ARP网络攻击及安全防范的研究.docVIP

ARP网络攻击及安全防范的研究 　　摘要:分析了ARP欺骗攻击的过程和攻击危害,有针对性提出解决ARP欺骗攻击方案,最后给出了安全防范的措施和原则。 　　关键字:ARP协议;局域网;ARP欺骗;安全防范 　　ARP Network AttacksSecurity Precaution Research 　　Shu Dan 　　(Nanchang Institute of Technology,Nanchang330000,China) 　　Abstract:By analyzing the process of ARP deception attacks and damage, and put forward solutions to solve the ARP deception attack,finally presents the principles and measures of safety. 　　Keywords:ARP;LAN;ARP deception;Security precaution 　　一、ARP欺骗综述 　　ARP欺骗是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求。ARP请求通常以广播形式发送,以便所有主机都能收到。 　　ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问内外网,让网关无法和客户端正常通信。实际上他的危害还不仅仅如此,由于系统并不会判断ARP缓存的正确与否,无法像IP地址冲突那样给出提示。 　　二、ARP病毒分析 　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。 　　在路由器的“系统历史记录”中看到大量如下的信息: 　　MAC Chged 10.128.103.124 　　MAC Old 00:01:6c:36:d1:7f 　　MAC New 00:05:5d:60:c7:18 　　如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。 　　BKDR_NPFECT.A病毒引起ARP欺骗之实测分析。 　　Part1.病毒现象: 　　中毒机器在局域网中发送假的APR应答包进行APR欺骗,造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信。 　　Part2.病毒原理分析: 　　病毒的组件: 　　本文研究的病毒样本有三个组件构成: 　　%windows%\SYSTEM32\LOADHW.EXE(108,386 bytes)…..”病毒组件释放者” 　　%windows%\System32\drivers\npf.sys(119,808 bytes)…..”发ARP欺骗包的驱动程序” 　　%windows%\System32\msitinit.dll(39,952 bytes)…“命令驱动程序发ARP欺骗包的控制者” 　　病毒运作基理: 　　1.LOADHW.EXE执行时会释放两个组件npf.sys和msitinit.dll. 　　LOADHW.EXE释放组件后即终止运行。 　　注意:病毒假冒成winPcap的驱动程序,并提供winPcap的功能,客户若原先装有winPcap。npf.sys将会被病毒文件覆盖掉. 　　2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备:NetGroup Packet Filter Driver。 　　msitinit.dll还负责发送指令来操作驱动程序npf.sys(如发送APR欺骗包,抓包,过滤包等)以下从病毒代码中提取得服务相关值。 　　3.npf.sys负责监护msitinit.dll.并将LOADHW.EXE注册为自启动程序: 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 　　dwMyTest=LOADHW.EXE 　　由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除。 　　Part3.反病毒应急响应解决方案 　　按以下顺序删除病毒组件: 　　1.删除“病毒组件释放者”: 　　%windows%\SYSTEM32\LOADHW.EXE 　　2