ARP欺骗攻击及安全防范的探讨.docVIP

ARP欺骗攻击及安全防范的探讨 　　摘#8195;要分析ARP欺骗攻击的过程和攻击危害,有针对性提出解决ARP欺骗攻击方案,最后给出安全防范的措施和原则。 　　关键词ARP协议;局域网;ARP欺骗;安全防范 　　中图分类号TP3文献标识码A文章编号1673-9671-(2010)101-0106-01 　　 　　1ARP欺骗综述 　　ARP欺骗就是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求。ARP请求通常以广播形式发送,以便所有主机都能收到。 　　网络中的某一台电脑中了ARP病毒,通过他自动发送ARP欺骗包,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个连接网络计算机上的ARP缓存表也应该是正确的,只有程序启动开始发送错误ARP信息以及ARP欺骗包时才会让某些计算机访问网络出现问题。 　　ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,由于系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。 　　2ARP病毒分析 　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。 　　在路由器的“系统历史记录”中看到大量如下的信息: 　　MAC Chged 10.128.103.124 　　MAC Old 00:01:6c:36:d1:7f 　　MAC New 00:05:5d:60:c7:18 　　这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 　　如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。 　　BKDR_NPFECT.A病毒引起ARP欺骗之实测分析: 　　Part1.病毒现象 　　中毒机器在局域网中发送假的APR应答包进行APR欺骗,造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信。 　　Part2.病毒原理分析: 　　病毒的组件 　　本文研究的病毒样本有三个组件构成: 　　%windows%\SYSTEM32\LOADHW.EXE(108,386 bytes)….. ”病毒组件释放者” 　　%windows%\System32\drivers\npf.sys(119,808 bytes)….. ”发ARP欺骗包的驱动程序” 　　%windows%\System32\msitinit.dll (39,952 bytes)…“命令驱动程序发ARP欺骗包的控制者” 　　病毒运作基理: 　　1)LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll . 　　LOADHW.EXE释放组件后即终止运行。 　　注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap。 　　npf.sys将会被病毒文件覆盖掉。 　　2)随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: NetGroup Packet Filter Driver 　　msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)。以下从病毒代码中提取得服务相关值: 　　3)npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序: 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 　　dwMyTest =LOADHW.EXE 　　由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除。 　　3ARP欺骗攻击防范原则 　　1)建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要