理分析.docVIP

对ARP病毒认识与典型障碍处理分析 　　[摘要] ARP病毒是利用ARP协议的漏洞进行传播的一类病毒的总称。ARP是一种将IP转化成以IP对应的网卡的物理地址的一种协议，或者说ARP协议是一种将IP地址转化成MAC地址的一种协议。它依赖在内存中保存的一张表来使IP得以在网络上被目标机器应答。本文对ARP欺骗病毒的原理及典型障碍处理分析做以归纳。 　　[关键词] ARP 病毒典型障碍处理分析 　　 　　对计算机ARP病毒产生的原因在百科名片中作了这样的概述：“是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。”这一概述描摹了ARP病毒产生的大致原因。再用比较通俗的语言来原因来说明ARP技术原理，则可以得出这样的认识：在TCP网络环境下，IP包的寻址靠路由表定义。但是，当IP包到达该网络后，哪台机器响应这个IP包却是靠该IP包中所包含的MAC地址来识别。也就是说，只有机器的MAC地址和该IP包中的MAC地址相同的机器才会应答这个IP包。因为在网络中，每台主机都会有发送IP包的时候。所以，在每台主机的内存中，都有一个ARP――MAC地址的转换表。通常是动态的转换表（在路由中，该ARP表可以被设置成静态）。也就是说该对应表会被主机在需要的时候刷新。这是由于以太网在子网层上的传输是靠48位的MAC地址而决定的。 　　1.ARP病毒的攻击种类大致可分为两类 　　一类是对路由器ARP表的欺骗。另一类是对内网PC的网关欺骗。 　　第一类ARP欺骗的原理在于：将网关数据截获。ARP病毒支配着路由器表示出一系列错误的内网MAC地址，并按照即定的频率不断的工作，使得真实的地址信息被障碍，不能通过更新的做法保存在路由器中，因此，经过路由器的所有数据被蒙蔽和曲解，只能发送出错误的MAC地址，造成正常工作的PC得不到传送的信息。 　　第二类ARP欺骗的原理是――伪造网关。它的原理是建立假网关，让被欺骗的PC向假网关发数据，而不是通过正常的路由途径上网。在PC看来，就是无法上网，即“网络掉线”。 　　2.典型障碍处理分析 　　某单位MPLS VPN网络结构 　　某城市通信分公司基于MPLS的VPN，其基本框架结构是：城域网汇聚层交换机作为核心设备PE(ProviderEdge) 、通过接入层交换机采用光纤或ADSL方式与用户端设备连接。 　　某单位是这一通信分公司采用MPLS VPN技术构建通信专网的客户之一，其网络结构较为简单，通过局中心及下联网点均连接之同一台8016交换机，但分属不同的VPN-Instance，划分为两个网段，每个网段的网关地址设在8016交换机的三层vlan虚端口上。当ARP病毒自来的时候，这一单位的下设分支单位反映无法正常通信，值班人员登陆网管机查看局设备运行状态正常，数据各项参数均无异常，无法进一步判断通信障碍原因，派外勤维护人员到现场处理。维护人员到达现场，查看用户通信设备物理状态正常，Modem配置正常，利用笔记本电脑配上用户IP地址及网关，ping网关（172.20.148.129）不通。此时这个单位的下属单位的联网均开始出现通信异常问题。维护人员火速本网各个现场，当维护人员在诸现场排查进一步排查障碍点时，通信突然恢复正常。将用户端通信设备恢复连接后，各下属单位的联网办理业务都进入正常状态，包括此前最早出现问题的两个联网的下属单位。障碍历时约1小时左右。维护人员现场观察30分钟，网络运行稳定。 　　第一次障碍发生后，接续下来的两天中的同一时间，类似障碍再次发生，这个单位下联网点的营业PC终端，间歇性的出现掉网现象，有时所有PC终端均无法与中心服务器通信，ping网关不通，且两天中的通信障碍出现的实践和持续时间雷同，都大约持续一小时左右。 　　3.该单位对网络障碍处理的做法 　　经过网络中心端及用户端硬件设备排查，未发现异常。由于这个单位的下联网点是划分为一个网段的，所以，所有PC终端逻辑上均归属同一个局域网，通过对三天中出现的障碍现象的分析，初步判断为单位VPN网络内部有病毒攻击，又由于发生障碍时间较短，维护人员没有来得及对网络进行数据抓包，无法分析导致用户通信异常数据包。为此，将解决这一问题的措施首先确定与对局域网络进行数据抓包。 　　随后的第二天，该单位网络的维护人员在8016交换机上针对船营工商局VPN网络利用Etherpeek软件进行抓包。8：40开始抓包，进行到9：00时，数据包开始有异常情况。00：16：EC：83：85：33 MAC地址分别与1