ARP攻击防范和解决方案.docVIP

ARP攻击防范和解决方案 　　摘要:目前的互联网络 包括 国际互联网络 广域网络 局域网络 大多是采用TCP/IP 协议来传输数据。TCP/IP数据包常通过以太网发送,以太网设备是以48位以太网地址(就是通常说的物理地址)传输以太网数据包。ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。简单讲他就是负责将某个IP地址解析成对应的MAC地址。( 和它对应的是RARP协议,它负责将某个MAC地址解析成对应的IP地址。) 　　关键词:TCP/IP 协议 ARP病毒 　　 　　一、ARP病毒简单分析 　　1 邪恶的ARP 病毒与木马 　　病毒?木马? 　　如今的互联网在金钱的诱惑下充满了罪恶与欺骗。随着网络游戏和各种网上交易的普及,越来越多的黑手伸向了这里 而病毒还是木马变得越来越难以界定。 　　2 ARP 病毒与木马现象 　　机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器后,又可恢复上网一段时间。 　　在路由器的系统历史记录中看到大量如下的信息: 　　MAC Chged 192.168.1.X 　　MAC Old AA:AA:AA:AA:AA:AA--正确的MAC 　　MAC New BB:BB:BB:BB:BB:BB-- 病毒机 MAC 　　3 ARP 病毒与木马原理 　　每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。 　　主机IP地址MAC地址 　　Aaa-aa-aa-aa-aa-aa 　　Bbb-bb-bb-bb-bb-bb 　　我们以主机A()向主机B()发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是FF.FF.FF.FF.FF.FF,这表示向同一网段内的所有主机发出这样的询问:的MAC地址是什么?网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:的MAC地址是bb-bb-bb-bb-bb-bb。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 　　从上面可以看出,ARP协议的基础就是信任局域网内所有的人,但现实中的问题是中了病毒的机器并不值得你去信任。 　　当局域网内某台主机运行ARP欺骗的病毒程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网。病毒主机实际上成为了一个路由器,这个危险的路由器,会过滤所有通过它的数据包。(通过ICMP重定向报文 病毒在特定条件下甚至可以跨网段 进行ARP攻击,当路由器检测到一台机器使用非优化路由的时候,它会向该主机发送一个ICMP重定向报文,请求主机改变路由。路由器也会把初始数据报向它的目的地转发。) 　　过滤数据包有什么样的危害呢? 　　所有明文传输的数据包的账号密码都会被病毒主机截获,明文的传输协议在互联网是广泛被使用的 比如 常见的 http (一般上网浏览网页和邮箱都是使用http协议) ftp telnet 协议等等。 　　所有加密传输的协议,包括https,sftp,ssh等等都极大的增加了被破解的风险 。(著名的传奇木马ARP病毒破解了数据加密的密文,做到了一台机器机中毒,整个局域网账号被盗。) 　　4 ARP病毒的防治复杂度 　　ARP欺骗是目前网络管理,特别是局域网管理中最让人头疼的攻击,他的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击。同时防范ARP欺骗也没有什么特别有效的方法。 　　使用监视软件,但是ARP病毒的发作是没有规律可言的,网络管理人员管不能可时时都去注意这样的问题。 　　二、解决办法 　　办法1 　　其实是换个思路的办法能彻底解决ARP问题,采用PPPOE 拨号上网的方式。 　　PPPOE拨号,自动生成一个以本地IP为网关的虚拟网关,局域网中只有你自己,ARP对网关的欺骗将没有任何意义,从而不能导致网络故障的大规模发生. 　　办法2 　　建议用户采用双向绑定的方法解决并且防止ARP欺